Red Hat Summit릴리스 노트
Red Hat Single Sign-On 7.6과 함께 사용하는 경우
초록
보다 포괄적 수용을 위한 오픈 소스 용어 교체
Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 용어를 교체하기 위해 최선을 다하고 있습니다. 먼저 마스터(master), 슬레이브(slave), 블랙리스트(blacklist), 화이트리스트(whitelist) 등 네 가지 용어를 교체하고 있습니다. 이러한 변경 작업은 작업 범위가 크므로 향후 여러 릴리스에 걸쳐 점차 구현할 예정입니다. 자세한 내용은 CTO Chris Wright의 메시지를 참조하십시오.
1장. Red Hat Single Sign-On 7.6.0.GA
1.1. 개요
Red Hat은 Red Hat Single Sign-On (RH-SSO) 버전 7.6 릴리스를 발표하게 된 것을 자랑스럽게 생각합니다. RH-SSO는 Keycloak 프로젝트를 기반으로 하며 OpenID Connect, OAuth 2.0 및 SAML 2.0과 같은 널리 사용되는 표준을 기반으로 웹 SSO 기능을 제공하여 웹 애플리케이션을 보호할 수 있습니다. RH-SSO 서버는 OpenID Connect 또는 SAML 기반 ID 공급자(IdP) 역할을 하므로 엔터프라이즈 사용자 디렉터리 또는 타사 IdP에서 표준 기반 보안 토큰을 통해 애플리케이션을 보호할 수 있습니다.
IBM Z 및 IBM Power Systems용 Red Hat Single Sign-On은 OpenShift 환경에서만 지원됩니다. IBM Z 및 IBM Power Systems에 베어 메탈 설치는 지원되지 않습니다.
다음 노트는 RH-SSO 7.6 릴리스에 적용됩니다.
1.2. 새로운 기능 또는 개선된 기능
1.2.1. 단계별 인증
Red Hat Single Sign-On은 이제 단계별 인증을 지원합니다. 자세한 내용은 서버 관리 가이드를 참조하십시오.
1.2.2. 클라이언트 시크릿 순환
Red Hat Single Sign-On은 이제 고객 정책을 통해 클라이언트 시크릿 순환을 지원합니다. 이 기능은 이제 프리뷰 기능으로 사용할 수 있으며, 이러한 기밀 클라이언트에 영역 정책이 제공되어 동시에 최대 두 개의 시크릿을 사용할 수 있습니다.
자세한 내용은 서버 관리 가이드를 참조하십시오.
1.2.3. 복구 코드
2 단계 인증을 수행하는 다른 방법으로 복구 코드는 이제 프리뷰 기능으로 사용할 수 있습니다.
1.2.4. OpenID Connect 로그 개선 개선 사항
Red Hat Single Sign-On이 모든 OpenID Connect 로그 아웃 사양을 완전히 준수하도록 몇 가지 수정 및 개선 사항이 수행되었습니다.
- OpenID Connect RP-Initiated Logout 1.0
- OpenID Connect Front-Channel Logout 1.0
- OpenID Connect Back-Channel Logout 1.0
- OpenID Connect 세션 관리 1.0
자세한 내용은 서버 관리 가이드를 참조하십시오.
1.2.5. WebAuthn 개선 사항
WebAuthn은 더 이상 기술 프리뷰 기능이 아닙니다. 이제 완전히 지원됩니다.
또한 Red Hat Single Sign-On은 WebAuthn id-less 인증을 지원합니다. 이 기능을 사용하면 보안 키가 상주 키를 지원하는 한 인증 중에 WebAuthn Security Key가 사용자를 식별할 수 있습니다. 자세한 내용은 서버 관리 가이드를 참조하십시오.
1.2.6. 세션 제한
Red Hat Single Sign-On은 이제 사용자가 보유할 수 있는 세션 수에 대한 제한을 지원합니다. 제한은 영역 수준 또는 클라이언트 수준에서 배치할 수 있습니다.
자세한 내용은 서버 관리 가이드를 참조하십시오.
