Red Hat Summit第6章 新機能および機能拡張
以下のリリースノートは、Red Hat build of Keycloak のバージョン 26.4.7 に適用されます。このリリースには、セキュリティーの強化、より緊密な統合、サーバー管理の改善に重点を置いた新しい機能が搭載されています。このリリースのハイライトは次のとおりです。
- シームレスでパスワード不要のユーザー認証を実現するパスキー。
- アプリケーション開始アクションを介した、合理化された WebAuthn/Passkey 登録とアイデンティティープロバイダーへの簡素化されたアカウントリンクにより、アプリケーション開発者のエクスペリエンスが簡素化されます。
- クライアント認証に SPIFFE または Kubernetes サービスアカウントトークンを使用するフェデレーテッドクライアント認証。
- 複数のアベイラビリティーゾーンにわたる簡素化されたデプロイメントにより、可用性が向上します。
- FAPI 2 Final: FAPI 2.0 Security Profile および FAPI 2.0 Message Signing の最終仕様。
- DPoP: OAuth 2.0 Demonstrating Proof-of-Possession at the Application Layer (DPoP) が完全にサポートされるようになりました。改善点には、パブリッククライアントのリフレッシュトークンのみをバインドする機能や、すべての Keycloak エンドポイントを DPoP トークンで保護する機能が含まれます。
- 2FA リカバリーコードを使用したアカウント回復により、ユーザーをロックアウトから保護します。あらゆる OAuth 2.0 準拠の認可サーバーとブローカー接続する機能によるより広範な接続性、および OpenID Connect プロバイダー向けの信頼できるメール検証機能の強化。
- 非同期ロギングにより、スループットが向上し、レイテンシーが低減され、より効率的なデプロイメントが確保されます。
それぞれの新機能の詳細については、このまま読み進めてください。以前のリリースからアップグレードする場合は、アップグレードガイド に記載されている変更点も確認してください。
6.1. セキュリティーと標準
6.1.1. Passkeys の統合がサポー対象に
条件付き UI とモーダル UI の両方を使用して、パスキーが Red Hat build of Keycloak ログインフォームにシームレスに統合されるようになりました。レルム内で統合を有効にするには、Authentication、Policies、Webauthn Passwordless Policy の順に移動し、Enable Passkeys を enabled に切り替えます。
詳細は、パスキー を参照してください。
6.1.2. FAPI 2 Final がサポー対象に
Red Hat build of Keycloak は、FAPI 2 仕様の最新バージョンをサポートしています。FAPI 2.0 Security Profile と FAPI 2.0 Message Signing の仕様は、すでに最終版に昇格されており、Red Hat build of Keycloak はそれらをサポートしています。Red Hat build of Keycloak クライアントポリシーは最終バージョンをサポートしており、FAPI 2 の対応するクライアントプロファイルは FAPI 適合テストスイートに合格しています。
既存ポリシーへのごくわずかな調整に加え、Red Hat build of Keycloak には、DPoP を使用し FAPI 2 準拠を意図するクライアント向けに、新しいクライアントプロファイル (fapi-2-dpop-security-profile と fapi-2-dpop-message-signing) が追加されました。
詳細は、FAPI サポート を参照してください。
6.1.3. DPoP がサポー対象に
Red Hat build of Keycloak は、以前はプレビュー機能であった OAuth 2.0 Demonstrating Proof-of-Possession at the Application Layer (DPoP) をサポートしています。また、サポートされているバージョンには、次のような DPoP 機能のいくつかの改善とマイナーな機能が含まれています。
- パブリッククライアントのリフレッシュトークンのみを DPoP バインド可能とし、アクセストークンのバインドを省略することが可能になりました。
- ベアラートークンによって保護されているすべての Red Hat build of Keycloak エンドポイントは、DPoP トークンを処理できるようになりました。これには、たとえば、Admin REST API や Account REST API が含まれます。
-
OIDC 認証リクエストで
dpop_jktパラメーターを必須とすることが可能になりました。
詳細は、ドキュメントの DPoP セクション を参照してください。
6.1.4. FIPS 140-2 モードが EdDSA がサポー対象に
Bouncy Castle 2.1.x にアップグレードすると、アルゴリズム EdDSA が使用できるようになります。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}