Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

リリースノート

Red Hat Single Sign-On 7.6

Red Hat Single Sign-On 7.6 向け

Red Hat Customer Content Services

概要

このガイドは、Red Hat Single Sign-On のリリースノートとして作成されています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、用語の置き換えは、今後の複数のリリースにわたって段階的に実施されます。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

第1章 Red Hat Single Sign-On 7.6.0.GA

1.1. 概要

Red Hat は、Red Hat Single Sign-On (RH-SSO) のバージョン 7.6 のリリースを発表します。RH-SSO は Keycloak プロジェクトをベースとしており、OpenID Connect、OAuth 2.0、SAML 2.0 などの一般的な標準仕様に基づいて Web SSO 機能を提供することで、Web アプリケーションのセキュリティーを保護します。RH-SSO サーバーは OpenID Connect または SAML ベースの ID プロバイダー (IdP) として機能し、エンタープライズユーザーディレクトリーまたはサードパーティー IdP が標準仕様ベースのセキュリティートークンを使用してアプリケーションを保護できるようにします。

注記

IBM Z および IBM Power Systems 向けの Red Hat Single Sign-On は、OpenShift 環境でのみサポートされます。IBM Z および IBM Power Systems でのベアメタルインストールはサポートされていません。

以下の注記は RH-SSO 7.6 リリースに適用されます。

1.2. 新機能または改善された機能

1.2.1. ステップアップ認証

Red Hat Single Sign-On がステップアップ認証をサポートするようになりました。詳細は、サーバー管理ガイド を参照してください。

1.2.2. クライアントシークレットのローテーション

Red Hat Single Sign-On は、顧客のポリシーによるクライアントシークレットのローテーションをサポートするようになりました。この機能はプレビュー機能として利用でき、レルムポリシーでコンフィデンシャルクライアントを指定できるようになり、最大 2 つのシークレットを同時に使用できるようになりました。

詳細は、サーバー管理ガイド を参照してください。

1.2.3. リカバリーコード

二要素認証を行う別の方法として、リカバリーコードがプレビュー機能として利用できるようになりました。

1.2.4. OpenID Connect ログアウト時の改善

Red Hat Single Sign-On がすべての OpenID Connect ログアウト仕様に完全に準拠するように、いくつかの修正および改善が行われました。

  • OpenID Connect RP-Initiated Logout 1.0
  • OpenID Connect Front-Channel Logout 1.0
  • OpenID Connect Back-Channel Logout 1.0
  • OpenID Connect Session Management 1.0

詳細は、サーバー管理ガイド を参照してください。

1.2.5. WebAuthn の改善

WebAuthn は、テクノロジープレビュー機能ではなくなりました。今回、完全にサポートされるようになりました。

また、Red Hat Single Sign-On は WebAuthn ID レス認証をサポートするようになりました。この機能により、セキュリティーキーが常駐キーをサポートする限り、WebAuthn セキュリティーキーが認証中にユーザーを識別できます。詳細は、サーバー管理ガイド を参照してください。

1.2.6. セッションの制限

Red Hat Single Sign-On は、ユーザーが持つことができるセッション数の制限をサポートするようになりました。制限は、レルムレベルまたはクライアントレベルで配置できます。

詳細は、サーバー管理ガイド を参照してください。

1.2.7. SAML ECP プロファイルがデフォルトで無効

SAML ECP プロファイルを悪用するリスクを軽減するために、Red Hat Single Sign-On は明示的にこれを許可しないすべての SAML クライアントに対してこのフローをブロックするようになりました。このプロファイルは、クライアント設定内で Allow ECP Flow フラグを使用して有効にできます。サーバー管理ガイド を参照してください。

1.3. LDAP と Kerberos の統合の改善点

RH-SSO 7.6.9 以降、Red Hat Single Sign-On は、同じ Kerberos レルムとの Kerberos 統合をサポートするレルムで複数の LDAP プロバイダーをサポートします。LDAP プロバイダーが Kerberos/SPNEGO で認証されたユーザーを検索できない場合、Red Hat Single Sign-On は次の LDAP プロバイダーにフォールバックします。また、Red Hat Single Sign-On は、単一の LDAP プロバイダーが相互に信頼されている複数の Kerberos レルムをサポートするケースにも対応します。

1.3.1. その他の改善点

  • アカウントコンソールが最新の PatternFly リリースと整合。
  • 暗号化されたユーザー情報エンドポイント応答のサポート。
  • 暗号化キーに使用される A256GCM を使用したアルゴリズム RSA-OAEP のサポート。
  • GitHub Enterprise サーバーでのログインのサポート。

1.4. 既存のテクノロジープレビュー機能

以下の機能は引き続きテクノロジープレビューのステータスになります。

  • トークンの交換
  • 詳細な認可パーミッション

1.5. 削除された機能または非推奨の機能

これらの機能のステータスが変更になりました。

  • Red Hat Single Sign-On 7.2 でテクノロジープレビュー機能として導入されたクロスサイトレプリケーションは、最新の RH-SSO 7.6 リリースを含む Red Hat SSO 7.x リリースでサポート機能として利用できなくなりました。Red Hat は、この機能がサポートされていないため、お使いの環境でこの機能を実装したり、使用したりすることは推奨しません。また、この機能のサポート例外は考慮されず、受け入れられなくなりました。