1.2.7. SAML ECP 프로필은 기본적으로 비활성화되어 있습니다.
SAML ECP 프로파일을 악용할 위험을 완화하기 위해 Red Hat Single Sign-On은 이제 명시적으로 허용하지 않는 모든 SAML 클라이언트에 대해 이 흐름을 차단합니다. 이 프로필은 클라이언트 구성 내에서 Allow ECP Flow 플래그를 사용하여 활성화할 수 있습니다. 서버 관리 가이드 를 참조하십시오.
1.3. LDAP 및 Kerberos 통합 개선
RH-SSO 7.6.9에서 Red Hat Single Sign-On은 동일한 Kerberos 영역과의 Kerberos 통합을 지원하는 영역에서 여러 LDAP 공급자를 지원합니다. LDAP 공급자가 Kerberos/SPNEGO를 통해 인증된 사용자를 찾을 수 없는 경우 Red Hat Single Sign-On은 다음 LDAP 공급자로 대체됩니다. Red Hat Single Sign-On은 단일 LDAP 공급자가 서로 신뢰할 수 있는 여러 Kerberos 영역을 지원하는 경우에도 더 나은 지원을 제공합니다.
1.3.1. 기타 개선 사항
- 계정 콘솔은 최신 PatternFly 릴리스와 일치합니다.
- 암호화된 사용자 정보 엔드 포인트 응답 지원
- 암호화 키에 사용되는 A256GCM을 사용하는 RSA-OAEP 알고리즘 지원
- GitHub Enterprise 서버로 로그인 지원
1.4. 기존 기술 프리뷰 기능
기술 프리뷰 상태의 기능은 다음과 같습니다.
- 토큰 교환
- 세분화된 권한 부여 권한
1.5. 제거된 기능 또는 더 이상 사용되지 않는 기능
이러한 기능은 상태가 변경됩니다.
Red Hat Single Sign-On 7.2에서 기술 프리뷰 기능으로 도입된 교차 사이트 복제는 최신 RH-SSO 7.6 릴리스를 포함하여 Red Hat SSO 7.x 릴리스에서 지원되는 기능으로 더 이상 사용할 수 없습니다. Red Hat은 지원되지 않으므로 고객이 환경에서 이 기능을 구현하거나 사용하지 않는 것이 좋습니다. 또한 이 기능에 대한 지원 예외는 더 이상 고려되거나 허용되지 않습니다.
Red Hat SSO 8 대신 도입될 제품인 RHBK(Keycloak)의 향후 릴리스를 위해 교차 사이트 복제에 대한 새로운 솔루션이 논의되고 있습니다. 더 자세한 내용은 곧 제공될 예정입니다.
-
Keycloak CR의
podDisruptionBudget필드는 더 이상 사용되지 않으며 Operator가 OpenShift 4.12 이상에 배포되면 무시됩니다. 해결 방법으로 업그레이드 가이드를 참조하십시오. -
더 이상 사용되지 않는
upload-script기능이 제거되었습니다. - Red Hat Enterprise Linux 6 (RHEL 6)에서 RH-SSO (Red Hat Single Sign-On)에 대한 지원은 더 이상 사용되지 않으며 RHEL 6에서는 7.6 RH-SSO 릴리스가 지원되지 않습니다. RHEL 6은 2020년 11월 30일에 라이프사이클의 ELS 단계에 진입했으며 RH-SSO가 의존하는 Red Hat JBoss EAP(Enterprise Application Platform)는 EAP 7.4 릴리스와 함께 RHEL 6에 대한 지원을 삭제합니다. 고객은 RHEL 7 또는 8 버전에서 RH-SSO 7.6 업그레이드를 배포해야 합니다.
- Spring Boot Adapter는 더 이상 사용되지 않으며 RH-SSO의 8.0 이상 버전에 포함되어 있지 않습니다. 이 어댑터는 RH-SSO 7.x의 라이프사이클 동안 유지됩니다. Spring Boot 애플리케이션을 RH-SSO와 통합하려면 Spring Security로 마이그레이션해야 합니다.
- RPM에서 설치하는 것은 더 이상 사용되지 않습니다. Red Hat Single Sign-On은 7.x 제품 수명 동안 RPM을 계속 제공할 예정이지만 다음 주요 버전으로 RPM은 제공되지 않습니다. 제품은 계속해서 ZIP 파일 및 OpenShift에 설치를 지원합니다.
