Keycloak Rollen und Berechtigungen

Rollen und Berechtigungen

Roles

In Keycloak dient eine Rolle als eine Art Label, das wir einem Benutzer oder einer Gruppe von Benutzern zuweisen können, um bestimmte Berechtigungen zu vergeben. Ein Benutzer mit einer bestimmten Rolle kann daraufhin bestimmte Aktionen ausführen oder auf bestimmte Ressourcen zugreifen, je nachdem, wie client-Anwendungen diese Rollen interpretieren.

Realm-Rollen vs. Client-Rollen

Realm-Rollen: Diese Rollen sind auf Realm-Ebene definiert und gelten für den gesamten Realm. Das heißt, wenn Sie eine Realm-Rolle zu einem Benutzer hinzufügen, hat der Benutzer diese Rolle in jeder Anwendung innerhalb dieses Realms. Realm-Rollen sind ideal für Berechtigungen, die über viele Services hinweg gelten sollen. Diese Rollen sind oft allgemeine Rollen, wie z.B. admin, user oder manager.

Client-Rollen: Diese Rollen sind spezifisch für einen bestimmten Client innerhalb eines Realms. Sie würden Client-Rollen verwenden, wenn Sie einer Anwendung spezifische Rollen hinzufügen möchten. Diese Rollen sind nützlich, um Berechtigungen auf Anwendungsebene feiner zu steuern.

Composite-Rollen: Keycloak erlaubt es auch, sogenannte Composite-Rollen zu erstellen. Ein Composite ist im Grunde eine Rolle, die eine Sammlung von anderen Rollen enthält. Dabei ist es möglich, sowohl Realm-Rollen als auch Client-Rollen in einer einzigen Composite-Rolle zu bündeln. Der Hauptvorteil davon ist, dass Sie eine Reihe von Berechtigungen gruppieren können, die zusammen einen bestimmten Zweck oder Kontext erfüllen.

Vorteile:
- Modularität: Durch die Verwendung von Composite-Rollen können Sie eine modularere und wiederverwendbare Rollen- und Berechtigungsstruktur erstellen. Einzelne Rollen können für spezifische Aufgaben definiert werden, und Composite-Rollen können diese dann zu einer umfassenderen Rolle kombinieren.
- Einfache Verwaltung: Änderungen an den zugrunde liegenden Rollen werden automatisch auf alle Composite-Rollen angewendet, die diese enthalten. Das vereinfacht die Verwaltung und Wartung von Berechtigungen.
- Flexibilität: Sie können eine Rolle für einen speziellen Anwendungsfall zusammenstellen, ohne neue Rollen erstellen zu müssen. Zum Beispiel könnte eine Composite-Rolle namens `store-manager` die Rollen `inventory-management`, `employee management` und `customer-service` beinhalten.
Erstellung:
- Realm-Ebene: Wenn Sie unter Roles eine Realm-Rolle auswählen, können Sie diese durch die Option Actions -> Add associated roles zu einer Composite-Rolle machen. Im dann folgenden Dialog können Sie zwischen „Filter by realm roles“ und „Filter by clients“ wechseln, um genau die Rollen auszuwählen, die Sie hinzufügen möchten.
- Client-Ebene: Ähnlich wie bei Realm-Rollen können Sie auch bei den Client-Rollen unter Actions -> Add associated roles andere Rollen hinzufügen. Auch hier haben Sie die Möglichkeit, im Dialog zwischen „Filter by realm roles“ und „Filter by clients“ zu wechseln, um die passenden Rollen auszuwählen.
Werbung/Advertising

<

Bitdefender Premium VPN

Preis: 90,00 EUR
Zum Angebot
Norton 360 Deluxe inkl. 25GB MD

Preis: 25,00 EUR
Zum Angebot
Windows 10 Home

Preis: 14,90 EUR
Zum Angebot
Windows 11 Home

Preis: 19,90 EUR
Zum Angebot
Windows 10 Pro

Preis: 14,90 EUR
Zum Angebot
Office 2019 Home and Student

Preis: 19,90 EUR
Zum Angebot
Office 2019 Professional

Preis: 39,90 EUR
Zum Angebot
Windows Server 2019 RDS CALS

Preis: 93,90 EUR
Zum Angebot
Windows 10/11 Pro

Preis: 19,90 EUR
Zum Angebot
Panda Dome Complete MD

Preis: 25,00 EUR
Zum Angebot
Office 2021 Professional Plus + Windows 11 Professional GRATIS

