5.7. SAML アプリケーションの移行

Red Hat build of Keycloak 24.0 には、Jakarta EE のサポートを含む、Red Hat JBoss Enterprise Application Platform 8.x のクライアントアダプターが含まれています。

Red Hat JBoss Enterprise Application Platform 7.x は、フルサポートの終了に近づいているため、Red Hat build of Keycloak ではサポートされません。Red Hat JBoss Enterprise Application Platform 7.x にデプロイされた既存のアプリケーションについては、メンテナンスサポート対象のアダプターが Red Hat Single Sign-On 7.6 を通じて利用可能です。

Red Hat Single Sign-On 7.6 アダプターは、Red Hat build of Keycloak 24.0 サーバーと組み合わせて使用することがサポートされています。

Red Hat JBoss Enterprise Application Platform JBoss EAP 6.x はメンテナンスサポートの終了に達したため、今後は Red Hat Single Sign-On 7.6 でも Red Hat build of Keycloak でもサポートされません。

このリリースより前は、SAML SP メタデータに、署名と暗号化の両方に使用する同じキーが含まれていました。このバージョンの Keycloak 以降、SP メタデータには、暗号化に使用する暗号化専用のレルムキーのみが含まれます。また、各暗号化キー記述子に対して、併用すべきアルゴリズムが指定されています。次の表に、サポートされている XML-Enc アルゴリズムと、Red Hat build of Keycloak レルムキーへのマッピングを示します。

SAML アダプター、クライアント、およびアイデンティティープロバイダーで Signature algorithms として設定できるアルゴリズム RSA_SHA1 および DSA_SHA1 が非推奨になりました。SHA256 または SHA512 をベースとした、より安全な代替手段を使用することを推奨します。また、これらのアルゴリズムを使用した署名付き SAML ドキュメントまたはアサーションの署名の検証は、Java 17 以降では機能しません。このアルゴリズムを使用しても、SAML ドキュメントを使用する相手側で Java 17 以降が実行されている場合、署名の検証は機能しません。

考えられる回避策は、次のようなアルゴリズムを削除することです。