基于角色的策略
可以使用此类型的策略来定义允许一组或多个角色访问对象的权限的条件。
默认情况下,添加到此策略的角色未被指定为必需,如果请求访问的用户已被授予任何这些角色,策略将授予访问权限。但是,如果要强制执行特定角色,则可以根据需要指定特定角色。您还可以组合所需的和不需要的角色,而不管它们是领域还是客户端角色。
当您需要更多受限制的基于角色的访问控制(RBAC)时,角色策略可能会很有用,因为必须执行特定角色才能授予对对象的访问权限。例如,您可以强制执行用户必须同意允许客户端应用程序(代表用户的用户)访问用户的资源。您可以使用Keycloak客户端范围映射来启用同意页面,甚至强制客户端在从Keycloak服务器获取访问令牌时显式提供范围。
要创建新的基于角色的策略,请在策略列表右上角的下拉列表中选择“Role”。
配置
- Name
描述政策的可读和唯一的字符串。最佳做法是使用与您的业务和安全要求密切相关的名称,以便您更轻松地识别它们。
- Description
包含有关此策略详细信息的字符串。
- Realm Roles
指定此策略允许哪些领域角色。
- Client Roles
指定此策略允许哪些客户端角色。要启用此字段必须首先选择客户端。
- Logic
在其他条件得到评估之后,该政策的逻辑应用。