2.3. RH SSO 7.4

Red Hat Single Sign-On 서버가 EAP 7.3을 기본 컨테이너로 사용하도록 업그레이드되었습니다. 이 변경 사항은 특정 Red Hat Single Sign-On 서버 기능과 직접적인 관련이 없지만 마이그레이션과 관련하여 몇 가지 변경 사항이 있습니다.

마이그레이션 중에 인증 흐름과 관련된 몇 가지 리팩토링 및 개선 사항을 수행했습니다.

이 릴리스에서는 영역에 중복된 최상위 수준 그룹을 생성할 수 있는 문제를 해결합니다. 그러나 이전 중복 그룹의 존재로 인해 업그레이드 프로세스가 실패합니다. Red Hat Single Sign-On 서버는 H2, MariaDB, MySQL 또는 PostgreSQL 데이터베이스를 사용하는 경우 이 문제의 영향을 받을 수 있습니다. 업그레이드를 시작하기 전에 서버에 중복된 최상위 그룹이 포함되어 있는지 확인합니다. 예를 들어 다음 SQL 쿼리는 데이터베이스 수준에서 실행하여 나열할 수 있습니다.For example, the following SQL query can be executed at database level to list them:

SELECT REALM_ID, NAME, COUNT(*) FROM KEYCLOAK_GROUP WHERE PARENT_GROUP is NULL GROUP BY REALM_ID, NAME HAVING COUNT(*) > 1;

동일한 이름으로 각 영역에 하나의 최상위 그룹만 존재할 수 있습니다. 중복은 업그레이드 전에 검토 및 삭제해야 합니다. 업그레이드 오류에는 Change Set META-INF/jpa-changelog-9.0.1.xml::9.0.1- KEYCLOAK-12579-add-not-null-constraint::keycloak failed 메시지가 포함됩니다.

사용자 자격 증명을 저장하는 데 더 많은 유연성을 추가했습니다. 특히 모든 사용자는 여러 OTP 자격 증명과 같이 동일한 유형의 자격 증명을 여러 개 가질 수 있습니다. 일부 변경 사항은 데이터베이스 스키마에 존재하지만 이전 버전의 자격 증명은 새 형식으로 업데이트됩니다. 사용자는 이전 버전에 정의된 암호 또는 OTP 인증 정보를 사용하여 로그인할 수 있습니다.

MicroProfile/JWT Auth Specification에 정의된 클레임을 처리하기 위해 microprofile-jwt 선택적 클라이언트 범위를 추가했습니다. 이 새로운 클라이언트 범위는 인증된 사용자의 사용자 이름을 upn 클레임으로 설정하고 영역 역할을 그룹 클레임으로 설정하는 프로토콜 매퍼를 정의합니다.

로그인 페이지의 로케일 선택 방법과 사용자의 로케일이 업데이트되는 시기에 대해 여러 가지 개선 사항이 추가되었습니다. 자세한 내용은 서버 관리 가이드를 참조하십시오.

더 이상 JavaScript 어댑터에서 commitmentType을 설정할 필요가 없으며 둘 다 동시에 사용할 수 있습니다. 레거시 API(uccess 및 error)가 특정 시점에서 제거되므로 가능한 한 빨리 네이티브 약속 API(함께 및 catch)를 사용하도록 애플리케이션을 업데이트하는 것이 좋습니다.

지금까지 관리자는 Red Hat Single Sign-On 관리 콘솔과 RESTful Admin API를 통해 서버에 스크립트를 업로드할 수 있었습니다. 이 기능은 이제 비활성화되어 있습니다. 사용자는 서버에 스크립트를 직접 배포해야 합니다. 자세한 내용은 JavaScript Provider를 참조하십시오.

이전 릴리스에서는 개발자가 JavaScript 어댑터에 클라이언트 자격 증명을 제공할 수 있었습니다. 현재는 클라이언트 측 애플리케이션이 시크릿을 유지하는 데 안전하지 않기 때문에 이 기능이 제거되었습니다. prompt=none을 기본 IDP에 전파하는 기능

message=none 쿼리 매개변수를 포함하는 전달된 요청을 처리할 수 있는 IDP를 식별하기 위해 클라이언트에서 Accepts prompt=none forward라는 OIDC ID 공급자 구성에 스위치를 추가했습니다.

지금까지 prompt=none을 사용하여 auth 요청을 수신할 때 사용자가 IDP에서 인증했는지 확인하지 않으면 영역에 login_required 오류가 반환됩니다. 이제부터 kc_idp_hint 쿼리 매개 변수를 사용하거나 영역의 기본 IDP를 설정하여 기본 IDP에 대한 기본 IDP를 결정할 수 있고 클라이언트 스위치에서 Accepts 프롬프트=none 전달이 IDP에 대해 활성화되었는지 인증 요청이 IDP에 대해 활성화되었는지 확인하도록 auth 요청이 IDP로 전달됩니다.

이 스위치는 기본 IDP가 지정된 경우에만 고려되며 이 경우 사용자에게 IDP를 선택하라는 메시지를 표시하지 않고 auth 요청을 전달할 위치를 알고 있습니다. 기본 IDP를 결정할 수 없는 경우 요청 전달이 수행되지 않도록 auth 요청을 이행하는 데 사용할 것을 가정할 수 없습니다.

요청 및 수정된 호스트 이름 공급자가 새 기본 호스트 이름 공급자로 교체되었습니다. 요청 및 수정된 호스트 이름 공급자는 더 이상 사용되지 않으며 가능한 한 빨리 기본 호스트 이름 공급자로 전환하는 것이 좋습니다.

일부 기능은 상태가 변경됩니다.

Authorization ServicesECDHE 정책이 제거되었습니다.