2

我们必须在 keycloak 中为每个用户和每个客户端配置时间限制访问。例如,用户 a 应该可以从 2017-11-06 到 2018-11-06 访问 confluence。

我们在 keycloak 管理控制台中配置了基于时间的策略,并使用内置的评估页面成功检查了条件。

客户 >> Confluence >> 授权 >> 政策

但是keycloak在用户登录时没有评估策略。

我们的第一个假设是 keycloak 会在用户身份验证时评估这些策略,但我们配置的任何策略都不会对用户身份验证产生任何影响(用户可以独立于 keycloak 的策略配置登录)。我们假设客户端(例如 Confluence)必须评估客户端策略。我们的假设正确吗?

请您能给我们提示如何在 keycloak 中配置将在用户身份验证期间评估的用户访问策略吗?

4

1 回答 1

3

这些政策都是关于授权的!

它们对身份验证没有影响。
身份验证只是对登录凭据的验证。

Keycloak 本身并没有做出任何授权决定。它只提供数据,例如声明、角色和权限,客户端(即应用程序)可以使用这些数据来做出授权决策。

根据定义的策略,经过身份验证的用户在相应的访问令牌中具有特定的角色和权限。然后,应用程序负责根据用户在令牌中提供的角色和权限来允许或拒绝对特定功能或数据的访问。

也就是说,您描述的策略将影响用户的权限。在 2017 年 11 月 6 日之前和 2018 年 11 月 6 日之后,一些必需的权限将不在用户的访问令牌中,因此应用程序将拒绝访问某些功能。

抱歉,但我不知道这在Confluence中是如何工作的。

于 2017-11-06T11:31:04.587 回答