... | ... | @@ -2,7 +2,7 @@ Le but serait de transmettre les informations de groupes dans les applications ( |
|
|
|
|
|
Keycloak propose plusieurs fonctionnalités qui pourraient servir dans ce but :
|
|
|
|
|
|
* Groupes définis au niveau du realm. Les utilisateurs membres d'un groupe héritent des roles et attributs définis sur ce groupe. Les rôles sont définis soit au niveau du realm, soit au niveau du client. Il est possible de créer des rôles composites. Le scope roles est automatiquement transmis à la connexion (openid connect). Les rôles sont rattaché à l'utilisateur, et non au groupe, il faudrait à priori créer plusieurs rôles par groupe créé dans laboite (nomgroupe_role)
|
|
|
* Groupes définis au niveau du realm. Les utilisateurs membres d'un groupe héritent des roles et attributs définis sur ce groupe. Les rôles sont définis soit au niveau du realm, soit au niveau du client. Il est possible de créer des rôles composites. Le scope roles est automatiquement transmis à la connexion (openid connect). Les rôles sont rattaché à l'utilisateur, et non au groupe, il faudrait à priori créer plusieurs groupe et rôles par groupe créé dans laboite: 1 groupe d'admins, 1 groupe de membres et les rôles associés rattachés à chaque groupe (member_mongroupe, admin_mongroupe). L'application cliente pourrait ensuite se baser sur le libellé du rôle pour déterminer le groupe/rôle concernés.
|
|
|
|
|
|
* Service d'autorisation (resource server): https://www.keycloak.org/docs/latest/authorization_services/
|
|
|
Permettrait de définir des ressources de type groupe, et d'assigner des permissions à l'utilisateur sur celles-ci. Nécéssite de requêter le serveur d'autorisation depuis l'application.
|
... | ... | |