可以登录管理控制台，那么该用户肯定是在 Master Realm 中。

 keycloak中，任何一个Realm在Master Realm 中都对应一个client（由keycloak自动创建，命名规则 Realm名称-realm）。

另外，授予Master Realm中的用户，哪个Realm在Master Realm中对应client的 client-level role，则该用户就可以通过管理控制台管理哪个Realm了。

示例：授予Master Realm中的用户 admin2 ，Realm realm001在Master Realm中对应client realm001-realm 的所有client-level 角色。

（注意：并没有授予 Master Realm 的 admin角色和create-realm角色）

 

使用账号 admin2 登录管理控制台：

（此时，master realm 的 admin2 账号，就相当于 realm001 的 管理员了，并且只能管理 realm001）

 

普通realm管理员用户，也可以建在所属realm中，

如在realm001中新建账号 admin3，

并且授予admin3 client Realm-management 的所有client-level 角色，

则 admin3 就有权限管理realm001了，但是只能通过admin rest api 进行管理，不能登录管理控制台进行管理。

说明：

每个 realm 中都会存在一个名称为 realm-management 的client，

在该client中内置了19个角色，

在realm内部，可以将这些角色授予用户，

则用户就拥有了该realm内部相应的权限。

相关文章：http://huangqiqing123.iteye.com/blog/2423236