<div dir="ltr"><div><div><div><div>Hi all,<br>KEYCLOAK-1735 describes that users with the &#39;manage-users&#39; can role can self-assign &#39;manage-realm&#39;, and gain substantial extra privileges.<br><br></div>This behaviour came as a substantial surprise to me when I discovered it, and I suspect there are users out there who have vulnerabilities due to this unexpected behaviour.<br><br>KEYCLOAK-1735 is currently marked as an enhancement, and while I can see that it might be substantial work to change this behaviour, I think it should be a priority to make the behaviour clear to users - probably through documentation, and possibly through renaming the role so that its expansive powers are clear.<br><br></div>Is this a possibility? What&#39;s the best way to get this to happen?<br></div>Thanks,<br></div>David<br></div>