第2章 リリース固有の変更

セキュリティーを強化するために、権限チケットの管理に関するアクセス制御が厳格化されました。特定のリソースサーバーの権限チケットを管理できるのが、uma-protection ロールが付与されたユーザー (またはサービスアカウント) のみとなりました。唯一の例外はリソースサーバー自体です。これは uma-protection ロールなしで権限チケットを管理できます。

セキュリティーを強化するために、レルムとクライアントのロールのリスト表示に対するアクセス制御が厳格化されました。管理者に対して query-* ロールを付与するだけでは、ロールのリスト表示はできなくなりました。

その代わりに、管理者はロールをリスト表示するレルムまたはクライアントを表示または管理するための明示的な権限を持っている必要があります。レルムロールの場合は view-realm または manage-realm ロール、クライアントロールの場合は view-clients または manage-clients ロールが必要です。

セキュリティーを強化するために、レルムからユーザープロファイル設定とメタデータを取得するためのアクセス制御が厳格化されました。管理者に何らかの管理ロールが付与されているだけでは、これらの情報を取得できなくなりました。

その代わりに、管理者はユーザーを表示または管理するための明示的な権限を持っているか、または view-realm、manage-realm、view-users、manage-users、query-users のいずれかのロールを持っている必要があります。