红帽全球峰会发行注记
使开源包含更多
红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。有关更多详情,请参阅我们的首席技术官 Chris Wright 提供的消息。
第 1 章 Red Hat Single Sign-On 7.6.0.GA
1.1. 概述
红帽很自豪地宣布,红帽单点登录(RH-SSO)版本 7.6 版本。RH-SSO 基于 Keycloak 项目,您可以通过提供基于常见标准(如 OpenID Connect、OAuth 2.0 和 SAML 2.0)的 Web SSO 功能来保护 Web 应用。RH-SSO 服务器充当基于 OpenID Connect 或基于 SAML 的身份供应商(IdP),允许您的企业用户目录或第三方 IdP 通过基于标准的安全令牌保护应用程序。
Red Hat Single Sign-On for IBM Z 和 IBM Power Systems 只在 OpenShift 环境中被支持。不支持 IBM Z 和 IBM Power Systems 上的裸机安装。
以下注释适用于 RH-SSO 7.6 发行版本。
1.2. 新的或改进的功能
1.2.1. 步骤验证
Red Hat Single Sign-On 现在支持步骤验证。如需了解更多详细信息,请参阅 服务器管理指南。
1.2.2. 客户端 secret 轮转
Red Hat Single Sign-On 现在支持通过客户策略进行客户端 Secret 轮转。这个功能现在作为技术预览提供,并允许为机密客户端提供域策略,以便同时使用最多两个 secret。
如需了解更多详细信息,请参阅 服务器管理指南。
1.2.3. 恢复代码
现在,恢复代码作为进行双因素身份验证的另一种方式可用。
1.2.4. OpenID Connect Logout 提高
对一些修复和增强已被改进,以确保 Red Hat Single Sign-On 现在完全符合所有 OpenID Connect logout 规格:
- OpenID Connect RP-Initiated Logout 1.0
- OpenID Connect Front-Channel Logout 1.0
- OpenID Connect Back-Channel Logout 1.0
- OpenID Connect Session Management 1.0
如需了解更多详细信息,请参阅 服务器管理指南。
1.2.5. WebAuthn 的改进
WebAuthn 不再是一个技术预览功能。现在完全受支持。
另外,Red Hat Single Sign-On 现在支持 WebAuthn id-less 身份验证。此功能允许 WebAuthn 安全密钥在身份验证期间识别用户,只要安全密钥支持 Resident Keys。如需了解更多详细信息,请参阅 服务器管理指南。
1.2.6. 会话限制
Red Hat Single Sign-On 现在支持对用户可以拥有的会话数量的限制。限制可以置于 realm 级别或客户端级别。
如需了解更多详细信息,请参阅 服务器管理指南。
1.2.7. SAML ECP Profile 默认禁用
为了缓解滥用 SAML ECP 配置集的风险,Red Hat Single Sign-On 现在会为未明确允许的所有 SAML 客户端阻止这个流。该配置集可以在客户端配置中使用 Allow ECP Flow 标志来启用,请参阅 服务器管理指南。
1.3. LDAP 和 Kerberos 集成的改进
从 RH-SSO 7.6.9,红帽单点登录支持域中多个 LDAP 提供程序,它支持与同一 Kerberos 域的 Kerberos 集成。当 LDAP 供应商找不到通过 Kerberos/SPNEGO 进行身份验证的用户时,红帽单点登录将绑定到下一个 LDAP 供应商。当单个 LDAP 供应商支持多个 Kerberos 域时,Red Hat Single Sign-On 也具有更好的支持,这些 Kerberos 域相互信任。
1.3.1. 其他改进
- 帐户控制台与最新的 PatternFly 发行版本一致。
- 支持加密的 User Info 端点响应。
- 支持使用加密密钥的 A256GCM 的算法 RSA-OAEP。
- 支持使用 GitHub Enterprise 服务器登录。
1.4. 现有技术预览功能
以下功能继续处于技术预览状态:
- 令牌交换
- 精细的授权权限
1.5. 删除或弃用的功能
这些功能在状态有变化:
在 Red Hat Single Sign-On 7.2 中作为技术预览功能引入的跨站点复制不再作为任何 Red Hat SSO 7.x 发行版本中支持的功能提供,包括最新的 RH-SSO 7.6 发行版本。红帽不推荐任何客户在其环境中实施或使用此功能,因为它不被支持。另外,对这个功能的支持例外不再被视为或接受。
将讨论跨站点复制的新解决方案,并在未来的 Red Hat build of Keycloak (RHBK)中考虑,这是引入的产品,而不是 Red Hat SSO 8。稍后会提供更详细的信息。
-
Keycloak CR 中的