Preis: 24,90 EUR
Zum Angebot
Windows Server 2022 CALS

Preis: 99,90 EUR
Zum Angebot
Bitdefender Antivirus Plus

Preis: 50,00 EUR
Zum Angebot
Adobe Photoshop Elements 2025

Preis: 190,00 EUR
Zum Angebot
Microsoft Windows Server 2022 Datacenter

Preis: 219,00 EUR
Zum Angebot
Panda Dome Advanced MD

Preis: 15,00 EUR
Zum Angebot
Office 2021 Home and Business

Preis: 24,90 EUR
Zum Angebot
Office 2021 Professional

Preis: 19,90 EUR
Zum Angebot
Microsoft Excel 2019

Preis: 14,90 EUR
Zum Angebot
Avast Premium Security

Preis: 20,00 EUR
Zum Angebot
Office 2021 Professional Plus

Preis: 19,90 EUR
Zum Angebot
Windows Server 2016 RDS CALS

Preis: 64,90 EUR
Zum Angebot
Microsoft Word 2016

Preis: 14,90 EUR
Zum Angebot
Office 2016 Professional

Preis: 14,90 EUR
Zum Angebot
Microsoft Windows Server 2022

Preis: 349,90 EUR
Zum Angebot
Office 2016 Home and Business

Preis: 14,90 EUR
Zum Angebot
Windows Server 2022 RDS CALS

Preis: 109,90 EUR
Zum Angebot
AVG Internet Security

Preis: 25,00 EUR
Zum Angebot
Office 2024 Home

Preis: 44,90 EUR
Zum Angebot
Windows Server 2016

Preis: 99,90 EUR
Zum Angebot
Microsoft Excel 2021

Preis: 19,90 EUR
Zum Angebot
Microsoft Office 2019 Standard

Preis: 19,90 EUR
Zum Angebot
Watchdog Anti-Malware Vollversion

Preis: 25,00 EUR
Zum Angebot
Office 2021 Professional Plus f?r 3 Ger?te

Preis: 23,50 EUR
Zum Angebot
Kaspersky Mobile

Preis: 25,00 EUR
Zum Angebot
AVG Ultimate

Preis: 25,00 EUR
Zum Angebot
Office 2021 Home and Student

Preis: 19,90 EUR
Zum Angebot
Pinnacle Studio 26 (2023) STANDARD Windows / Deutsch

Preis: 110,00 EUR
Zum Angebot
Windows Server 2019 CALS

Preis: 87,90 EUR
Zum Angebot
Visio 2019 Professional

Preis: 14,90 EUR
Zum Angebot
Visio 2016 Professional

Preis: 14,90 EUR
Zum Angebot
Windows 11 Pro

Preis: 14,90 EUR
Zum Angebot
Office 2021 Professional Plus + Windows 11 Professional Bundle

