<div dir="ltr"><div>Hello group,</div><div><br></div><div>I&#39;m about to configure our Web Application Firewall for Keycloak where I want to implement</div><div>the following scenario:</div><div><br></div><div>CLIENT_ENDPOINTS:</div><div>All endpoints needed for Web SSO via OAuth 2.0 / OpenID Connect, as well as the account and </div><div>login/totp/registration/forgot password pages should be accessible from the public internet.</div><div><br></div><div>ADMIN_ENDPOINTS:</div><div>Admin endpoints like the Admin Console, Admin REST API etc. should only be accessible </div><div>from the internal network.</div><div><br></div><div>Are there any guidelines for which URL pattern applies to which category (CLIENT_ENDPOINTS, ADMIN_ENDPOINTS)?</div><div><br></div><div>To me, it seems that:</div><div>- &quot;/auth/admin/*&quot; belongs to the ADMIN_ENDPOINTS category.</div><div>- &quot;/auth/realms/my-realm/*&quot; belongs to the CLIENT_ENDPOINTS category.</div><div>Have I missed anything else?</div><div><br></div><div>Btw. it turns out that some endpoints (unnecessarily) expose internal links like:</div><div>&quot;admin-api&quot; if you go to: <a href="http://localhost:8080/auth/realms/my-realm/">http://localhost:8080/auth/realms/my-realm/</a></div><div><br></div><div>{</div><div>realm: &quot;my-realm&quot;,</div><div>public_key: &quot;...&quot;,</div><div>token-service: &quot;<a href="http://localhost:8080/auth/realms/my-realm/protocol/openid-connect">http://localhost:8080/auth/realms/my-realm/protocol/openid-connect</a>&quot;,</div><div>account-service: &quot;<a href="http://localhost:8080/auth/realms/my-realm/account">http://localhost:8080/auth/realms/my-realm/account</a>&quot;,</div><div>admin-api: &quot;<a href="http://localhost:8080/auth/admin">http://localhost:8080/auth/admin</a>&quot;, </div><div>tokens-not-before: 0</div><div>}</div><div><br></div><div>Can this be disabled?</div><div><br></div><div>Cheers,</div><div>Thomas</div></div>