je ne sais pas trop où poster ce message du coup j’ai choisi le café du commerce…
Alors voilà, je fais partie d’un collectif qui s’appelle Point Communs et qui héberge pas mal d’outils libres pour les mettre à disposition du réseau des communs (réseau informel donc la plupart de nos outils sont largement ouverts). Disons que si nous ne sommes pas un CHATONS, nous y ressemblons un peu dans les missions que nous nous sommes fixées
Beaucoup de nos outils sont d’ailleurs hébergés par le CHATONS IndieHosters, mais pas tous.
On utilise un SSO avec KeyCloak pour relier certains des outils : https://login.lescommuns.org/
A ce jour, il n’y a qu’un seul Realm puisque nous souhaitons qu’avec un seul login, un⋅e utilisateurice puisse accéder à tous les sites. Mais plus le nombre d’associations qui nous rejoignent augmente, plus il nous paraît peu sécurisé que les admins sys de chacune des assos aient un accès complet à toutes les données des autres…
Je viens ici pour demander de l’aide (ponctuelle) : est-ce que quelqu’un s’y connaît assez en KeyCloak pour nous dire s’il existe un moyen de séparer les accès admin (par exemple avec les Roles / Groups ?) sans pour cela créer des Realms séparés ? Ou alors si en créant des Realms séparés ont peut conserver un seul accès login/mot de passe ?
Voilà, j’espère que je ne suis pas trop hors sujet en venant vous demander de l’aide sur ce forum, mais on ne sait pas trop vers qui se tourner…
Mon point de vue, il te sera nécessaire de créer un Tenant|Realm par organisation pour cloisonner les rôles et les groupes d’accès de chacun comme peut le faire un graphe ldap.
Avec des royaumes différents sont vu comme des serveurs différents par les applications car si une application est connecté a un royaume elle ne l’ait pas à un autre
les utilisateurs sont définis par royaume, donc a moins de brancher le même ldap sur chaque royaume les utilisateur·ices seront différentes
Merci tout le monde pour vos réponses !
Je n’ai pas les compétences pour comprendre dans le détail (ldap notamment), mais je vais transmettre à l’équipe d’administrateurs et j’espère que ça les aidera à avancer.
Mais en gros, tu peux continuer à avoir ton realm principal qui a tous les utilisateurice des « communs ».
Sauf que ces user, peuvent venir depuis un autre SSO, cela peut-etre facebook, twitter, github, ou, un autre realm.
Si il faut, je peux venir discuter, on a les meme problématiques, on a quelques idées