Red Hat Summit第2章 リリース固有の変更
2.1. 互換性を失わせる変更点
重大な変更は、既存のユーザーの設定の変更を必要とするものとして識別されます。
2.1.1. X-Forwarded-Host ヘッダーによるポートの動作の変更
X-Forwarded-Host ヘッダーにはオプションでポートも含めることができます。以前のバージョンでは、ポートがヘッダーから省略されると、Red Hat build of Keycloak は実際の要求ポートにフォールバックしていました。たとえば、Red Hat build of Keycloak がポート 8080 でリッスンしていて、リクエストに X-Forwarded-Host: example.com ヘッダーが含まれていた場合、解決された URL は http://example.com:8080 になります。
これが変更され、ポートが省略されると、解決された URL から削除されます。前の例から解決された URL は http://example.com になります。
これを軽減するには、リバースプロキシーの X-Forwarded-Host ヘッダーにポートを含めるか、X-Forwarded-Port ヘッダーに必要なポートを設定するように指定します。
2.1.2. Oracle JDBC ドライバーのインストールに関する変更
ディストリビューションに明示的に追加する必要がある Oracle JDBC ドライバーに必要な JAR が変更されました。ojdbc11 JAR を提供する代わりに、Oracle データベースドライバーのインストール に記載されているように、ojdbc17 JAR を使用します。
2.1.3. H2 認証情報
今回のバージョンでは、デフォルトの H2 ベースの dev-file データベースによって認証情報が変更されました。この dev のみデータベースを使用するインスタンスからの移行はサポートされていませんが、データベースのユーザー名とパスワードに以前のデフォルトを明示的に指定すると、既存の H2 データベースを引き続き使用できる場合があります。たとえば、keycloak.conf で以下を指定します。
db-username=sa
db-password=password
2.1.4. 最新の OIDC 仕様に合わせた JWT クライアント認証
OpenID Connect core specification の最新のドラフトバージョンでは、クライアント認証方法 private_key_jwt および client_secret_jwt の JWT クライアントアサーションにおけるオーディエンス検証のルールが変更されました。
以前は、JWT クライアントアサーションの aud クレームは The Audience SHOULD be the URL of the Authorization Server’s Token Endpoint と緩く定義されていましたが、他の URL の使用が排除されていませんでした。
改訂された OIDC コア仕様では、より厳格なオーディエンスチェックが使用されます (The Audience value MUST be the OP’s Issuer Identifier passed as a string, and not a single-element array.)。
private_key_jwt と client_secret_jwt の両方の JWT クライアント認証オーセンティケーターを適応させて、デフォルトでトークン内の対象ユーザー 1 つだけ許可されるようにしました。現在、オーディエンスは、クライアント JWT 認証で使用される発行者、トークンエンドポイント、イントロスペクションエンドポイント、またはその他の OAuth/OIDC エンドポイントにすることができます。ただし、現在許可されているオーディエンスは 1 つだけなので、他の無関係なオーディエンス値を使用できません。つまり、JWT トークンは実際には Red Hat build of Keycloak によるクライアント認証でのみ有効になります。
この厳格なオーディエンスチェックは、OIDC ログインプロトコル SPI の新しいオプションを使用して、以前のより緩いチェックに戻すことができます。サーバーが以下のオプションで起動された場合、引き続き JWT で複数のオーディエンスを使用することができます。
--spi-login-protocol-openid-connect-allow-multiple-audiences-for-jwt-client-authentication=true
このオプションは今後削除される可能性があることに注意してください。おそらく、Red Hat build of Keycloak 27 で削除されます。そのため、このオプションを使用する代わりに、単一のオーディエンスを使用するようにクライアントを更新することを強く推奨します。また、クライアント認証のために JWT を送信するときは、今後のバージョンの OIDC 仕様と互換性があるため、クライアントがオーディエンスに発行者 URL を使用することを推奨します。
2.1.5. 削除された機能と非推奨となった機能
このリリースでは、特定の機能が削除され、今後のリリースで削除されるようにその他の機能は非推奨としてマークされています。これらの変更の詳細は、リリースノート を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}