Создать роль пользователя только для Keycloak?

Question

Я хотел бы иметь пользователя, который ограничен управлением группой пользователей и только этими пользователями в Keycloak.Идея в том, что он может добавлять пользователей в эту группу, удалять их из группы, а также создавать новых пользователей, принадлежащих к этой группе.

Мне не удалось выяснить, как выполнить последнюю часть.Я могу назначить роль «управлять» пользователю, но затем он может составить список и управлять всеми пользователями в Keycloak.

Я думал о том, чтобы пройти маршрут нескольких областей (вместо групп), но затемУ меня должна быть учетная запись в каждой области для одного и того же пользователя, если он хочет управлять несколькими областями вместо одной учетной записи.

Есть ли лучший способ выполнить эту настройку (аналог организации организации, в которой человек можетпринадлежат нескольким организациям и управляют некоторыми / всеми без необходимости иметь несколько учетных записей)?

Я использую Keycloak 4.6

Answer 1

Я думаю, что вам нужны manage-members «Fine Grain Admin Permissions».В предыдущей версии руководства администратора keycloak был приведен пример этого конкретного варианта использования :

Вы можете указать, что администратор может управлять только членами определенной группы.Если вы перейдете на страницу группы в консоли администратора, вы увидите вкладку «Разрешения» ... Разрешение управления участниками позволяет вам определять политики, которые позволяют администратору управлять любым пользователем, который является членом группы.

Более новое руководство по для 4.6 больше не охватывает этот конкретный пример использования в явном примере, но это разрешение по-прежнему указано, поэтому оно должно работать как прежде.