5.2. 基于角色的策略

您可以使用这类策略为允许一组或多个角色访问对象的权限定义条件。

默认情况下，添加到此策略的角色没有根据需要指定，如果请求访问的用户被授予了任何这些角色，则策略将授予访问权限。但是，如果要强制执行特定的角色，您可以根据需要指定一个特定的角色为 required。您还可以组合所需的和非必需的角色，无论它们是 realm 或 client 角色。

当您需要更多限制基于角色的访问控制(RBAC)时，角色策略很有用，其中必须强制执行特定的角色来授予对对象的访问权限。例如，您可以强制用户必须同意允许客户端应用程序（代表用户执行操作）才能访问用户的资源。您可以使用红帽构建的 Keycloak Client Scope Mapping 来启用同意页面，甚至强制客户端在从红帽构建的 Keycloak 服务器获取访问令牌时显式提供范围。

要创建基于角色的新策略，请从策略类型列表中选择 Role。