<div dir="ltr">Hi,<br><br>after reading the ticket KEYCLOAK-528 I&#39;ve encountered two other issues in the &quot;security-admin-console&quot; application (tested on RH SSO 7.0.0): <br><br>1) As soon as a realm user gets the &#39;manage-users&#39; role, he can manage &quot;User federation&quot; settings and even delete it. This can result in unintentional removal of all users linked with the user federation provider and thus affect potentially millions of users.<br><br>2) Users having &#39;view-users&#39; role can view &quot;User Federation&quot;. &quot;Delete&quot; button is visible as well although it does not work finally.<br><br>IMO &quot;User federation&quot; should be covered by the realm management roles instead. <br><br>Additionally the provided roles for the &#39;realm-management&#39; client are not fine grained enough IMO. One role per REST method would be ideal and, I suppose, simplier to consider in the Keycloak Admin API.<br><br>The &quot;security-admin-console&quot; application without fine grained roles exposes too much risk in real life scenarios and so makes it unusable. One use case in mind: prevent deletion of any kind for Helpdesk employees e.g. managing users. Having dedicated roles for DELETE operation would make such task possible.<br><br>Kind regards<br>Valerij Timofeev<br><br></div>