第 11 章 控制对管理控制台的访问
在 Red Hat Single Sign-On 上创建的每个域都有一个专用管理控制台,该控制台可从中管理该域。主 域是一个特殊的域,它允许管理员管理系统上的多个域。您还可以定义不同域中用户的精细访问来管理服务器。本章在这款方案中都进行了介绍。
11.1. Master realm 访问控制
Red Hat Single Sign-On 中的 master 域是一个特殊的域,它和其它域不同。Red Hat Single Sign-On master 域中的用户有权管理在 Red Hat Single Sign-On 服务器上部署的零个或更多域。创建域后,Red Hat Single Sign-On 会自动创建不同的角色,授予精细权限来访问该新域。可以通过将这些角色映射到主域中的用户来控制管理控制台和 Admin REST 端点 的访问权限。可以创建多个超级用户,以及只能管理特定域的用户。
11.1.1. 全局角色
master 域中有两个 realm 级别的角色。以下是:
- admin
- create-realm
具有 admin 角色的用户是超级用户,并具有完全访问权限来管理服务器上的任何域。具有 create-realm 角色的用户可以创建新的域。它们将被授予他们所创建的任何新域的完全访问权限。
11.1.2. realm 特定角色
master realm 中的 admin 用户可以获得系统的一个或多个其他域的管理权限。Red Hat Single Sign-On 中的每个域都由主域中的客户端表示。客户端的名称为 < realm name>-realm。这些客户端各自定义了客户端级别的角色,定义不同的访问级别来管理单个域。
可用的角色有:
- view-realm
- view-users
- view-clients
- view-events
- manage-realm
- manage-users
- create-client
- manage-clients
- manage-events
- view-identity-providers
- manage-identity-providers
- 模拟(imimimation)
为用户分配您要的角色,并且他们只能使用管理控制台中的特定部分。
具有 manage-users 角色的管理员只能将 admin 角色分配给他们自己具有的用户。因此,如果管理员具有 manage-users 角色,但没有 manage-realm 角色,则无法分配此角色。
