У меня есть веб-приложение, использующее Keycloak для IdM.
Я использую Учетные данные для пароля владельца ресурса или поток прямого предоставления для аутентификации, который использует вызовы REST API к /auth/realms/{realm}/protocol/openid-connect/token вместо перенаправления браузера, чтобы получить пользователю JWT.
Я хотел бы реализовать аналогичный рабочий процесс для регистрации пользователей.
Глядя на документацию Keycloak, представляется, что API администратора Keycloak предоставляет конечную точку для этого по адресу / auth / admin / realms / {realm} / users .
Чтобы разрешить клиентам взаимодействовать с API администратора Keycloak, необходимо создать учетную запись службы клиента и связать ее с ролью Keycloak с достаточными привилегиями для управления областью.users.
Ожидается, что для этого потребуется применить специальную роль manage-users к учетной записи службы клиента.Это больше разрешений, чем я хотел бы предоставить клиенту.
Есть ли способ предоставить учетной записи службы клиента просто возможность создавать новых пользователей, а не полный набор разрешенийчто идет с управляющими пользователями?