1.4. 新功能及功能增强

红帽构建的 Keycloak 现在支持 OpenJDK 21。OpenJDK 17 支持已弃用，将在以下发行版本中删除 OpenJDK 21。

Keycloak JavaScript 适配器现在是一个独立的库，因此不再由红帽构建的 Keycloak 服务器提供。目标是分离红帽构建的 Keycloak 服务器的库，以便可以独立重构它，简化代码并便于以后维护。另外，库现在没有第三方依赖项，这使得它更轻便且更易于在不同环境中使用。

有关更改的完整分类，请参阅 升级指南。

此发行版本引入了机构。该功能利用 Red Hat build of Keycloak 的现有 Identity and Access Management (IAM)功能解决客户身份和访问管理(CIAM)用例，如 Business-to-Business (B2B)和 business-to-Business-to-Consumer (B2B2C)集成。通过使用一个域的现有功能，这个功能的第一个发行版本提供了非常的核心功能，允许域与业务合作伙伴和客户集成：

如需了解更多详细信息，请参阅管理机构。

现在，一个域中可以有多个同一社交代理实例。

通常，一个域不需要同一社交代理的多个实例。但是，有了 机构 功能，您可以将同一社交代理的不同实例链接到不同的机构。

在创建社交代理时，请提供 Alias 和可选的 Display 名称，就像任何其他代理一样。

为了帮助扩展具有许多身份提供程序的域和机构，realm 表示不再包含身份提供程序列表。但是，在导出域时，它们仍然可从 realm 表示中可用。

如需了解更多详细信息，请参阅 身份提供程序。

以前的红帽构建的 Keycloak 版本只会在数据库中存储离线用户和离线客户端会话。新功能 persistent-user-sessions 将在线用户会话和在线客户端会话存储在内存和数据库中。因此，即使红帽构建的 Keycloak 的所有实例都已重启或升级，用户也可以保持登录。

如需了解更多详细信息，请参阅 持久用户会话。

此功能默认为启用。如果要禁用它，请参阅 配置分布式缓存 章节中的 Volatile 用户会话 步骤以了解更多详细信息。

此发行版本引入了在 base/login 和 keycloak.v2/login 主题的登录页面中轻松添加自定义页的功能。新的 footer.ftl 模板提供了一个 内容 宏，它在"login 框"的底部显示。要使用自定义页脚，请使用所需内容在自定义登录中创建一个 footer.ftl 文件。

如需了解更多详细信息，请参阅 Adding a custom footer to a login theme。

红帽构建的 Keycloak 24 版本提供了在多个浏览器选项卡中并行验证用户时的改进。但是，当身份验证会话过期时，这个改进不会解决这种情况。在本发行版本中，当用户已登录到一个浏览器标签页，并在另一个浏览器标签页中过期身份验证会话时，红帽构建的 Keycloak 会重新重定向到带有 OIDC/SAML 错误的客户端应用程序。因此，客户端应用可以立即重试身份验证，这通常应因为 SSO 会话自动登录应用。

请注意，当身份验证会话过期和用户 已经登录时，您已登录 的消息不会显示给最终用户。您可以考虑更新应用程序以处理这个错误。

如需了解更多详细信息，请参阅 身份验证会话。

当按 user 属性搜索用户时，Red Hat build of Keycloak 不再搜索用户属性名称强制进行小写比较。此更改的目标是通过在用户属性表中使用红帽构建的 Keycloak 原生索引来加快搜索。如果您的数据库合并不区分大小写，您的搜索结果将保持不变。如果您的数据库合并区分大小写，您可能会看到比以前更少的搜索结果。

Red Hat build of Keycloak 支持一个新的密码策略，它允许您拒绝包含用户用户名的用户密码。

现在，您可以在特定域的 Required 操作 选项卡中配置一些操作。目前，更新密码 是唯一内置的可配置操作。它支持设置 Maximum Age of Authentication，这是用户可在不重新身份验证的情况下通过 kc_action 参数（用于实例在帐户控制台中更新密码）更新其密码的最长时间。

也改进了所需操作的排序。当在身份验证过程中需要多个操作时，无论它们是在身份验证期间设置的操作（例如，kc _action 参数），还是管理员手动添加到用户帐户中的操作。

添加了安全 SAML 客户端的默认客户端配置集。在管理控制台中浏览域的客户端策略时，您会看到新的客户端配置文件 saml-security-profile。当使用它时，会为 SAML 客户端应用安全最佳实践。例如，强制签名，SAML 重定向绑定被禁用，禁止通配符重定向 URL。

