2.5. RH-SSO 7.2

두 개의 새로운 암호 해시 알고리즘 (pbkdf2-sha256 및 pbkdf2-sha512)을 추가했습니다. 새로운 영역은 27500 해시 반복과 함께 pbkdf2-sha256 해시 알고리즘을 사용합니다. pbkdf2-sha256은 pbkdf2보다 약간 빠르기 때문에 반복이ECDHE에서 27500으로 증가했습니다.

암호 정책에 해시 알고리즘(지정되지 않음) 및 반복(재정되지 않음)의 기본값이 포함된 경우 기존 영역이 업그레이드됩니다. 해시 반복을 변경한 경우 보다 안전한 해시 알고리즘을 사용하려는 경우 pbkdf2-sha256으로 수동으로 변경해야 합니다.

RH-SSO 7.0에서는 scope=openid 쿼리 매개변수가 있는지 또는 권한 부여 요청에 없는 ID 토큰이 반환되었습니다. OpenID Connect 사양에 따라 올바르지 않습니다.

RH-SSO 7.1에서는 이 쿼리 매개변수를 어댑터에 추가했지만 마이그레이션을 수용하기 위해 이전 동작을 그대로 유지합니다.

RH-SSO 7.2에서 이 동작이 변경되었으며, 이제 요청을 OpenID Connect 요청으로 표시하려면 scope=openid 쿼리 매개변수가 필요합니다. 이 쿼리 매개변수를 생략하면 ID 토큰이 생성되지 않습니다.

Microsoft JDBC Driver 6.0은 JDBC 드라이버 모듈에 추가 종속성을 추가해야 합니다. Microsoft SQL Server를 사용할 때 NoClassDefFoundError 오류가 관찰되는 경우 JDBC 드라이버 module.xml 파일에 다음 종속성을 추가하십시오.

<module name="javax.xml.bind.api"/>

OpenID Connect 세션 관리 사양에서는 session_state 가 OpenID Connect 인증 응답에 있어야 합니다.

RH-SSO 7.1에서는 이 매개변수가 없지만 이제 Red Hat Single Sign-On에서 사양에 따라 기본적으로 이 매개변수를 추가합니다.

그러나 일부 OpenID Connect/ OAuth2 어댑터 및 특히 이전 Red Hat Single Sign-On 어댑터(예: RH-SSO 7.1 이상)에는 이 새 매개변수에 문제가 있을 수 있습니다.

예를 들어, 매개 변수는 클라이언트 애플리케이션에 대한 인증이 성공한 후 항상 브라우저 URL에 표시됩니다. RH-SSO 7.1 또는 레거시 OAuth2 / OpenID Connect 어댑터를 사용하는 경우 session_state 매개변수를 인증 응답에 추가하는 것이 유용할 수 있습니다. 이 작업은 Red Hat Single Sign-On 관리 콘솔의 특정 클라이언트에 대해 가능하며, 4.1절. “이전 어댑터와의 호환성” 에 설명된 OpenID Connect 호환성 모드 섹션의 클라이언트 세부 정보에서 수행할 수 있습니다. session_state 매개 변수를 인증 응답에 추가하지 않도록 설정하도록 설정할 수 있는 Exclude Session State From Authentication Response 스위치가 있습니다.

Red Hat Single Sign-On의 Microsoft Identity Provider 구현은 최대 버전 7.2.4에서 라이브 SDK 엔드포인트를 사용하여 권한을 부여하고 사용자 프로필을 취득할 수 있습니다. 2018년 11월 부터 Microsoft는 새로운 Microsoft Graph API를 대신하여 Live SDK API에 대한 지원을 제거하고 있습니다. Red Hat Single Sign-On ID 공급자가 새 엔드포인트를 사용하도록 업데이트되었으므로 이 통합이 사용 중인 경우 Red Hat Single Sign-On 버전 7.2.5 이상으로 업그레이드해야 합니다.

"라이브 SDK 애플리케이션"에 등록된 기존 클라이언트 애플리케이션은 애플리케이션의 id 형식 변경으로 인해 Microsoft Graph 엔드 포인트에서 작동하지 않습니다. 디렉터리에 애플리케이션 ID를 찾을 수 없다는 오류가 발생하면 Microsoft Application 등록 포털에 클라이언트 애플리케이션을 다시 등록하여 새 애플리케이션 ID를 가져와야 합니다.

Red Hat Single Sign-On의 Google ID 공급자 구현은 최대 버전 7.2.5에 따라 승인 및 사용자 프로파일을 가져오기 위해 Google+ API 끝점에 의존합니다. 2019년 3월 부터 Google은 새로운 Google Sign-in 인증 시스템을 사용하기 위해 Google+ API에 대한 지원을 제거하고 있습니다. Red Hat Single Sign-On ID 공급자가 새 엔드포인트를 사용하도록 업데이트되었습니다. 따라서 이 통합이 사용 중인 경우 Red Hat Single Sign-On 버전 7.2.6 이상으로 업그레이드하십시오.

디렉터리에 애플리케이션 ID를 찾을 수 없다는 오류가 발생하면 Google API 콘솔 포털에 클라이언트 애플리케이션을 다시 등록하여 새 애플리케이션 ID 및 시크릿을 가져와야 합니다.

Google+ 사용자 정보 끝점에서 제공한 비표준 클레임에 대해 사용자 지정 매퍼를 조정해야 하며 Google Sign-in API에서 다른 이름으로 제공될 수 있습니다. 사용 가능한 클레임에 대한 최신 정보는 Google 설명서를 참조하십시오.

이에 따라, 모든 개발자가 자신의 API 및 OAuth 2.0 버전 2.0으로 마이그레이션해야 합니다. 따라서 이 통합이 사용 중인 경우 Red Hat Single Sign-On 버전 7.2.6 이상으로 업그레이드되었는지 확인하십시오.

이 브로커를 사용하는 기존 배포에서는 iPXE API 버전 2를 사용하여 사용자 프로필을 가져올 때 오류가 발생할 수 있습니다. 이 오류는 프로필 API에 액세스할 수 없거나 인증 프로세스 중에 특정 OAuth2 범위를 요청할 수 없는 브로커를 구성하는 데 사용되는 클라이언트 애플리케이션에 부여된 권한 부족과 관련이 있을 수 있습니다.

새로 생성된 iPXE 클라이언트 애플리케이션의 경우에도 클라이언트가 r_liteprofile 및 r_emailaddress OAuth2 범위를 요청할 수 있고 클라이언트 애플리케이션이 https://api.linkedin.com/v2/me 끝점에서 현재 멤버의 프로필을 가져올 수 있는지 확인해야 합니다.

이러한 개인 정보 보호 제한으로 인해 멤버의 정보에 대한 액세스 및 현재 멤버의 프로필 API에서 반환한 제한된 클레임 세트와 관련된 이러한 개인 정보 보호 제한으로 인해, 현재 Link Broker는 멤버의 이메일 주소를 기본 사용자 이름으로 사용하고 있습니다. 즉, 인증 중에 권한 부여 요청을 보낼 때 r_emailaddress 가 항상 설정됩니다.