- Eclipse OpenJ9의 OpenShift용 Red Hat Single Sign-On은 더 이상 사용되지 않습니다. 그러나 OpenShift의 Red Hat Single Sign-On은 이제 OpenShift용 Red Hat Single Sign-On 에 설명된 대로 모든 플랫폼(x86, IBM Z, IBM Power Systems)을 지원합니다. 이러한 변경에 대한 자세한 내용은 PPC 및 s390x OpenShift 이미지의 Java 변경을 참조하십시오.
- 권한 부여 서비스 skopeo 정책이 제거되었습니다.
1.6. 수정된 문제
RH-SSO 7.5와 7.6.0 간에 수정된 문제에 대한 자세한 내용은 RHSSO 7.6.0 해결 문제를 참조하십시오.
7.6.0 릴리스 후 Red Hat Single Sign-On Operator에 대한 패치 릴리스를 도입하여 Operator를 사용하여 7.5.2에서 7.6.0으로의 업그레이드가 발생하지 않는 중요한 문제를 해결합니다. 자세한 내용은 업그레이드 가이드에서 참조하십시오.
1.7. 확인된 문제
이 릴리스에는 다음과 같은 알려진 문제가 포함되어 있습니다.
- KEYCLOAK-18115 - RHSSO 7.4.6에서 거부된 특성을 편집하려고 했습니다.
1.8. CVE
이번 릴리스에서는 다음 CVE가 수정되었습니다.
- mTLS 가 활성화된 TLS의 통과 종료를 사용하지 않는 역방향 프록시가 있는 Keycloak 배포가 영향을 받습니다.
- CVE-2024-8883 Vulnerable redirect URI 검증 결과 Open Redirect
- CVE-2024-8698 SAML 응답 확인으로 인해 Red Hat Single Sign-On의 권한 상승이 발생합니다.
- CVE-2024-7341 세션 수정으로 가능한 하이재킹 방지를 위해 SAML 어댑터의 세션 수정.
- CVE-2024-5967 관리 콘솔을 통해 구성된 LDAP 바인딩 인증 정보를 가져옵니다. 적절한 권한으로 hostURL을 공격자의 시스템으로 변경할 수 있습니다.
- CVE-2024-4629 공격자는 여러 로그인 시도를 병렬로 시작하여 무차별 강제 보호를 우회할 수 있습니다.
-
CVE-2024-4540: PAR(Pushed 권한 부여 요청)을 사용하여 일부 OIDC 기밀 클라이언트에 영향을 미치는 중요한 보안 문제입니다. OIDC 기밀 클라이언트를 PAR과 함께 사용하고 HTTP 요청 본문에서 매개변수로 전송된
client_id및client_secret을 기반으로 클라이언트 인증을 사용하는 경우(OIDC 사양에 지정된 방법client_secret_post)를 이 버전으로 업그레이드한 후 클라이언트의 클라이언트 시크릿을 회전하는 것이 좋습니다.
1.9. 지원되는 구성
RH-SSO Server 7.6에 지원되는 기능 및 구성 세트는 고객 포털에서 확인할 수 있습니다.
1.10. 구성 요소 버전
RH-SSO 7.6에서 지원되는 구성 요소 버전 목록은 고객 포털에서 확인할 수 있습니다.
1.11. Red Hat OpenShift의 Red Hat Single Sign-On 미터링 라벨
Red Hat Single Sign-On Pod에 미터링 라벨을 추가하고 OpenShift Metering Operator를 사용하여 Red Hat 서브스크립션 세부 정보를 확인할 수 있습니다.
Operator가 배포 및 관리하는 Pod에는 미터링 라벨을 추가하지 마십시오.
Red Hat Single Sign-On은 다음과 같은 미터링 레이블을 사용할 수 있습니다.
-
com.redhat.component-name: Red Hat Single Sign-On -
com.redhat.component-type: application -
com.redhat.component-version: 7.6 -
com.redhat.product-name: "Red_Hat_Runtimes" -
com.redhat.product-version: 2020/Q2
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}