当删除客户端范围或完整域时，还应删除关联的用户同意。添加了表 USER_CONSENT_CLIENT_SCOPE 的新索引，以提高性能。

请注意，如果表包含超过 300,000 个条目，红帽构建的 Keycloak 会在自动模式迁移过程中跳过创建索引，并将 SQL 语句记录到控制台中。在红帽构建的 Keycloak 启动后，该声明必须在数据库中手动运行。

现在，有常规事件可用于更新(UPDATE_CREDENTIAL)并删除(REMOVE_CREDENTIAL)凭证。凭据类型在事件的 credentials_type 属性中描述。Email Event Listener 支持新事件类型。

以下事件类型现已弃用，并将在以后的版本中删除： UPDATE_PASSWORD, UPDATE_PASSWORD_ERROR , UPDATE_ TOTP ,UPDATE_TOTP _ERROR,REMOVE_TOTP,REMOVE_TOTP_ERROR.

指标和健康检查端点无法通过标准的红帽构建 Keycloak 服务器端口访问。由于这些端点应在外部世界中隐藏，因此可以在单独的默认管理端口 9000 上访问它们。

使用单独的端口可防止用户作为 Kubernetes 环境中的 Keycloak 端点的标准红帽构建。新的管理界面提供了一组新的选项，您可以配置它们。

Red Hat build of Keycloak Operator 假设管理界面默认启用。如需了解更多详细信息 ，请参阅配置管理界面。

http_server_active_requests 1.0
http_server_requests_seconds_count{method="GET",outcome="SUCCESS",status="200",uri="/realms/{realm}/protocol/{protocol}/auth"} 1.0
http_server_requests_seconds_sum{method="GET",outcome="SUCCESS",status="200",uri="/realms/{realm}/protocol/{protocol}/auth"} 0.048717142

在调用令牌内省端点时，您可以使用 HTTP Header Accept: application/jwt。为特定客户端启用后，它将使用完整的 JWT 访问令牌从令牌内省端点返回声明 jwt，这非常有用，特别是当客户端调用内省端点使用轻量级访问令牌时。

添加了对 Passkeys 条件 UI 的支持。当启用此预览功能时，提供了一个专用的验证器。您可以从可用的 passkeys 帐户列表中选择，并根据用户进行身份验证。

存在新的验证器 确认覆盖现有的链接。此验证器允许您覆盖红帽构建的 Keycloak 用户的链接 IDP 用户名，该用户之前链接到不同的 IDP 身份。如需了解更多详细信息，请参阅 覆盖现有代理链接。

随着提高组的可伸缩性，在删除域时组现在直接从数据库中删除。因此，删除域时不再触发与组相关的事件，如 GroupRemovedEvent。

如需更多信息，请参阅与组相关的事件。

在本发行版本中，LDAP 连接池配置只依赖于系统属性。

如需了解更多详细信息 ，请参阅配置连接池。

如果您使用 Microsoft AD 并通过管理界面创建用户，该用户将默认创建为启用。

在以前的版本中，只能在将（非临时）密码设置为用户后更新用户状态。这个行为与其他内置用户存储不一致，以及与 LDAP 供应商支持的其他 LDAP 供应商不一致。

从外部 java 密钥存储文件加载 realm 密钥的 java-keystore 密钥提供程序已修改为管理 Keycloak 算法的所有红帽构建。此外，可以使用 vault 从存储检索实际密钥所需的密钥存储和密钥机密。因此，红帽构建的 Keycloak 域可将任何密钥外部化到加密文件，而无需存储在数据库中。

有关此主题的更多信息，请参阅配置域密钥。

在以前的版本中，如果会话仍然有效，在验证会话仍然有效时，会话 max 生命周期和空闲超时计算略有不同。现在，验证使用与项目的其余部分相同的代码。

如果会话使用 remember me 功能，则空闲超时和 max 生命周期是通用 SSO 和记住我配置值之间的最大值。

由于主机名配置设置的复杂性，这个版本包括 Hostname v2 选项。原始主机名选项已被删除。如果您有自定义主机名设置，您应该迁移到新选项。请注意，这些选项背后的行为也已改变。

如需了解更多详细信息，请参阅 新主机名选项。

现在，您可以在运行时指定缓存、 cache -stack 和 cache-config-file 选项。此更改消除了执行构建阶段的需要，并使用这些选项重建您的镜像。

如需了解更多详细信息，请参阅 在运行时指定缓存选项。

Red Hat build of Keycloak 26 对推荐的高可用性多站点架构进行了显著改进，最重要的是：

有关实施的详情，请参阅 高可用性多站点部署。

由于从 AccessToken、IDToken 和 JsonWebToken 中删除已弃用的方法后，SingleUseObjectKeyModel 也改变，以保持与过期值相关的方法名称的一致性。