Preis: 24,90 EUR
Zum Angebot
mySteganos Online Shield VPN

Preis: 55,00 EUR
Zum Angebot
Office 2019 Professional Plus

Preis: 14,90 EUR
Zum Angebot
ESET NOD32 Antivirus

Preis: 50,00 EUR
Zum Angebot
Office 2019 Professional plus

Preis: 39,90 EUR
Zum Angebot
McAfee Total Protection

Preis: 15,00 EUR
Zum Angebot
Microsoft Office 2021 Standard

Preis: 24,90 EUR
Zum Angebot
McAfee VPN Safe Connect

Preis: 30,00 EUR
Zum Angebot
Office 2019 Home and Business

Preis: 19,90 EUR
Zum Angebot
Office 2024 Professional Plus

Preis: 29,99 EUR
Zum Angebot
Adobe Acrobat Standard 2020 OEM

Preis: 900,00 EUR
Zum Angebot
Microsoft Word 2021

Preis: 14,90 EUR
Zum Angebot
Panda Dome Essential MD

Preis: 15,00 EUR
Zum Angebot
McAfee Internet Security

Preis: 25,00 EUR
Zum Angebot
Microsoft Powerpoint 2019

Preis: 29,90 EUR
Zum Angebot
Microsoft Word 2019

Preis: 14,90 EUR
Zum Angebot
Office 2024 Professional

Preis: 39,90 EUR
Zum Angebot
Windows 10/11 Home

Preis: 14,90 EUR
Zum Angebot
Office 2016 Home and Student

Preis: 14,90 EUR
Zum Angebot
Windows Server Standard 2022

Preis: 194,90 EUR
Zum Angebot
Windows Server 2016 CALS

Preis: 64,90 EUR
Zum Angebot
AVG TuneUp ESD

Preis: 25,00 EUR
Zum Angebot

>

Rollenzuweisung an Benutzer und Gruppen

Zuweisung an Benutzer

Sie können Rollen direkt an einen Benutzer zuweisen. Das machen Sie in der Admin-Konsole unter „Benutzer“, indem Sie einen bestimmten Benutzer auswählen und dann zur Tab „Rollen“ wechseln. Hier können Sie Realm-Rollen und Client-Rollen auswählen und dem Benutzer zuweisen.

Zuweisung an Gruppen

Wenn Sie eine Rolle mehreren Benutzern gleichzeitig zuweisen möchten, ist es effizienter, diese einer Gruppe zuzuweisen. Alle Benutzer in dieser Gruppe erben dann die Rollen, die der Gruppe zugewiesen sind. Das machen Sie unter „Gruppen“ und dann „Rollen“.

Realm Roles anlegen

Im Realm olymp
- Ream roles → Create role
  - admin
- Ream roles → Create role
  - user

Create Realm Role

Client Roles anlegen

Clients → athen → Tab Roles → Create role
- client_admin
Clients → athen → Tab Roles → Create role
- client_user

Create Client Role

Composite-Roles anlegen

Realm roles → admin → Associated roles → Action → Add associated Roles → Filter by clients
- Auswählen
  (athen) client_admin
  (athen) client_user
  - Assign

1. Add associated roles

Create Composite Role – Part 1

2. Filter by clients

Create Composite Role – Part 2

3. Assign roles to admin

Create Composite Role – Part 3

Eine weitere Composite-Role

Realm roles → user → Associated roles → Action → Add associated Roles → Filter by clients
- Auswählen
  (athen) client_user
  - Assign

Die Wirkung der Zuordnung einer zusammengesetzten Rolle

Das Zuweisen einer zusammengesetzten Rolle wie ‚admin‘ zu einem Benutzer hat den Vorteil, dass dieser Benutzer nun alle Berechtigungen erbt, die mit den einzelnen Rollen verbunden sind, aus denen die zusammengesetzte Rolle besteht. Im Fall von ‚zeus‘ bedeutet dies:

Durch die Realm-Rolle ‚admin‘ erhält der Benutzer administrative Privilegien auf der Ebene des Realms.
Mit der Client-Rolle ‚Role client_admin‘ bekommt ‚zeus‘ administrative Rechte für den Client ‚athen‘.
Die Client-Rolle ‚Role client_user‘ gewährt ‚zeus‘ zusätzliche benutzerspezifische Rechte für denselben Client.

Das macht die Verwaltung von Berechtigungen viel effizienter und übersichtlicher. Statt mehrere einzelne Rollen zu verwalten, können Sie einfach eine zusammengesetzte Rolle erstellen und diese einem Benutzer zuweisen. Die zusammengesetzte Rolle dient quasi als eine Art „Rechte-Bündel“, das einfach verteilt und verwaltet werden kann.

Nun wissen wir, wie Realms, User und Rollen angelegt werden und wie man eine oder mehrere Rollen einem User zuordnet. Jetzt ist ein guter Zeitpunkt, um das einmal auszuprobieren:

Erstellen Sie einen User hercules im Realm olymp
Erstellen Sie ein Passwort für den User hercules
Weisen Sie dem neuen User die Realm- (composite) Role user zu

Sie können natürlich beliebig andere User hinzufügen. In den hier gezeigten Beispielen ist der Einfachheit halber der Username immer identisch mit dem Passwort.