1.2. 新功能或改进的功能

现在，管理员更容易配置双因素身份验证，并为双因素身份验证选择多个替代方案。例如，管理员可以将 OTP 和 WebAuthn 配置为身份验证流中的 alternatives，允许用户在身份验证过程中选择这些机制。

管理员更容易配置免密码身份验证。此功能可用于 WebAuthn，可用作双因素身份验证机制和无密码身份验证机制。如果是免密码，则不需要使用 WebAuth 进行身份验证的用户在身份验证过程中提供密码。更容易组合免密码和双因素身份验证。

管理员可以配置身份验证流程，让用户在身份验证过程中仅提供第一个表单的用户名。此更改可以提供更好的灵活性，因为 RH-SSO 可以更好地检测目标用户的首选身份验证机制，并根据情况显示验证表单。

RH-SSO 允许在身份验证流的特定位置添加条件。因此，在满足指定条件时，需要使用身份验证机制进行验证。这意味着，特定角色的成员需要双因素身份验证。另一个例子是，配置双因素凭证的用户需要双因素身份验证机制。

通过添加条件验证器，我们可以删除身份验证执行的 OPTIONAL 要求。条件验证器更灵活，并允许支持之前允许使用 OPTIONAL 身份验证执行要求的所有内容。如果您使用 OPTIONAL 身份验证执行，则会自动迁移身份验证流。

如需了解更多详细信息 ，请参阅升级指南。

在 RH-SSO 数据库中存储的用户凭证格式已更改。另外，每个用户都可以具有同一类型的多个凭证，如多个 OTP 凭证或多个 WebAuthn 凭证。在身份验证过程中，用户可以选择使用哪个凭证以及使用哪个身份验证机制。

管理员可以查看特定用户的所有凭证，以及与目标凭证关联的一些公共元数据。例如，管理员可以查看哪些哈希算法用于哈希用户密码。管理员可以删除某些用户凭据或更改某些凭据的优先级，以便它们成为目标用户的首选。

用户可以在帐户控制台中看到其所有凭证，并添加或删除凭证。请参阅 New Account Console 中的部分，它是一个技术预览功能。目前支持的用户帐户控制台（用户帐户服务）不支持此功能。它支持 OTP 的方式类似于之前的 RH-SSO 版本。

如需了解更多详细信息，请参阅 服务器管理指南中的 身份验证流。

RH-SSO 支持 OpenShift 机密的 vault 实施。这些 secret 可以作为数据卷挂载，它们显示为扁平文件结构的目录，其中每个 secret 都由名称为 secret 名称的文件表示，并且该文件的内容是 secret 值。

RH-SSO 包括了一个新的内置 vault 供应商，从由密钥存储支持的 Elytron 凭证存储中读取 secret。凭证存储的创建和管理是由 Elytron 使用 Elytron 子系统或 elytron-tool.sh 脚本处理的。

引进了 vault SPI，以便开发扩展以从自定义密码库访问 secret。

如需了解更多详细信息，请参阅 服务器 管理指南 和服务器开发人员指南。