Блог

Мы используем keycloak-admin-client-12.0.4.jar для получения групп через GroupsResource.groups и получения HTTP 403 Forbidden при этом в одной из наших сред (это работает в другой). 403, похоже, означает, что секрет, который мы используем для клиента интерфейса командной строки администратора, в порядке, но почему-то клиенту интерфейса командной строки администратора не разрешено перечислять группы (я также попытался использовать неверный секрет и в этом случае получил 401). Теперь мы пытаемся проверить, правильно ли настроен клиент командной строки администратора в этой среде, чтобы разрешить это.

К нашему удивлению, совершенно не очевидно, как это настроено и настраивается ли оно вообще. Клиент командной строки администратора, предварительно настроенный в образе докера ванильного ключа, не имеет назначенных ролей, так как же ключ-ключ знает, что ему разрешено делать? admin-cli Может быть, он жестко закодирован в клавиатурный ключ с определенными правами? И если да, то почему тогда мы должны получать 403?

Оказывается, что в представлении «Клиенты / администратор-cli» на вкладке «Роли учетных записей служб» нужно выбрать что-то в раскрывающемся списке «Роли клиентов», чтобы увидеть, что настроено, в то время как интуиция сказала бы, что это изменит конфигурацию, а не только прочитает ее. В раскрывающемся списке мы должны были выбрать «управление областью», раскрыв множество «Доступных ролей», из которых мы должны были добавить «управление пользователями» в «Назначенные роли».