Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 5 章 新功能及功能增强

以下发行注记适用于红帽构建的 Keycloak 版本 26.4.6。此发行版本具有新功能,侧重于安全增强、更深入的集成和改进的服务器管理。这个版本的亮点包括:

  • 用于无缝的、用户免密码身份验证的 Passkeys。
  • 为具有简化 WebAuthn/Passkey 注册的应用程序开发人员简化体验,并通过应用程序启动操作简化到身份提供程序的链接。
  • 联邦客户端身份验证,使用 SPIFFE 或 Kubernetes 服务帐户令牌进行客户端身份验证。
  • 简化了跨多个可用区的部署,以增强可用性。
  • FAPI 2 Final : FAPI 2.0 Security Profile 和 FAPI 2.0 Message Signing 的最终规格。
  • DPoP:应用程序层(DPoP)上的 OAuth 2.0 演示概念验证(DPoP)现在被完全支持。改进包括只为公共客户端绑定令牌,并使用 DPoP 令牌保护所有 Keycloak 端点。
  • 使用 2FA 恢复代码进行帐户恢复,防止用户锁定。与与任何 OAuth 2.0 兼容授权服务器进行代理的功能更广泛的连接,并增强了 OpenID Connect 供应商的可信电子邮件验证。
  • 异步日志记录以实现更高的吞吐量和低延迟,确保部署效率更高。

继续阅读以了解更多有关每个新功能的信息。如果您要从上一版本升级,还要查看 升级指南 中列出的更改。

5.1. 安全和标准
复制链接

5.1.1. 现在支持 Passkeys 集成
复制链接

现在,Passkeys 都使用条件和模态 UI 在 Red Hat build of Keycloak 登录表单中无缝集成。要在域中激活集成,请转至 Authentication,Policies,Webauthn Passwordless Policy,并将 Enable Passkeys 切换到 enabled。

如需更多信息,请参阅 Passkeys

5.1.2. FAPI 2 Final 现在被支持
复制链接

红帽构建的 Keycloak 支持最新版本的 FAPI 2 规格。规格 FAPI 2.0 Security ProfileFAPI 2.0 Message Signing 已提升到 Final,红帽构建的 Keycloak 支持它们。红帽构建的 Keycloak 客户端策略支持 FAPI 2 的最终版本和对应的客户端配置集,正在传递 FAPI 一致性测试套件。

除了现有策略的一些非常小度外,红帽构建的 Keycloak 有新的客户端配置文件(fapi-2-dpop-security-profilefapi-2-dpop-message-signing)用于使用 DPoP 并符合 FAPI 2 的客户端。

如需了解更多详细信息,请参阅 FAPI 支持

5.1.3. 现在支持 DPoP
复制链接

Red Hat build of Keycloak 支持在应用程序层(DPoP)上的 OAuth 2.0 演示-Possession (之前是一个预览功能)。另外,支持的版本还包括 DPoP 功能的一些改进和次要功能,如下所示:

  • 只能刷新公共客户端的令牌,以绑定 DPoP,并省略访问令牌的绑定。
  • 现在,所有由 bearer 令牌保护的 Keycloak 端点构建都可以处理 DPoP 令牌。例如,这包括 Admin REST API 和 Account REST API。
  • 在 OIDC 身份验证请求中需要 dpop_jkt 参数的可能性。

如需更多信息,请参阅文档中的 DPoP 部分

5.1.4. FIPS 140-2 模式现在支持 EdDSA
复制链接

当升级到 Bouncy Castle 2.1.x 时,现在可以使用算法 EdDSA。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat