我有一个利用 Keycloak for IdM 的 Web 应用程序。
我正在使用 资源所有者密码凭据或直接授予流程进行身份验证,它使用 REST API 调用/auth/realms/{realm}/protocol/openid-connect/token而不是浏览器重定向来获取用户 JWT。
我想为注册用户实施类似的工作流程。
查看 Keycloak 文档,似乎 Keycloak Admin API 在/auth/admin/realms/{realm}/users公开了一个端点。
要允许客户端与 Keycloak Admin API 交互,您必须创建一个客户端服务帐户并将其与具有足够权限的 keycloak 角色相关联来管理领域用户。
对此的预期方法似乎是将管理用户领域特定角色应用于客户服务帐户。这比我想授予客户的权限多。
有没有办法授予客户服务帐户创建新用户的能力,而不是管理用户附带的全套权限?