我试图配置一个支持组,可以访问某一组客户,但不是全部,所以我创建了一个new_user_group
和一个support_group
(这个组有real-management
角色来查看和管理用户,所以我可以看到那些admin-console
菜单)和添加的策略,这样support_group
只能看到和管理那个new_user_group
的组和用户,而不是那些user_group
。不幸的是,在与support_group
的用户登录后,我可以看到所有用户和组不仅仅是new_user_group
的用户和组。
我已经使用了realm-management
客户端的授权评估程序。有趣的是,如果我选择support_group的新用户和带有视图范围的user_group资源,它会正确地确定应该拒绝访问。
我错过了什么吗?也许问题是new_support_group确实有像view-users这样的领域管理角色?但如果我删除这些角色,我将无法看到任何菜单。
您必须向该组提供该策略应该应用于query_users
客户端的角色realm_management
。不要将manage_useres
角色添加到组中,因为这会忽略任何策略。