    クロスサイトレプリケーションの新しいソリューションについて議論されており、Keycloak (RHBK) の Red Hat ビルドの将来のリリースで暫定的に検討されています。これは、Red Hat SSO 8 の代わりに導入される製品です。詳細は近日中にお知らせいたします。

  • Keycloak CR の podDisruptionBudget フィールドは非推奨となり、Operator が OpenShift 4.12 以降にデプロイされると無視されます。回避策として、アップグレードガイド を参照してください。
  • 非推奨の upload-script 機能が削除されました。
  • Red Hat Enterprise Linux 6 (RHEL 6) では Red Hat Single Sign-On (RH-SSO) のサポートが非推奨になり、RH-SSO の 7.6 リリースは RHEL 6 ではサポートされなくなります。RHEL 6 は 2020 年 11 月 30 日にライフサイクルの ELS フェーズに入り、RH-SSO が依存する Red Hat JBoss Enterprise Application Platform (EAP) は、EAP7.4 リリースで RHEL 6 のサポートを終了します。お客様は、RHEL 7 または 8 バージョンに RH-SSO 7.6 のアップグレードをデプロイする必要があります。
  • Spring Boot アダプターは非推奨となり、RH-SSO の 8.0 以降のバージョンには含まれません。このアダプターは、RH-SSO 7.x のライフサイクル期間、メンテナンスされます。ユーザーは Spring Security に移行して、Spring Boot アプリケーションを RH-SSO と統合する必要があります。
  • RPM からのインストールは非推奨になりました。Red Hat Single Sign-On は、7.x 製品の有効期間中も引き続き RPM を提供しますが、次のメジャーバージョンでは RPM は配信されません。製品は、引き続き ZIP ファイルからのインストールと、OpenShift でのインストールを引き続きサポートします。
  • Eclipse OpenJ9 における Red Hat Single Sign-On for OpenShift が非推奨になりました。ただし、OpenShift の Red Hat Single Sign-On は、Red Hat Single Sign-On for OpenShift ガイド で説明されているように、すべてのプラットフォーム (x86、IBM Z、および IBM Power Systems) をサポートするようになりました。この変更の詳細は、Java Change in PPC and s390x OpenShift Images を参照してください。
  • 認可サービスの Drools ポリシーが削除されました。

1.6. 修正された問題

RH-SSO 7.5 と 7.6.0 の間で修正された問題の詳細は、RHSSO 7.6.0 で修正された問題 を参照してください。

7.6.0 リリース後に、Red Hat Single Sign-On Operator のパッチリリースを導入し、Operator を使用した 7.5.2 から 7.6.0 へのアップグレードを妨げる 重大な問題 を修正しました。詳細および注意点は、アップグレードガイド を参照してください。

1.7. 既知の問題

このリリースには、以下の既知の問題が含まれています。

  • KEYCLOAK-18115: RHSSO 7.4.6 で拒否された属性の編集を試行

1.8. CVE

本リリースでは、以下の CVE が修正されています。

  • CVE-2024-10039 mTLS が有効な TLS のパススルー終了を使用しないリバースプロキシーを使用した Keycloak のデプロイメントが影響を受けます
  • CVE-2024-8883 脆弱性可能なリダイレクト URI 検証により Open Redirect が発生する
  • CVE-2024-8698 SAML 応答の検証により、Red Hat Single Sign-On での権限昇格が発生する
  • CVE-2024-7341 Cookie ハイジャックの可能性に対する保護を強化するために、elytron SAML アダプターでセッションを固定します。
  • CVE-2024-5967 管理コンソールを介して設定された LDAP バインド認証情報の Leak。適切な権限を持つ攻撃者のマシンに hostURL を変更する可能性があります。
  • CVE-2024-4629 攻撃者は、複数のログイン試行を並行して起動することで、ブルートフォース保護をバイパスする可能性があります。
  • CVE-2024-4540。PAR を使用した OIDC 機密クライアント(Pushed authorization request)に影響を与える重要なセキュリティーの問題です。OIDC 機密クライアントを PAR と一緒に使用し、HTTP リクエスト本文のパラメーターとして送信された client_idclient_secret に基づくクライアント認証を使用する場合 (OIDC 仕様で指定されたメソッド client_secret_post)、このバージョンにアップグレードした後、クライアントのクライアントシークレットをローテーションすることを強く推奨します。

1.9. サポートされる構成

RH-SSO Server 7.6 でサポートされる機能および設定のリストは、カスタマーポータル で確認できます。

1.10. コンポーネントのバージョン

RH-SSO 7.6 でサポートされるコンポーネントのバージョンのリストは、カスタマーポータル で確認できます。

1.11. Red Hat OpenShift の Red Hat Single Sign-On メータリングラベル

メータリングラベルを Red Hat Single Sign-On に追加し、OpenShift Metering Operator を使用して Red Hat サブスクリプションの詳細を確認できます。

注記

メータリングラベルは、Operator がデプロイおよび管理する Pod に追加しないでください。

Red Hat Single Sign-On では、以下のメータリングラベルを使用できます。

  • com.redhat.component-name: Red Hat Single Sign-On
  • com.redhat.component-type: application
  • com.redhat.component-version: 7.5
  • com.redhat.product-name: "Red_Hat_Runtimes"
  • com.redhat.product-version: 2020/Q2

法律上の通知

Copyright © 2024 Red Hat, Inc.
Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file except in compliance with the License.You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software distributed under the License is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.See the License for the specific language governing permissions and limitations under the License.
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat