Может ли менеджер пользователей ограничиваться управлением только пользователями определенных групп?

Question

Я пытаюсь создать сценарий, в котором есть «менеджеры группы», которые отвечают за создание и ведение учетных записей в группе, но не имеют доступа (даже не видят) к учетным записям, не принадлежащим к группе..

У меня ничего не получается, отчасти, возможно, потому, что я не могу найти в документах описания того, что на самом деле делают встроенные роли (user_manager, user_deleter и т. Д.).

Моя главная проблема заключается в том, что независимо от того, назначаю ли я пользователей в разные группы или принадлежу к различным арендаторам, любой пользователь с user_manager увидит и сможет редактировать всех пользователей во всех группах / арендаторах.

Идеи о том, какдля достижения этой цели будет приветствоваться.

Answer 1

FusionAuth в настоящее время не поддерживает этот сценарий в пользовательском интерфейсе FusionAuth. Например, любой пользователь с ролью admin или user_manager сможет видеть всех пользователей во всех арендаторах.

Вы можете создавать эти типы операций управления вне пользовательского интерфейса FusionAuth, используя API, и затем, если каждому менеджеру арендатора будет назначен ключ API, ограниченный его арендатором, это будет гарантировать, что они не смогут видеть пользователей вне своего собственного арендатора. Пример этого есть в Руководстве для арендаторов в документации FusionAuth.

Концепция группы в FusionAuth принадлежит Арендатору. Группа в основном используется для логической «группировки» пользователей или динамического назначения ролей в приложениях «один ко многим» через членство в группе.

Идея Tenant Manager в пользовательском интерфейсе FusionAuth находится в планах, мы по-прежнему определяем полный вариант использования и решение проблемы. Если это то, что вас интересует, откройте функцию на странице FusionAuth Issues , и мы сможем отследить требования и разрешение там.