Можно ли ограничить работу диспетчера пользователей только пользователями определенных групп?
Я пытаюсь создать сценарий, в котором есть "менеджеры групп", которые отвечают за создание и ведение учетных записей в группе, но не имеют доступа (даже не видят) к учетным записям, не принадлежащим к группе.
У меня ничего не получается, отчасти, может быть, потому что я не могу найти описания в документах о том, какие встроенные роли (user_manager, user_deleter и т. д.) на самом деле.
Моя главная проблема заключается в том, что независимо от того, назначаю ли я пользователей в разные группы или принадлежу к различным арендаторам, любой пользователь с user_manager увидит и сможет редактировать всех пользователей во всех группах / арендаторах.
Идеи о том, как этого добиться, будут приветствоваться.
1 ответ
В настоящее время FusionAuth не поддерживает этот сценарий в пользовательском интерфейсе FusionAuth. Кто-нибудь с admin или user_manager Роли например смогут увидеть все пользователи всех арендаторов.
Вы можете создавать эти типы операций управления вне пользовательского интерфейса FusionAuth с помощью API, а затем, если каждому менеджеру арендатора будет назначен ключ API, ограниченный его арендатором, это будет гарантировать, что они не смогут видеть пользователей за пределами своего собственного арендатора. Пример этого есть в учебнике для арендаторов в документации FusionAuth.
Концепция группы в FusionAuth принадлежит Арендатору. Группа в основном используется для логической "группировки" пользователей или динамического назначения ролей в приложениях "один ко многим" через членство в группе.
Идея Tenant Manager в пользовательском интерфейсе FusionAuth находится в планах, мы все еще определяем полный вариант использования и решение проблемы. Если это то, что вас интересует, пожалуйста, откройте функцию на странице FusionAuth Issues, и мы сможем отследить требования и решения там.