Keycloak - ограничить вход в систему клиентом для членов группы

Question

В настоящее время я использую Keycloak в качестве решения для обработки входа в мое приложение.Я использую Spring, но не использую адаптер Keycloak, а вместо этого использую .oauth2Login() в моей цепочке настроек безопасности.

Я попытался реализовать политику в Keycloak, чтобы гарантировать, что пользователи являются членамигруппа безрезультатно.Я даже дошел до реализации политики JS, которая состоит исключительно из $evaluation.deny(), которая, насколько я знаю, должна предотвращать все попытки входа в систему клиента.Это, однако, ничего не делает, вместо этого любой пользователь (который существует на сервере LDAP) может войти в систему.

Любая помощь или направление будет принята с благодарностью.

Answer 1

Если это помогает в проекте Activiti , мы используем keycloak и применяем политики, основанные на группе, к которой принадлежит пользователь.Мы обнаружили, что легко ограничить доступ на основе для роли с помощью пружинного загрузочного адаптера keycloak, но groups сложнее.Для этого мы написали код для поиска групп пользователей , используя java SDK keycloak, а затем на уровне приложения отфильтровали то, что пользователь может видеть на основе этого - на самом деле на основе ограничений, которые могут быть переданы вво время развертывания .

Keycloak java sdk просто вызывает REST API keycloak, поэтому в вашем случае, возможно, вы могли бы вызвать REST API из вашего javascript, чтобы выяснить, в какие группы входит пользователь (который я думаю, что вы настроили Keycloak для извлечения из LDAP).

Я не знаю ни одного нестандартного способа сделать ограничения, которые вы ищете из keycloak, так как методы ограничения ориентированы на роли, а не на группы.Возможно, это было бы возможно, если бы вы использовали ролевую карту , но я не знаю об этом много.