Конечно, вы можете сделать это.Самый простой способ - назначить роль по умолчанию новым зарегистрированным пользователям.Роль по умолчанию дает только минимальные права.Тогда ADMIN может выдвинуть пользователя в более подходящую группу или роль.
Возможно, для "автоматизации" или сглаживания второй части этого потока вам может потребоваться некоторая настройка потока.Срhttps://www.keycloak.org/docs/6.0/server_development/#required-action-walkthrough и связанные с ним.
Другое решение состоит в том, чтобы предоставить минимальной роли по умолчанию возможность запрашивать принятие или делать запрос автоматически при первой регистрации (например, почта отправляется в ADMIN).