Keycloak集集团作为资源所有者

问题描述 投票:4回答:1

我是新来Keycloak,我尝试在我的解决方案使用它作为认证服务器。

我有以下实体的模式:设备通过对一些用户属于一个特定的公司所拥有。用户与角色管理员可以查看某一组设备到属于管理员的公司普通用户,但只有那些设备授予权限。因此,除非管理员的所有用户只能查看在公司所有设备的子集。基于这些要求,我决定把公司作为组和设备作为Keycloak的资源。为了评估权限,我选择了以规则为基础的政策。

现在的问题是 - 我可以设置组作为资源的所有者,以检查这一政策的关系?

如果有人是更有经验的keycloak并知道如何更好地代表这样的模型,请帮助。

先感谢您。

authorization keycloak abac
1个回答
0
投票

在Keycloak,你可以代表一个特定的公司(或任何组织或组织单元)作为一个境界:https://www.keycloak.org/docs/latest/server_admin/index.html#core-concepts-and-terms创建一个新的境界:https://www.keycloak.org/docs/latest/server_admin/index.html#_create-realm

然后,代表该公司的用户作为公司的Keycloak境界https://www.keycloak.org/docs/latest/server_admin/index.html#user-management用户

......和设备为客户Keycloak(你想执行权限上是Keycloak模型中的客户端的任何类型的资源):https://www.keycloak.org/docs/latest/server_admin/index.html#core-concepts-and-terms

管理员角色,已经被默认为每个角色(角色菜单)中定义。

说明书上Keycloak 4.0.0测试。

对于每个设备,创建在Keycloak(客户菜单)的相应的客户端。交换机上启用新的客户端的权限选项卡上的权限。管理控制台权限列表会出现仅低于开关按钮,如查看权限。

然后,以分配查看设备的一些用户权限,管理员应该点击刚才提到的查看权限(链接),创建一个用户策略(创建策略...列表框),并选择在用户(受让人)在用户现场。

为了在多个设备上的权限分配给同组的人,使用组或角色策略,而不是(前把用户在同一个组)。

为了将权限分配给设备组,使用每个设备的组中的一个组/角色,然后将用户分配到组/角色。

© www.soinside.com 2019 - 2024. All rights reserved.