11.3. 使用权限委派域管理

在域中，您可以管理不同类型的资源，如用户、组、客户端、客户端范围、角色等。作为域管理员，在管理身份时，您要持续管理这些资源，以及它们验证方式并被授权访问 realm 和应用程序。

此功能提供了在管理域资源时强制访问控制所需的机制，仅限于：

您可以管理给定资源类型的所有资源的权限，如域中所有用户或特定域资源，如特定用户或域中一组用户。

每个 realm 资源都支持一组定义良好的管理操作或范围，它们可以在它们上执行，如 查看、管理 以及特定于资源的操作，如 view-members。

在管理权限时，您要从资源类型中选择一个或多个范围的集合，以允许 realm 管理员对资源类型执行特定的操作。例如，授予 视图 范围将授予对 realm 管理员的访问权限，以列出、搜索和查看 realm 资源。另一方面，管理 范围将允许管理员执行更新并删除它们。

范围相互完全独立。如果您授予 管理域 资源的访问权限，这并不表示会自动授予 视图 范围。范围之间没有传输依赖关系。虽然这可能会在管理权限时影响整体用户体验，因为您需要选择单个范围，但好处是您可以更轻松地识别强制访问特定范围的权限。

来自资源类型的某些范围具有关系（而不是传输依赖项）到另一资源类型中的范围。当您管理代表一组域资源的资源类型（如 realm 组及其成员）时，这个关系主要为 true。

要在域中启用精细的 admin 权限，请按照以下步骤操作：

启用后，会在管理控制台的左侧菜单中会出现一个 Permissions 部分。

在本节中，您可以管理 realm 资源的权限。

Permissions 选项卡提供域中所有活动权限的概述。在此，管理员可以创建、更新、删除或搜索权限。您还可以预先评估您创建的权限，以检查它们是否按预期强制访问 realm 资源。如需了解更多详细信息，请参阅 评估权限。

要创建权限，请点击 Create permission 按钮并选择您要保护的资源类型。

选择资源类型后，现在可以定义如何为所选类型的一组一个或多个资源强制实施访问权限：

在管理权限时，您可以定义以下设置：

创建权限后，它会在强制访问（所有）资源和您选择的范围时自动生效。请记住，在生产环境中创建和更新权限时请注意。

Policies 选项卡允许管理员使用不同的访问控制方法定义条件，以确定是否应该为试图对域资源执行操作的管理员授予权限。在管理权限时，您必须关联至少一个策略来授予或拒绝对 realm 资源的访问。

策略基本上是评估 GRANT 或 DENY 的条件。其结果将决定是否应授予或拒绝其权限。

只有在所有关联的策略评估 GRANT 时，才会授予权限。否则，权限被拒绝，域管理员将无法访问受保护的资源。

Red Hat build of Keycloak 提供了一组内置策略，您可以从中选择：

当您拥有域定义良好且稳定的权限模型后，就无需创建策略。您可以重复使用现有策略来创建更多权限。

有关每种策略类型的详情，请参阅 管理策略。

Evaluation 选项卡提供了一个测试环境，管理员可以确认权限是否按预期强制访问。当强制访问特定资源以及结果是什么时，管理员可以看到哪些权限。

您需要提供一组字段才能运行评估：

通过单击 Evaluate 按钮，服务器将评估与所选资源和范围关联的所有权限，就像选择的用户在使用管理控制台或 Admin API 时试图访问该资源一样。

例如，在上面的示例中，您可以看到用户 myadmin 可以管理 用户 user-1，因为 允许管理所有域用户权限 作为 PERMIT 权限，从而授予 管理 范围的访问权限。但是，所有其他范围都被拒绝。

与 Permissions 选项卡中搜索功能相结合，您可以执行故障排除来识别任何不如预期影响的权限。

在评估权限时，会应用以下规则：

域管理员可以访问专用的域特定管理控制台，允许他们管理其所分配的域中的资源。此控制台与红帽构建的 Keycloak 管理控制台独立，通常由服务器管理员使用。

有关专用域管理控制台和可用角色的更多详细信息，请参阅： 专用管理控制台。

要访问管理控制台，域管理员必须分配至少以下角色之一，具体取决于需要管理的资源：

通过向域用户授予任何这些角色，他们将能够访问管理控制台，但仅适用于对应于授予的角色的区域。例如，如果您分配 query-users 角色，域管理员将只能访问管理控制台中的 Users 部分。如果管理员对多个资源类型（如用户和组）负责，则必须分配所有对应的 "query channel" 角色。

这些角色启用对查询资源的基本访问权限，但不授予查看或修改它们的权限。要授予或拒绝访问 realm 资源，您需要为每种资源类型提供的任何操作设置权限。如需了解更多详细信息，请参阅 管理权限。

请考虑一个情况，管理员希望允许一组管理员管理域中的所有用户，但属于管理员组的用户除外。本例包括 测试 域和 test-admins 组。

在为域启用功能时，在 realm 管理员管理任何受支持的资源类型时，还有额外的开销。执行这些操作时，这主要是如此：

该功能会在列出或管理 realm 资源时引入额外的检查，以便根据您定义的权限强制访问。当查询 realm 资源时，这主要是因为额外开销来部分评估域管理员的权限，以过滤和分页结果。

对域管理员用户以及可以访问的大部分资源的权限越少。例如，如果要将访问权限委托给域管理员来管理用户，最好让这些用户作为组的成员。通过这样做，您不仅在评估权限时提高了性能，还要创建更易于管理的权限模型。

访问强制的主要影响是在查询域资源时。例如，如果域管理员通过用户、角色或组策略在数千个权限中引用的中引用，在查询域资源时会发生部分评估机制将从数据库查询所有这些权限。更简洁且优化的模型有助于获取较少的权限，但有足够的权限授予或拒绝访问 realm 资源。

例如，授予域管理员访问权限以查看和管理域中用户，最好使用组权限而不是为域中的每个用户创建单独的权限。还要确保与某个权限关联的策略通过直接引用（用户策略）或间接（角色或组策略）引用来引用域管理员，无论资源类型如何，都不跨越多个（千计）权限。

例如，假设您在域中有三个用户，并且您想要允许 bob （一个域管理员） 来查看和 管理它们。非优化权限模型会为每个用户创建三种不同的权限，用户策略将授予对 bob 的访问权限。相反，您可以拥有单个组权限，甚至是一个用户权限，在仍使用同一用户策略授予对 bob 的访问权限时。

如果要向这三个用户授予更多域管理员访问权限，则也是如此。您可以考虑使用组或角色策略，而不是创建单独的策略。权限模型是特定于用例的，但这些建议很重要，不仅能提供更好的管理性，还在管理域资源时提高服务器的整体性能。

在服务器配置中，根据您的域的大小以及您拥有的权限和策略数量，您可以考虑更改缓存配置以增加以下缓存的大小：

考虑查看这些缓存的服务器指标，以查找在调整部署的大小时的最佳值。

在过滤资源时，部分评估机制最终依赖 SQL 语句中的 IN 子句来过滤结果。根据您的数据库，您可能会对 IN 子句的参数数量有限制。这是对 Oracle 数据库的旧版本的情况，对 1000 参数具有硬性限制。要避免这些问题，请记住有关授予或拒绝访问单个域管理员的权限数的注意事项。