Keycloak Berechtigungen

Beim Einsatz von Keycloak ist es teilweise notwendig für Benutzer im BPC Berechtigungen im Keycloak zu setzen.

Es werden hier nur die Berechtigung für die Rollen basierte Autorisierung (RBA) angegeben. Es gibt die Möglichkeit dies auch über Fine grain admin permissions umzusetzen.

Es muss immer nur eine der aufgelisteten Rollen zugeordnet sein. Bei Ausnahmen, bei denen mehrere Rollen nötig sind, werden diese in Klammern gruppiert.

Alternativ für die genannten Rollen, können auch immer die Rollen admin bzw. realm-admin vergeben werden. Diese sind jedoch sehr mächtig und sollten nur bewusst vergeben werden.

Allgemeine BPC Funktionen

Funktion Rollen Beschreibung

Funktion	Rollen	Beschreibung
Speichern der Benutzersprache im Keycloak Profil	`manage-account`	Wird benötigt, um die vom Benutzer gewählte Sprache im BPC ebenfalls als Sprache am Profil des Benutzers im Keycloak zu hinterlegen. Diese Rolle ist beim Anlegen von Realms häufig bereits über `default-roles` jedem User zugewiesen. Ist am Keycloak `Localization` aktiviert, werden dadurch alle Keycloakmasken, wie z.B. der Login, entsprechend übersetzt.
Organisationen auflisten	`manage-users`, `view-users`, `query-groups`	Liest die Liste der verfügbaren Organisationen aus. Diese wird genutzt, um in der Oberfläche bei der Zuordnung zu Organisationen eine Auswahl anzubieten. Fehlt die Berechtigung, so muss der User die Organisationen selbst eingeben.
Rollen auflisten	`manage-realm`, `view-realm`, `query-clients`, `query-users`, `query-groups`, `query-realms`, `manage-clients`, `view-clients`	Liest die Liste der verfügbaren Rollen aus. Diese wird genutzt, um in der Oberfläche bei der Zuordnung zu Rollen eine Auswahl anzubieten. Fehlt die Berechtigung, so muss der User die Rollen selbst eingeben. Achtung: Je nachdem, ob es sich um Realm- oder Client-Rollen handelt sind evtl. mehrere Rollen nötig.
Rechte auflisten	-	Wird nicht unterstützt.

Speichern der Benutzersprache im Keycloak Profil

manage-account

Wird benötigt, um die vom Benutzer gewählte Sprache im BPC ebenfalls als Sprache am Profil des Benutzers im Keycloak zu hinterlegen. Diese Rolle ist beim Anlegen von Realms häufig bereits über default-roles jedem User zugewiesen. Ist am Keycloak Localization aktiviert, werden dadurch alle Keycloakmasken, wie z.B. der Login, entsprechend übersetzt.

Organisationen auflisten

manage-users, view-users, query-groups

Liest die Liste der verfügbaren Organisationen aus. Diese wird genutzt, um in der Oberfläche bei der Zuordnung zu Organisationen eine Auswahl anzubieten. Fehlt die Berechtigung, so muss der User die Organisationen selbst eingeben.

Rollen auflisten

manage-realm, view-realm, query-clients, query-users, query-groups, query-realms, manage-clients, view-clients

Liest die Liste der verfügbaren Rollen aus. Diese wird genutzt, um in der Oberfläche bei der Zuordnung zu Rollen eine Auswahl anzubieten. Fehlt die Berechtigung, so muss der User die Rollen selbst eingeben. Achtung: Je nachdem, ob es sich um Realm- oder Client-Rollen handelt sind evtl. mehrere Rollen nötig.

Rechte auflisten

Wird nicht unterstützt.

Integrierte Benutzerverwaltung

Folgende Keycloak Berechtigungen sind für die einzelnen Funktionen der integrierten Benutzerverwaltung nötig.

Funktion Rollen

Funktion	Rollen
Benutzer auflisten	`manage-users`, `query-users`
Anzeige Benutzer Berechtigungen	`manage-users`, (`query-users` UND `view-users`)
Benutzer hinzufügen	`manage-users`
Benutzer hinzufügen	`manage-users`
Passwort setzen	`manage-users`
Benutzer imitieren / impersonieren	(`manage-users` UND `impersonate`)

Benutzer auflisten

manage-users, query-users

Anzeige Benutzer Berechtigungen

manage-users, (query-users UND view-users)

Benutzer hinzufügen

manage-users

Benutzer hinzufügen

manage-users

Passwort setzen

manage-users

Benutzer imitieren / impersonieren

(manage-users UND impersonate)

Benutzer Berechtigungen bearbeiten wird aktuell nicht unterstützt.

Keywords: