Rollen und Berechtigungen
In Keycloak dient eine Rolle als eine Art Label, das wir einem Benutzer oder einer Gruppe von Benutzern zuweisen können, um bestimmte Berechtigungen zu vergeben. Ein Benutzer mit einer bestimmten Rolle kann daraufhin bestimmte Aktionen ausführen oder auf bestimmte Ressourcen zugreifen, je nachdem, wie client-Anwendungen diese Rollen interpretieren.
Realm-Rollen vs. Client-Rollen
Realm-Rollen: Diese Rollen sind auf Realm-Ebene definiert und gelten für den gesamten Realm. Das heißt, wenn Sie eine Realm-Rolle zu einem Benutzer hinzufügen, hat der Benutzer diese Rolle in jeder Anwendung innerhalb dieses Realms. Realm-Rollen sind ideal für Berechtigungen, die über viele Services hinweg gelten sollen. Diese Rollen sind oft allgemeine Rollen, wie z.B. admin, user oder manager.
Client-Rollen: Diese Rollen sind spezifisch für einen bestimmten Client innerhalb eines Realms. Sie würden Client-Rollen verwenden, wenn Sie einer Anwendung spezifische Rollen hinzufügen möchten. Diese Rollen sind nützlich, um Berechtigungen auf Anwendungsebene feiner zu steuern.
Composite-Rollen: Keycloak erlaubt es auch, sogenannte Composite-Rollen zu erstellen. Ein Composite ist im Grunde eine Rolle, die eine Sammlung von anderen Rollen enthält. Dabei ist es möglich, sowohl Realm-Rollen als auch Client-Rollen in einer einzigen Composite-Rolle zu bündeln. Der Hauptvorteil davon ist, dass Sie eine Reihe von Berechtigungen gruppieren können, die zusammen einen bestimmten Zweck oder Kontext erfüllen.
- Vorteile:
- Modularität: Durch die Verwendung von Composite-Rollen können Sie eine modularere und wiederverwendbare Rollen- und Berechtigungsstruktur erstellen. Einzelne Rollen können für spezifische Aufgaben definiert werden, und Composite-Rollen können diese dann zu einer umfassenderen Rolle kombinieren.
- Einfache Verwaltung: Änderungen an den zugrunde liegenden Rollen werden automatisch auf alle Composite-Rollen angewendet, die diese enthalten. Das vereinfacht die Verwaltung und Wartung von Berechtigungen.
- Flexibilität: Sie können eine Rolle für einen speziellen Anwendungsfall zusammenstellen, ohne neue Rollen erstellen zu müssen. Zum Beispiel könnte eine Composite-Rolle namens `
store-manager` die Rollen `inventory-management`, `employee management` und `customer-service` beinhalten.
- Erstellung:
- Realm-Ebene: Wenn Sie unter Roles eine Realm-Rolle auswählen, können Sie diese durch die Option Actions -> Add associated roles zu einer Composite-Rolle machen. Im dann folgenden Dialog können Sie zwischen „Filter by realm roles“ und „Filter by clients“ wechseln, um genau die Rollen auszuwählen, die Sie hinzufügen möchten.
- Client-Ebene: Ähnlich wie bei Realm-Rollen können Sie auch bei den Client-Rollen unter Actions -> Add associated roles andere Rollen hinzufügen. Auch hier haben Sie die Möglichkeit, im Dialog zwischen „Filter by realm roles“ und „Filter by clients“ zu wechseln, um die passenden Rollen auszuwählen.
Werbung/Advertising
🔥 BestsellerHP EliteBook 830 G6 13,3 Zoll 1920x1080 Full HD Intel Core i5 512GB SSD 12GB Windows 11 Pro Webcam
Preis: 329,00 EUR
🔥 BestsellerDell Latitude 7210 2-in-1 12,3 Zoll Touch Display Intel Core i5 512GB SSD 16GB Windows 11 Pro LTE
Preis: 419,00 EUR
Eizo FlexScan EV2456-BK schwarz 24 Zoll WUXGA 1920x1200 DisplayPort HDMI DVI-D VGA USB Höhenverstellbar
Preis: 169,00 EUR
🔥 BestsellerDell Latitude 5401 14 Zoll 1920x1080 Full HD Intel Core i5 512GB SSD 16GB Windows 11 Pro Webcam
Preis: 509,00 EUR
🔥 BestsellerHP EliteBook x360 1040 G8 14 Zoll Touch Display Intel Core i7 1TB SSD 16GB Windows 11 Pro Fingerprint
Preis: 909,01 EUR
🔥 BestsellerHP EliteDesk 800 G5 Desktop Mini Intel Core i5-9500 512GB SSD 16GB Windows 11 Pro
Preis: 399,00 EUR
🔥 BestsellerDell Latitude 5520 15,6 Zoll 1920x1080 Full HD Intel Core i5 512GB SSD 16GB Windows 11 Pro Webcam
Preis: 548,99 EUR
🔥 BestsellerLenovo ThinkPad T14 Gen 1 14 Zoll Touch Display Intel Core i5 256GB SSD 16GB Windows 11 Pro LTE Webcam
Preis: 638,99 EUR
Rollenzuweisung an Benutzer und Gruppen
Zuweisung an Benutzer
Sie können Rollen direkt an einen Benutzer zuweisen. Das machen Sie in der Admin-Konsole unter „Benutzer“, indem Sie einen bestimmten Benutzer auswählen und dann zur Tab „Rollen“ wechseln. Hier können Sie Realm-Rollen und Client-Rollen auswählen und dem Benutzer zuweisen.
Zuweisung an Gruppen
Wenn Sie eine Rolle mehreren Benutzern gleichzeitig zuweisen möchten, ist es effizienter, diese einer Gruppe zuzuweisen. Alle Benutzer in dieser Gruppe erben dann die Rollen, die der Gruppe zugewiesen sind. Das machen Sie unter „Gruppen“ und dann „Rollen“.
Werbung/Advertising
Lenovo ThinkPad T14s Gen 2 14 Zoll 1920x1080 Full HD Intel Core i5 256GB SSD 16GB Windows 11 Pro Webcam
Preis: 599,00 EUR
🔥 BestsellerLenovo ThinkPad T14 Gen 1 14 Zoll 1920x1080 Full HD Intel Core i7 256GB SSD 32GB Windows 11 Pro Fingerprint
Preis: 479,00 EUR
🔥 BestsellerHP EliteBook 840 G4 14 Zoll 1920x1080 Full HD Intel Core i5 256GB SSD 8GB Windows 10 Pro Webcam
Preis: 359,00 EUR
🔥 BestsellerLenovo ThinkPad P14s Gen 2 14 Zoll 1920x1080 Full HD Intel Core i5 512GB SSD 24GB Windows 11 Pro Nvidia Quadro
Preis: 758,99 EUR
🔥 BestsellerLenovo ThinkCentre M70q Tiny Intel Core i5-10500T 512GB SSD 16GB Windows 11 Pro
Preis: 529,00 EUR
🔥 BestsellerLenovo Thinkpad Thunderbolt 3 Dock 40AC Dockingstation inkl. 135 Watt Netzteil inkl. USB-C Kabel 40AC0135EU
Preis: 119,00 EUR
🔥 BestsellerLenovo ThinkPad X390 Yoga 13,3 Zoll Touch Display Intel Core i5 512GB SSD 16GB Windows 11 Pro LTE
Preis: 389,00 EUR
🔥 BestsellerHP Elite Mini 600 G9 Intel Core i5-12500T 512GB SSD 16GB Windows 11 Pro inkl. W-Lan
Preis: 679,00 EUR
Realm Roles anlegen
- Im Realm
olymp- Ream roles →
Create roleadmin
- Ream roles →
Create roleuser
- Ream roles →
Create Realm Role
Client Roles anlegen
- Clients →
athen→ Tab Roles →Create roleclient_admin
- Clients →
athen→ Tab Roles →Create roleclient_user
Create Client Role
Werbung/Advertising
Composite-Roles anlegen
- Realm roles →
admin→ Associated roles → Action → Add associated Roles → Filter by clients- Auswählen
(athen)client_admin
(athen)client_userAssign
- Auswählen
1. Add associated roles
Create Composite Role – Part 1
2. Filter by clients
Create Composite Role – Part 2
3. Assign roles to admin
Create Composite Role – Part 3
Werbung/Advertising
Eine weitere Composite-Role
- Realm roles →
user→ Associated roles → Action → Add associated Roles → Filter by clients- Auswählen
(athen)client_userAssign
- Auswählen
Die Wirkung der Zuordnung einer zusammengesetzten Rolle
Das Zuweisen einer zusammengesetzten Rolle wie ‚admin‘ zu einem Benutzer hat den Vorteil, dass dieser Benutzer nun alle Berechtigungen erbt, die mit den einzelnen Rollen verbunden sind, aus denen die zusammengesetzte Rolle besteht. Im Fall von ‚zeus‘ bedeutet dies:
- Durch die Realm-Rolle ‚admin‘ erhält der Benutzer administrative Privilegien auf der Ebene des Realms.
- Mit der Client-Rolle ‚Role client_admin‘ bekommt ‚zeus‘ administrative Rechte für den Client ‚athen‘.
- Die Client-Rolle ‚Role client_user‘ gewährt ‚zeus‘ zusätzliche benutzerspezifische Rechte für denselben Client.
Das macht die Verwaltung von Berechtigungen viel effizienter und übersichtlicher. Statt mehrere einzelne Rollen zu verwalten, können Sie einfach eine zusammengesetzte Rolle erstellen und diese einem Benutzer zuweisen. Die zusammengesetzte Rolle dient quasi als eine Art „Rechte-Bündel“, das einfach verteilt und verwaltet werden kann.
Nun wissen wir, wie Realms, User und Rollen angelegt werden und wie man eine oder mehrere Rollen einem User zuordnet. Jetzt ist ein guter Zeitpunkt, um das einmal auszuprobieren:
- Erstellen Sie einen User hercules im Realm olymp
- Erstellen Sie ein Passwort für den User hercules
- Weisen Sie dem neuen User die Realm- (composite) Role user zu
Sie können natürlich beliebig andere User hinzufügen. In den hier gezeigten Beispielen ist der Einfachheit halber der Username immer identisch mit dem Passwort.
Ausblick
Demnächst steht die Konfiguration des Realms olymp sowie eine Spring-Demo-Anwendung zum Authorization-Code-Flow auf GitHub zur Verfügung.
Werbung/Advertising
Windows 11 Pro
Preis: 14,90 EUR
Office 2024 Professional Plus 3 Ger?te
Preis: 29,99 EUR
Adobe Lightroom CC 1 TB
Preis: 270,00 EUR
Kaspersky Mobile
Preis: 25,00 EUR
Windows 10/11 Home
Preis: 14,30 EUR
Adobe Acrobat Pro 2020 MAC
Preis: 600,00 EUR
Ashampoo Burning Studio 27
Preis: 25,00 EUR
Office 2019 Professional
Preis: 39,90 EUR
tiny-tool.de
tiny-tool.de