2.2. RH SSO 7.5

Red Hat Single Sign-On 서버가 EAP 7.4를 기본 컨테이너로 사용하도록 업그레이드되었습니다. 이 변경 사항은 특정 Red Hat Single Sign-On 서버 기능과 직접적인 관련이 없지만 마이그레이션과 관련하여 몇 가지 변경 사항이 있습니다.

<extension module="org.wildfly.extension.microprofile.config-smallrye"/>
<extension module="org.wildfly.extension.microprofile.health-smallrye"/>
<extension module="org.wildfly.extension.microprofile.metrics-smallrye"/>

<subsystem xmlns="urn:wildfly:microprofile-config-smallrye:1.0"/>
<subsystem xmlns="urn:wildfly:microprofile-health-smallrye:2.0" security-enabled="false" empty-liveness-checks-status="${env.MP_HEALTH_EMPTY_LIVENESS_CHECKS_STATUS:UP}" empty-readiness-checks-status="${env.MP_HEALTH_EMPTY_READINESS_CHECKS_STATUS:UP}"/>
<subsystem xmlns="urn:wildfly:microprofile-metrics-smallrye:2.0" security-enabled="false" exposed-subsystems="*" prefix="${wildfly.metrics.prefix:wildfly}"/>

UserModel 에는 이제 사용자 지정 속성으로 변환되는 특정 필드, 사용자 이름 ,email,firstName 및 lastName 이 포함됩니다. 이러한 변경으로 인해 향후 버전에서 Red Hat Single Sign-On에 보다 정교한 사용자 프로필을 추가할 준비가 되었습니다.

이 경우 사용자 이름도 UserModel.getFirstAttribute(UserModel.USERNAME) 로 액세스하여 설정할 수 있습니다. 다른 필드에도 비슷한 영향이 있습니다. UserModel 을 직접 또는 간접적으로 분류하는 SPI 구현자는 setUsername 과 setSingleAttribute(UserModel.USERNAME, …​) 간 동작이 일관되도록 해야 합니다.

정책 평가 기능의 사용자는 평가에서 속성 수를 사용하는 경우 정책을 조정해야 합니다. 이제 모든 사용자에게 기본적으로 4개의 새 속성이 있습니다.

UserModel 공개 API는 변경되지 않았습니다. 프런트 엔드 리소스 또는 사용자 데이터에 액세스하는 SPI에 대한 변경 사항은 필요하지 않습니다. 또한 데이터베이스는 아직 변경되지 않았습니다.

Red Hat Single Sign-On 로그인me 구성 요소가 PatternFly 4로 업그레이드되었습니다. 이전 PatternFly 3은 새로운 패턴과 동시에 실행되므로 PF3 구성 요소를 유지할 수 있습니다.

그러나 로그인 주제 설계에 대한 일부 변경이 수행되었습니다. 사용자 정의 로그인 주제를 새 버전으로 업그레이드하십시오. 필요한 변경 사항이 있는 예는 examples/themes/theme/sunrise 디렉토리에서 확인할 수 있습니다. 추가 설정이 필요하지 않습니다.

Grafana IdP는 이제 새 API를 사용합니다. 이전 레거시 API는 더 이상 사용되지 않습니다. 이 변경에는 새 API 인증 정보가 필요합니다. 자세한 내용은 서버 관리 가이드를 참조하십시오.

OpenSSL IdP를 사용하여 OpenSSL에 로그인하는 사용자의 경우 암호와 같은 다른 인증 방법이 필요합니다. 로그인하면 Red Hat Single Sign-On에서 OpenSSL 소셜 링크를 수동으로 업데이트하거나 새 계정을 만들 수 있습니다. 이 제한은 이전 API의 OpenSSL 사용자 ID가 새 API와 호환되지 않기 때문에 존재합니다. 그러나 새 API는 일시적으로 새 ID와 이전 사용자 ID를 모두 반환하여 마이그레이션을 허용합니다. Red Hat Single Sign-On은 사용자가 로그인하면 ID를 자동으로 마이그레이션합니다.

