2.3. RH SSO 7.4

Red Hat Single Sign-On 服务器已升级为使用 EAP 7.3 作为底层容器。这个更改不会直接涉及任何特定的红帽单点登录服务器功能，但与迁移相关的一些变化。

我们对身份验证流程进行了一些重构并改进，在迁移过程中需要注意它们。

此发行版本解决了在域中创建重复的顶层组的问题。存在之前重复的组会使升级过程失败。如果使用 H2、MariaDB、MySQL 或 PostgreSQL 数据库，则 Red Hat Single Sign-On 服务器会受到此问题的影响。在启动升级前，检查服务器是否包含重复的顶层组。例如，可在数据库级别执行以下 SQL 查询以列出它们：

SELECT REALM_ID, NAME, COUNT(*) FROM KEYCLOAK_GROUP WHERE PARENT_GROUP is NULL GROUP BY REALM_ID, NAME HAVING COUNT(*) > 1;

SELECT REALM_ID, NAME, COUNT(*) FROM KEYCLOAK_GROUP WHERE PARENT_GROUP is NULL GROUP BY REALM_ID, NAME HAVING COUNT(*) > 1;

每个域中只能有一个顶层组名称。在升级前，应检查和删除重复项。升级中的错误包含消息 Change Set META-INF/jpa-changelog-9.0.1.xml::9.0.1- KEYCLOAK-12579-add-not-null-constraint::keycloak 失败。

我们为存储用户凭证提供了更多灵活性。另外，每个用户都可以有多个相同类型的凭证，如多个 OTP 凭证。与数据库架构中存在一些变化，但上一版本中的凭证会更新为新格式。用户仍可以使用之前版本中定义的密码或 OTP 凭证登录。

我们添加了 microprofile-jwt 可选客户端范围来处理 MicroProfile/JWT Auth 规范中定义的声明。这个新客户端范围定义了 protocol 映射程序，将经过身份验证的用户的用户名设置为 upn 声明，并将 realm 角色设置为组声明。

现在，如何选择登录页面的区域以及用户更新了区域设置时，进行了一些改进。详情请查看 服务器管理指南。

您不再需要在 JavaScript 适配器中设置 promiseType，且两者同时可用。建议尽可能立即更新应用程序以使用原生保证 API（then 和 catch），因为旧 API（成功和错误）将在某个点上被删除。

到目前为止，管理员可以通过红帽单点登录管理控制台和 RESTful 管理 API 将脚本上传到服务器。这个功能现已被禁用。用户应该直接将脚本部署到服务器。如需更多详细信息，请查看 JavaScript Providers。

在以前的版本中，开发人员可以为 JavaScript 适配器提供客户端凭证。现在，这个功能已被移除，因为客户端的应用程序无法安全保存 secret。能够将 prompt=none 传播到默认的 IDP

我们已在名为 Accepts prompt=none forward from client 的 OIDC 身份提供程序配置中添加了一个切换，以标识可以处理包含 prompt=none 查询参数的 IDP。

在现在之前，在收到带有 prompt=none 的 auth 请求时，如果用户没有通过 IDP 进行身份验证，则域将返回 login_required 错误。现在，如果可以从现在确定默认 IDP（可以使用 kc_idp_hint 查询 param，或者为域设置默认 IDP）以及是否已为 IDP 启用了 Accepts prompt=none，则验证请求将转发到 IDP，检查用户是否已通过身份验证。

务必要注意，只有在指定了默认 IDP 时，这个切换才被考虑。在这种情况下，我们知道在不需要提示用户选择 IDP 的情况下转发 auth 请求。如果无法确定默认的 IDP，我们不能假设将使用哪个 IDP 来实现 auth 请求，因此不会执行请求转发。

请求和固定主机名供应商已被新的默认主机名供应商替代。请求和固定主机名供应商现已弃用，我们建议您尽快切换到默认主机名供应商。

某些功能在状态有变化。

Authorization Services Drools Policy 已被删除。