<div dir="ltr"><div style="font-size:12.8px">Hi,</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">how would one configure Keycloak to obtain following scenario&#39;s?</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Scenario 1:</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">client A: public (angular app)</div><div style="font-size:12.8px">client B: bearer-only (microservice)</div><div style="font-size:12.8px">client C: bearer-only (microservice)</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">- microservice B is allowed to call microservice C, but an authenticated user in the js app A should be forbidden to call microservice C directly.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Scenario 2:</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><div>client A: public (angular app)</div><div>client B: confidential (1 war with a REST service AND a JSF application, both using the same EJB business layer which is accessing microservice C)</div><div>client C: bearer-only (microservice)</div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">- a user authenticated in the angular app can use the REST service of app B and will see the results of microservice C, but the user may not call microservice C directly<br></div><div style="font-size:12.8px">- a user authenticated in the JSF application will see the results of microservice C when using the JSF application, but should not be able to use microservice C directly (if the user would reuse the same access_token)</div><div style="font-size:12.8px">- should there be different roles for the REST part and the JSF part of app B (for accessing microservice C)?</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Kind regards,</div><div style="font-size:12.8px">Dirk</div></div>