Я думаю, что вы должны разделить роли, которые будут специфичны для группы - вам понадобится роль менеджера по полетам и отдельная роль менеджера по отелям и так далее.
Вы можете назначать роли пользователю или группе , но назначение ролей группе эффективно назначает эти роли всем членам группы. Я думаю, это довольно типично.
Когда вы назначаете роли пользователю, вы просто назначаете роли пользователю, а не пользователю в группе:
В списке рассылки Keycloak есть нить . По сути, группы - это просто способы сбора пользователей, а не часть структуры контроля доступа.
Если отели и рейсы соответствуют приложениям, то вы можете подумать, можете ли вы обрабатывать их как клиентов, а не как группы , но я думаю, что вам все равно нужно иметь отдельные наборы ролей.