podDisruptionBudget字段已弃用,并在 Operator 部署到 OpenShift 4.12 及更高版本中时忽略。作为临时解决方案,请参阅升级指南。 -
弃用的
upload-script功能已被删除。 - 对 Red Hat Enterprise Linux 6(RHEL 6)上的 Red Hat Single Sign-On(RH-SSO)的支持已被弃用,在 RHEL 6 上不支持 RH-SSO 的 7.6 版本。RHEL 6 在 2020 年 11 月 30 日进入 ELS 阶段,RH-SSO 依赖的 Red Hat JBoss Enterprise Application Platform (EAP) 在 EAP 7.4 版本中不再支持 RHEL 6。客户应在 RHEL 7 或 8 版本中部署其 RH-SSO 7.6 升级。
- Spring Boot Adapter 已被弃用,它不包括在 8.0 及更高版本和更高版本的 RH-SSO 版本中。此适配器将在 RH-SSO 7.x 生命周期中维护。用户应迁移到 Spring Security,以便将其 Spring Boot 应用程序与 RH-SSO 集成。
- 从 RPM 安装已弃用。Red Hat Single Sign-On 将继续在 7.x 产品的生命周期内提供 RPM,但不会为下一个主要版本提供 RPM。该产品将继续支持从 ZIP 文件安装并在 OpenShift 中安装。
- Red Hat Single Sign-On for OpenShift on Eclipse OpenJ9 已弃用。但是,OpenShift 上的 Red Hat Single Sign-On 现在支持所有平台(x86、IBM Z 和 IBM Power Systems),如 OpenShift 指南 中所述。有关此变化的详情,请参阅 PPC 和 s390x OpenShift Images 中的 Java 更改。
- 授权服务 Drools 策略已被删除。
1.6. 修复的问题
有关 RH-SSO 7.5 和 7.6.0 之间修复的问题的详情,请参阅 RHSSO 7.6.0 修复的问题。
在 7.6.0 发布后,我们为 Red Hat Single Sign-On Operator 引入了一个补丁发行版本,以修复阻止使用 Operator 从 7.5.2 升级到 7.6.0 的严重问题。如需了解更多详细信息和注意事项,请参阅升级指南。
1.7. 已知问题
此发行版本包括以下已知问题:
- KEYCLOAK-18115 - Attempt 以编辑拒绝在 RHSSO 7.4.6 中的属性
1.8. CVE
在这个发行版本中,以下 CVE 被解决:
- 在启用了 mTLS 的情况下,使用没有通过传递终止的 TLS 的带有反向代理的 Keycloak 的 CVE-2024-10039 部署会受到影响
- CVE-2024-8883 Vulnerable 重定向 URI 验证结果为 Open Redirect
- CVE-2024-8698 Improper 验证 SAML 响应会导致 Red Hat Single Sign-On 中的权限升级
- elytron SAML 适配器中的 CVE-2024-7341 会话修复,以更好地保护可能的 Cookie hijack。
- CVE-2024-5967 通过管理控制台了解配置的 LDAP 绑定凭据。可以通过适当的权限将 hostURL 更改为攻击者的机器。
- CVE-2024-4629,攻击者可以并行启动多次登录尝试来绕过暴力保护。
-
CVE-2024-4540,一个重要的安全问题,会影响某些 OIDC 机密客户端,使用 PAR (Pushed 授权请求)。如果您将 OIDC 机密客户端与 PAR 一起使用,且您基于在 HTTP 请求正文中的参数发送
client_id和client_secret(在 OIDC 规格中指定的methodclient_secret_post)使用客户端验证,则强烈建议您在升级到此版本后轮转客户端的客户端 secret。
1.9. 支持的配置
客户门户网站上 提供了 RH-SSO Server 7.6 的支持功能和配置。
1.10. 组件版本
客户门户网站上 提供了 RH-SSO 7.6 支持的组件版本列表。
您可以在 Red Hat Single Sign-On pod 中添加 metering 标签,并使用 OpenShift Metering Operator 检查红帽订阅详情。
不要将 metering 标签添加到 Operator 部署和管理的任何 pod 中。
Red Hat Single Sign-On 可以使用以下 metering 标签:
-
com.redhat.component-name: Red Hat Single Sign-On -
com.redhat.component-type: application -
com.redhat.component-version: 7.6 -
com.redhat.product-name: "Red_Hat_Runtimes" -
com.redhat.product-version: 2020/Q2
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}