Keycloak -限制每个客户端/应用程序的用户访问权限

Question

我刚刚安装了我的第一个Keycloak服务器，以在两个应用程序之间提供SSO。这些不是Java应用程序，其中一个与SAML-2连接，另一个与OpenID连接。

所以在Keycloak中，我有Realm-1，然后是Client-1(application1)和Client-2(application2)，user-1和user-2。

现在，我希望只允许user-1访问Client-1，允许user-2访问Client-1和Client-2。应该够简单的。

我试着阅读有关角色和授权的内容，但我发现文档(或者仅仅是主题)非常令人困惑。我一直在玩它，但没有成功。我期望一个接口只将一个组映射到一个客户端，并通过从组中添加/删除用户来限制对客户端的访问。

Answer 1

如果您使用的是SAML：

1. 在Keycloak中创建一个新角色。
2. 将此角色分配给组。
3. 在Keycloak中创建新的身份验证脚本。配置登录时允许的角色(例如user.hasRole(realm.getRole("yourRoleName")) )。
4. 在客户端设置中，在“身份验证流覆盖”下选择创建的身份验证(来自步骤3)。

如果您正在使用openid，则look at the comment in this thread