<div dir="ltr">We&#39;re aware that permissions are not fine grained enough at the moment and we are planning on providing something better in the future. It will however be a while until we are able to do so.</div><div class="gmail_extra"><br><div class="gmail_quote">On 22 July 2016 at 16:36, Valerij Timofeev <span dir="ltr">&lt;<a href="mailto:valerij.timofeev@gmail.com" target="_blank">valerij.timofeev@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<br><br>after reading the ticket KEYCLOAK-528 I&#39;ve encountered two other issues in the &quot;security-admin-console&quot; application (tested on RH SSO 7.0.0): <br><br>1) As soon as a realm user gets the &#39;manage-users&#39; role, he can manage &quot;User federation&quot; settings and even delete it. This can result in unintentional removal of all users linked with the user federation provider and thus affect potentially millions of users.<br><br>2) Users having &#39;view-users&#39; role can view &quot;User Federation&quot;. &quot;Delete&quot; button is visible as well although it does not work finally.<br><br>IMO &quot;User federation&quot; should be covered by the realm management roles instead. <br><br>Additionally the provided roles for the &#39;realm-management&#39; client are not fine grained enough IMO. One role per REST method would be ideal and, I suppose, simplier to consider in the Keycloak Admin API.<br><br>The &quot;security-admin-console&quot; application without fine grained roles exposes too much risk in real life scenarios and so makes it unusable. One use case in mind: prevent deletion of any kind for Helpdesk employees e.g. managing users. Having dedicated roles for DELETE operation would make such task possible.<br><br>Kind regards<span class="HOEnZb"><font color="#888888"><br>Valerij Timofeev<br><br></font></span></div>
<br>______________________________<wbr>_________________<br>
keycloak-user mailing list<br>
<a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
<a href="https://lists.jboss.org/mailman/listinfo/keycloak-user" rel="noreferrer" target="_blank">https://lists.jboss.org/<wbr>mailman/listinfo/keycloak-user</a><br></blockquote></div><br></div>