Мы разрабатываем решение на основе Keycloak (5.0.0), в котором наши клиенты могут создавать свои учетные записи вместе с нами и управлять своими пользователями - и только своими пользователями.
Первоначально с мыслью, что мы могли бы использовать сферы для этого. Каждый клиент получает свое собственное царство. После первоначального тестирования мы решили, что это может быть не очень хорошим решением, так как после создания ~ 500 областей приложение перестает отвечать на запросы (https://issues.jboss.org/browse/KEYCLOAK-4593).
Мы решили попробовать использовать Группы для эмуляции арендатора. Наша цель - создать во время внешнего процесса (Keycloak REST API) группу с правами администратора.
В настоящее время не удается найти способ ограничить этого администратора возможностью управлять только своей собственной группой (создание подгрупп, управление пользователями и предоставление им ролей).
Я заметил несколько писем, в которых упоминались эти функции, но мне не удалось найти реальные примеры, чтобы заставить это работать.
Вторая ссылка показывает, чего именно мы хотели бы достичь.
Текущая альтернатива, которую я вижу, это реализовать фасад (клиент или отдельное веб-приложение), который ограничивал бы видимость и доступ к другим группам.
Есть ли другие альтернативы?