OpenID Connect 매개변수 request_uri 를 사용하는 경우 클라이언트에 SSRF 공격으로부터 보호하도록 Valid Request URI 가 구성되어 있어야 합니다.

클라이언트 세부 정보 페이지의 Admin Console 또는 admin REST API 또는 클라이언트 등록 API를 통해 이 기능을 구성할 수 있습니다. 유효한 요청 URI에는 특정 클라이언트에 허용되는 Request URI 값 목록이 포함되어야 합니다.

대신 Valid Redirect URI 옵션과 같은 와일드카드 또는 상대 경로를 사용할 수 있습니다. 그러나 보안상의 이유로 가능한 특정 값을 사용하는 것이 좋습니다.

이제 읽기 전용 사용자 속성을 사용할 수 있습니다. 이러한 사용자 속성 중 일부는 REST API로 사용자를 업데이트하거나 Red Hat Single Sign-On 사용자 인터페이스로 업데이트할 때 사용자 또는 관리자가 편집할 수 없습니다. 특히 다음 사항을 사용할 때 이러한 변경 사항이 중요합니다.

자세한 내용은 위협 모델 완화 장 을 참조하십시오.

Docker 프로토콜을 사용한 인증 후 사용자 세션이 생성되지 않습니다. 자세한 내용은 서버 관리 가이드를 참조하십시오.

이 Red Hat Single Sign-On 버전의 경우 OAuth2 Client Credentials Grant 엔드포인트는 기본적으로 새로 고침 토큰을 발행하지 않습니다. 이 동작은 OAuth2 사양과 일치합니다.

따라서 클라이언트 자격 증명 인증에 성공한 후 Red Hat Single Sign-On 서버 측에서 사용자 세션이 생성되지 않습니다. 결과적으로 성능 및 메모리 사용량이 향상됩니다. Client Credentials grant을 사용하는 클라이언트는 새로 고침 토큰 사용을 중지하고 대신 refresh_token 을 부여 유형으로 사용하는 대신 grant_type=client_credentials 로 모든 요청에서 인증하는 것이 좋습니다.

이와 관련하여 Red Hat Single Sign-On은 OAuth2 해지 끝점에서 액세스 토큰 해지를 지원합니다. 따라서 필요한 경우 클라이언트가 개별 액세스 토큰을 취소할 수 있습니다.

이전 버전과의 호환성을 위해 이전 버전의 동작을 계속 사용할 수 있습니다. 이 방법을 사용하면 클라이언트 자격 증명 부여를 사용한 인증에 성공하고 사용자 세션이 생성된 후에도 새로 고침 토큰이 계속 발행됩니다. 특정 클라이언트의 경우 다음과 같이 관리 콘솔에서 이전 동작을 활성화할 수 있습니다.

이전 버전에서는 Red Hat Single Sign-On에서 두 개의 인트로스펙션 끝점인 token_introspection_endpoint 및 introspection_endpoint 를 알립니다. 후자는 RFC-8414 에 의해 정의된 것입니다. 전자는 더 이상 사용되지 않으며 제거되었습니다.

이전 Red Hat Single Sign-On 버전에서는 LDAP 공급자가 Import Users OFF로 설정된 경우 LDAP가 매핑되지 않은 일부 속성이 변경된 경우에도 사용자를 업데이트할 수 있었습니다. 이로 인해 혼란스러운 동작이 발생했습니다. 속성이 업데이트되었지만 업데이트되지 않은 것으로 표시되었습니다.

예를 들어 admin REST API를 사용하여 사용자를 업데이트하려고 했고 사용자가 잘못된 속성이 변경되면 업데이트가 가능했습니다. 현재 버전을 사용하면 업데이트를 사용할 수 없으며 이유를 즉시 알릴 수 있습니다.