<div dir="ltr">Currently the admin console reads user and permission details from a special whoAmI endpoint. This means it reads permissions/roles differently to the token code. When we introduced groups this was not added to the whoAmI endpoint, so roles from groups doesn&#39;t work for the admin console.<div><br></div><div>The proper solution is to remove the whoAmI endpoint, which will make sure the admin console uses tokens directly which will eliminate any issues like this in the future.</div><div><br></div><div>That comes with one caveat, which is updating roles when a new realm is created (or a realm is renamed). There&#39;s a simply solution to that though, which is simply redirect to the login screen to get a new token. In the future we&#39;re planning to remove the master realm completely as well. It also applies to using admin endpoints obviously. So anyone adding a new realm would need to get a new token to access the new realm. That&#39;s not a frequent operation though so shouldn&#39;t be a big inconvenience.</div><div><br></div><div>I&#39;ve got this all working and it didn&#39;t take long to implement, but just wanted to give everyone a heads up before I merge it.</div></div>