如需了解更多详细信息，请参阅 SingleUseObjectKeyModel。

支持的和测试的数据库现在包含 PostgreSQL 16。

Marshalling 是将 Java 对象转换为字节的过程，以便在红帽构建的 Keycloak 服务器之间在网络上发送它们。在 Red Hat build of Keycloak 26 中，marshalling 格式从 JBoss Marshalling 改为 Infinispan Protostream。

Infinispan Protostream 基于 协议缓冲 (proto 3)，其利用了后向/转发兼容性。

在以前的版本中，当所有管理员用户被锁定时，重新获得红帽构建的 Keycloak 实例的访问权限非常困难。但是，Red Hat build of Keycloak 现在提供新的方法来引导临时 admin 帐户，并恢复丢失的 admin 访问权限。

现在，您可以使用特定选项运行 start 或 start-dev 命令，以创建临时 admin 帐户。另外，引入了一个新的专用命令，允许用户快速重新获得管理员访问权限。

因此，环境变量 KEYCLOAK_ADMIN 和 KEYCLOAK_ADMIN_PASSWORD 已被弃用。您应该改为使用 KC_BOOTSTRAP_ADMIN_USERNAME 和 KC_BOOTSTRAP_ADMIN_PASSWORD。这些是常规选项，因此可以通过 cli 或其他配置源来指定，如 --bootstrap-admin-username=admin。

如需更多信息，请参阅 临时 admin 帐户。

对 OpenTelemetry Tracing 的底层 Quarkus 支持已公开给红帽构建的 Keycloak，并允许您获取应用程序 trace 以获得更好的可观察性。此功能包括查找性能瓶颈的功能，确定应用故障的原因，并通过分布式系统追踪请求。

如需更多信息，请参阅 启用追踪。

DPoP (OAuth 2.0 演示-Possession)预览功能有改进。现在，所有授权类型都支持 DPoP。在以前的版本中，这个功能只支持 authorization_code 授权类型。在 UserInfo 端点上也支持 DPoP 令牌类型。

现在，红帽构建的 Keycloak 允许配置 ECDH-ES、ECDH-ES+A128KW、ECDH-ES+A192KW 或 ECDH-ES+A256KW 作为客户端的加密密钥管理算法。带有 Elliptic Curve Diffie-Hellman Ephemeral Static (ECDH-ES)规范的密钥协议为 JWT 引入了三个新标头参数： epk、auu 和 apv。目前，Red Hat build of Keycloak 实现只管理 compulsory epk，而其他两个（是可选的）则永远不会添加到标头中。有关这些算法的更多信息，请参阅 JSON Web 算法(JWA)。

另外，新的密钥提供程序 ecdh-generated 也可用于生成域密钥并支持 ECDH 算法。

在本发行版本中，撤销的访问令牌写入数据库，并在使用嵌入式缓存时默认重启集群时重新载入。

如需了解更多详细信息，请参阅 持久性删除访问令牌。

基于 client-attribute 的条件添加到客户端策略中。您可以使用此条件为具有指定的值的指定客户端指定客户端。在评估此条件时，请使用 AND 或 OR 条件，如客户端策略文档中所述。

现在，红帽构建的 Keycloak 允许配置 ECDH-ES、ECDH-ES+A128KW、ECDH-ES+A192KW 或 ECDH-ES+A256KW 作为客户端的加密密钥管理算法。带有 Elliptic Curve Diffie-Hellman Ephemeral Static (ECDH-ES)规范的密钥协议为 JWT 引入了三个新标头参数： epk、auu 和 apv。目前，红帽构建的 Keycloak 实现只管理 compulsory epk，而其他两个（可选）永远不会添加到标头中。有关这些算法的更多信息，请参阅 JSON Web 算法(JWA)。

另外，新的密钥提供程序 ecdh-generated 也可用于生成域密钥并支持 ECDH 算法。

当将 proxy-headers 选项设置为指定可信代理地址的 allowlist 时，可以使用 proxy-trusted-addresses。如果给定请求的代理地址不被信任，则不会使用对应的代理标头值。详情请查看 受信任的代理。

proxy-protocol-enabled 选项控制服务器在提供代理后面的请求时是否应该使用 HA PROXY 协议。当设置为 true 时，返回的远程地址将是实际连接客户端中的地址。详情请参阅 代理协议。

可以设置 https-certificates-reload-period 选项，以定义由 https netobserv 选项引用的密钥存储、信任存储和证书文件的重新载入周期。使用 -1 禁用重新加载。默认值为 1h （一小时）。详情请参阅 证书和密钥重新加载。

可以设置 --cache-embedded-${CACHE_NAME}-max-count=，以定义指定缓存中缓存条目数量的上限。

根据社区反馈，我们决定取消弃用 https-trust-store suit 选项，以便在可信证书中实现更好的粒度。