假设我mycomp在 Keycloak 中使用一个领域来处理所有用户(+ masterKeycloak 超级管理员的领域)。
我的角色是客户支持 (CS),应该能够查看用户并管理他们的基本数据,如姓名、电子邮件、密码重置等。
我可以通过 3 种方式向任何用户授予类似或 的realm-management权限:manage-usersview-users
问题在于,授予manage-users权限 CS 最终能够管理角色和组,因此能够授予其他用户管理权限。这对我的配置无效 - 它是某个更高级别管理员的角色。
如何授予某些用户查看和管理用户基本数据的权限,而不允许他们管理角色?