5.2. 集成

SAML 客户端现在可以配置为从 SP 实体元数据描述符端点自动下载签名和加密证书。要使用此新功能，在 client Settings 选项卡中，在 Signature 和 Encryption 部分中，配置 元数据描述符 URL 选项（使用证书发布的 SP 元数据信息的 URL）并激活 使用元数据描述符 URL。证书将自动从该 URL 中下载并缓存到 public-key-storage SPI 中。这也允许无缝轮转证书。

如需更多信息，请参阅创建 SAML 客户端。

MCP （模型上下文协议）是将 AI 应用程序连接到外部系统的开源标准。使用 MCP，AI 应用程序可以连接到数据源、工具和工作流，使它们能够访问关键信息并执行任务。

为了遵守 MCP 规范，此版本通过已知 URI 提供其 OAuth 2.0 服务器元数据，其格式符合 RFC 8414 OAuth 2.0 Authorization Server Metadata 规格。因此，Keycloak 用户现在可以使用 Keycloak 作为 MCP 的授权服务器。

最新的 MCP 规格 2025-06-18 还需要在 Red Hat build of Keycloak 中支持资源指示符。

客户端发起将用户帐户链接到身份提供程序现在基于应用程序发起的操作(AIA)实现。此功能与配置此功能一致，简化了调用客户端应用程序中的错误处理，这使其对更广泛的受众更有用。

以前用于客户端发起的帐户链接的自定义协议现已弃用。

在以前的版本中，红帽构建的 Keycloak 已与其他 OpenID Connect 和 SAML 供应商以及几个 Social 提供者（如 GitHub 和 Google）进行了支持，它们基于 OAuth 2.0。

新的 OAuth 2.0 代理现在缩小了与任何 OAuth 2.0 供应商联合的差距。因此，您可以与 Amazon 或其他供应商合作。由于这是通用提供程序，您需要在提供程序配置中指定不同的声明和用户信息端点。

如需更多信息，请参阅 OAuth v2 身份提供程序。

到目前为止，OpenID Connect 代理不支持 OpenID Connect 供应商发布的 ID 令牌中的标准 email_verified 声明。

从这个版本开始，红帽构建的 Keycloak 支持这种标准声明，如用于联邦的 OpenID Connect Core 规格 所定义。

每当用户首次联邦时，或者当用户重新验证了 Trust email 设置时，Sync Mode 被设置为 FORCE，供应商会发送 email_verified 声明，其电子邮件会根据 email_verified 声明标记。如果提供程序没有发送声明，则默认为原始行为，并根据验证设置电子邮件。