Присвоение ролей пользователям
Предварительно, требуется войти в Keycloak и перейти в Realm. Как это сделать вы можете ознакомиться здесь
После успешного входа, выберите опцию "Users":
При помощи кнопок навигации или раздела поиска (поиск производится по разным атрибутам) найдите нужного пользователя и перейдите на его страницу, нажав на имя.
Далее, выберите вкладку "Role mapping". На ней вы можете увидеть присвоенные роли и назначить новые. Нажмите на кнопку "Assign role" для этого.
По умолчанию в меню стоит фильтр, который отображает роли, созданные в системе к каким-либо клиентам.
Роли Labforge создаются на уровне Realm, поэтому переключите фильтр со значения "Filter by clients" на "Filter by realm roles". Далее, выберите требуемые роли согласно списку. Для доступа к системе как пользователя дополнительных ролей не требуется.
| Название роли | Описание |
|---|---|
| cluster-admin | Возможность удалять и добавлять новые хосты в сервисе cluster-manager |
| deployment-create | Возможность создавать шаблоны развертывания. Требуется доступ к образам - для чтения или редактирования |
| deployment-admin | Доступ ко всем созданным развертываниям. Включает в себя права роли deployment-create |
| deployment-alloc | Доступ к аллокации и резервации VMID и номеров дисплея. Служебная роль |
| deployment-instance-admin | Доступ к правке развертываний шаблона. Служебная роль |
| group-read | Дает read-only доступ к листингу групп в auth-service. Требуется для выполнения развертывания |
| image-admin | Дает полный доступ к списку шаблонов |
| image-view | Дает read-only доступ к списку шаблонов без права создания или удаления |
| role-manage | Дает права на управление ролями |
| role-read | Дает read-only права на роли |
| user-read | Дает read-only права на пользователей |
| validate-users | Дает возможность сервису auth-service направить запрос на валидацию JWT-токена |
| grafana-admin | Дает роль администратора в системе мониторинга |
| grafana-editor | Дает роль для редактирования объектов в системе мониторинга |
| grafana-viewer | Дает право просмотра системы мониторинга |
| realm-manager | Композитная роль. Дает пользователю право входа в "Портал" и настройки групп и пользователей Realm'а |
| full-admin | Композитная роль. Полный доступ ко всему. |
| jobservice-send | Дает право на отправку задач через jobservice-api |
| creator-minimal | Композитная роль. Включает в себя read-only доступ к образам и возможность создавать шаблоны развертывания |
Выберите нужные роли и после нажмите на кнопку "Assign". Права обычно применяются при повторном входе конечного пользователя