发行注记

授权服务在 RH-SSO 7.1 版本中作为技术预览功能引进。在 7.3 中，它现已被完全支持，但与使用 Drools 实施的自定义规则相关的小子组件除外，它仍为技术预览。

授权服务已根据新的用户管理访问 2.0 (UMA 2.0)规格进行升级。之前的版本依赖于 UMA 1.0 版本。升级 引入了用户管理其资源、关联的权限、批准访问请求并通过帐户管理控制台与其他用户共享请求的功能。

另外还进行了很多较小的改进和增加：

现在，可以使用红帽单点登录完全保护 OpenShift 3.11，包括将服务帐户自动公开为 OAuth 客户端作为客户端到 Red Hat Single Sign-On 的能力。这个功能当前处于技术预览阶段。

在生产环境中不支持使用标记为技术预览的功能。

RH-SSO 服务器现在支持 RS256、RS384、RS512、ES256、ES384、ES512、HS256、HS384 和 HS512。

现在支持 Elliptic Curve Digital Signature Algorithm (ES256/384/512)，并提供类似安全属性作为 RSA 签名，但使用显著低于 CPU。

现在支持 HMAC (HS256/384/512)，并允许应用程序尝试验证签名本身。由于这些是对称签名，因此仅 Keycloak 能够验证签名，这需要应用使用令牌内省端点来验证令牌。

RH-SSO 适配器尚不支持额外的签名算法，目前仅支持 RS256。

我们引进了一个更灵活的方法来为 RH-SSO 配置主机名，这在与云相关的环境中部署时具有更大的灵活性。它可以根据请求标头或配置为固定主机名来确定。后者可确保只使用有效的主机名，并允许内部应用通过替代 URL 调用 RH-SSO。

新添加的客户端身份验证器使用 X509 客户端证书和 Mutual TLS 来保护来自客户端的连接。另外，RH-SSO 服务器验证客户端证书的主题 DN 字段。

我们添加了对客户端范围的支持，这将替换客户端模板。客户端范围是一种更灵活的方法，还可更好地支持 OAuth scope 参数。

与客户端范围相关的更改与同意的屏幕相关。现在，同意屏幕上的列表链接到客户端范围，而不是协议映射器和角色。

如需了解更多详细信息，请参阅文档和迁移指南。

现在，我们对规格 OAuth 2.0 通用 TLS 客户端身份验证和证书绑定访问令牌有部分实现。特别是，我们现在支持 Certificate Bound 访问令牌。如果您的机密客户端能够使用双向 SSL，RH-SSO 将能够将客户端证书的哈希值添加到为客户端发布的令牌中。目前，它只是 RH-SSO 本身，用于验证令牌哈希（例如在刷新令牌请求期间）。我们还计划为适配器添加支持。我们还计划添加对 Mutual TLS 客户端身份验证的支持。主题和主题资源

现在，可以通过常规提供程序部署将主题热部署到 RH-SSO。我们还添加了对主题资源的支持，允许在不创建主题的情况下添加额外的模板和资源。这可用于需要将额外页面添加到身份验证流的自定义验证器。

我们还添加了对覆盖特定客户端的主题的支持。如果这不适合您的需要，则还有一个新的 Theme Selector SPI，供您实施自定义逻辑来选择主题。

7.3 发行版本中更新了以下页面的设计：

引入了为记住我会话指定不同的会话闲置和最大超时功能。这可让记住我会话比常规会话更长。

之前，大量组在管理控制台中造成问题。现在，这可以通过引入组的分页来解决。

在过去，如果有很多离线会话，则启动 RH-SSO 可能需要很长时间。现在，这个启动时间已被显著降低。

DB2 支持已被弃用。在这个版本中，我们删除了对 DB2 的所有支持。