Группы (groups)

Пользователи в группе. По умолчанию не показывает пользователей из дочерних групп. Для отображения пользователей дочерних групп нужно нажать кнопку Include sub-group users.

Дополнительные атрибуты группы. 

Атрибуты наследуются и объединяются, но если имя атрибута совпадает — приоритет у самого глубокого (дочернего) элемента в иерархии.

Если же у дочерней группы атрибут имеет пустое значение, это НЕ удаляет родительский атрибут (в текущих версиях Keycloak пустое значение просто игнорируется).

Если пользователь в нескольких дочерних группах, то значения будут объединены в список. Значение атрибута в пользователе затрет все объединения.

Работает если в маппере атрибута (Client Scope → Mappers) включена опция "Multivalued" и "Aggregate attribute values".

Если эти опции не включены, поведение может отличаться:

    Без "Multivalued": будет взято только одно значение (какое именно — недетерминировано)

    Без "Aggregate": групповые атрибуты могут вообще не добавляться в токен