Управление пользователями и ролями

Keycloak предоставляет комплексное управление жизненным циклом пользователей и тонко настроенный контроль доступа на основе ролей (RBAC). Пользователи, роли и группы управляются в пределах каждого Realm.

Содержание

Управление пользователями Создание пользователя Сброс пароля пользователя Управление ролями Создание роли Realm Назначение ролей пользователям Управление группами Создание группы Добавление пользователей в группу Составные роли

Управление пользователями

Создание пользователя

Web Console

CLI

Войдите в Keycloak Admin Console и выберите нужный Realm.
Нажмите Users в левой навигационной панели.
Нажмите Create new user.
Заполните обязательные поля:

Поле	Описание
Username	Уникальный идентификатор пользователя в рамках Realm
Email	Электронная почта пользователя. Используется для входа, если включен вход по email.
First Name / Last Name	Поля отображаемого имени
Email Verified	Если включено, пропускается шаг подтверждения email
Enabled	Если отключено, пользователь не может войти

Нажмите Create.
Перейдите на вкладку Credentials, чтобы задать начальный пароль.

Используйте Keycloak Admin REST API для создания пользователя:

# Получить токен доступа администратора
ACCESS_TOKEN=$(curl -s -X POST \
  "https://<keycloak-host>/realms/master/protocol/openid-connect/token" \
  -d "client_id=admin-cli" \
  -d "username=<admin-user>" \
  -d "password=<admin-password>" \
  -d "grant_type=password" | jq -r '.access_token')

# Создать пользователя
curl -s -X POST \
  "https://<keycloak-host>/admin/realms/<realm>/users" \
  -H "Authorization: Bearer $ACCESS_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "username": "jdoe",
    "email": "jdoe@example.com",
    "firstName": "John",
    "lastName": "Doe",
    "enabled": true,
    "emailVerified": true,
    "credentials": [{
      "type": "password",
      "value": "changeme",
      "temporary": true
    }]
  }'

Сброс пароля пользователя

В Admin Console перейдите в Users и выберите нужного пользователя.
Нажмите на вкладку Credentials.
Нажмите Reset password.
Введите новый пароль и включите Temporary, если хотите, чтобы пользователь сменил пароль при следующем входе.
Нажмите Save password.

Управление ролями

Keycloak поддерживает два типа ролей:

Тип роли	Область действия	Сценарий использования
Realm Roles	Действуют на весь Realm	Представляют глобальные роли приложения (например, `admin`, `user`)
Client Roles	Действуют для конкретного клиента	Представляют специфичные для приложения разрешения (например, `orders:read`)

Создание роли Realm

В Admin Console перейдите в Realm Roles.
Нажмите Create role.
Введите Role name и необязательное Description.
Нажмите Save.

Назначение ролей пользователям

Перейдите в Users и выберите нужного пользователя.
Нажмите вкладку Role mapping.
Нажмите Assign role.
Выберите роли для назначения и нажмите Assign.

Управление группами

Группы позволяют управлять назначением ролей сразу для нескольких пользователей. Назначьте роли группе, и все участники группы автоматически наследуют эти роли.

Создание группы

В Admin Console перейдите в Groups.
Нажмите Create group.
Введите Name и нажмите Create.
На вкладке Role Mapping группы назначьте нужные роли Realm или клиента.

Добавление пользователей в группу

Перейдите в Users и выберите нужного пользователя.
Нажмите вкладку Groups.
Нажмите Join Group, выберите группу и нажмите Join.

Составные роли

Composite Role — это роль, которая содержит другие роли. При назначении пользователю составной роли он наследует все роли, входящие в неё. Это упрощает управление разрешениями при сложных иерархиях ролей.

Для создания составной роли:

Создайте роль Realm.
В деталях роли включите Composite role.
На вкладке Associated roles добавьте дочерние роли.

#Управление пользователями и ролями

#Содержание

#Управление пользователями

#Создание пользователя

#Сброс пароля пользователя

#Управление ролями

#Создание роли Realm

#Назначение ролей пользователям

#Управление группами

#Создание группы

#Добавление пользователей в группу

#Составные роли