2.2. RH SSO 7.5

Red Hat Single Sign-On 服务器已升级，以使用 EAP 7.4 作为底层容器。这个更改不会直接涉及任何特定的红帽单点登录服务器功能，但与迁移相关的一些变化。

<extension module="org.wildfly.extension.microprofile.config-smallrye"/>
<extension module="org.wildfly.extension.microprofile.health-smallrye"/>
<extension module="org.wildfly.extension.microprofile.metrics-smallrye"/>

<extension module="org.wildfly.extension.microprofile.config-smallrye"/>
<extension module="org.wildfly.extension.microprofile.health-smallrye"/>
<extension module="org.wildfly.extension.microprofile.metrics-smallrye"/>

<subsystem xmlns="urn:wildfly:microprofile-config-smallrye:1.0"/>
<subsystem xmlns="urn:wildfly:microprofile-health-smallrye:2.0" security-enabled="false" empty-liveness-checks-status="${env.MP_HEALTH_EMPTY_LIVENESS_CHECKS_STATUS:UP}" empty-readiness-checks-status="${env.MP_HEALTH_EMPTY_READINESS_CHECKS_STATUS:UP}"/>
<subsystem xmlns="urn:wildfly:microprofile-metrics-smallrye:2.0" security-enabled="false" exposed-subsystems="*" prefix="${wildfly.metrics.prefix:wildfly}"/>

<subsystem xmlns="urn:wildfly:microprofile-config-smallrye:1.0"/>
<subsystem xmlns="urn:wildfly:microprofile-health-smallrye:2.0" security-enabled="false" empty-liveness-checks-status="${env.MP_HEALTH_EMPTY_LIVENESS_CHECKS_STATUS:UP}" empty-readiness-checks-status="${env.MP_HEALTH_EMPTY_READINESS_CHECKS_STATUS:UP}"/>
<subsystem xmlns="urn:wildfly:microprofile-metrics-smallrye:2.0" security-enabled="false" exposed-subsystems="*" prefix="${wildfly.metrics.prefix:wildfly}"/>

UserModel 包括某些字段、用户名、电子邮件、firstName 和 lastName，这些字段现在转换为自定义属性。进行了此更改，准备将更复杂的用户配置文件添加到 Red Hat Single Sign-On。

这种情况意味着，用户名 现在可以被 UserModel.getFirstAttribute(UserModel.USERNAME) 访问和设置。其他字段存在类似的影响。SPIs 子类直接或间接处理 UserModel 的实施器应确保 setUsername 和 setSingleAttribute(UserModel.USERNAME, …​) 之间的行为一致。

策略评估功能的用户如果他们在评估中使用属性数量，则应该调整其策略。每个用户现在默认具有四个新属性。

UserModel 的公共 API 没有改变。不需要更改 frontend 资源或 SPI 访问用户数据。另外，数据库还没有改变。

Red Hat Single Sign-On 登录主题组件已升级至 PatternFly 4。旧 PatternFly 3 可同时使用新的同时运行，因此可以保持 PF3 组件。

但是，对登录主题的设计进行了一些更改。请将您的自定义登录名升级到新版本。在 example /themes/theme/sunrise 目录中可以找到包含必要更改的示例。不需要额外的设置。

Instagram IdP 现在使用一个新的 API。旧的旧的 API 已被弃用。此更改需要新的 API 凭证。有关详细信息，请参阅《 服务器管理指南》。

对于使用 Instagram IdP 登录 Instagram 的用户，这些用户需要不同的身份验证方法，如密码。他们可以登录以手动更新其 Instagram 社交链接或在 Red Hat Single Sign-On 中创建一个新帐户。这个限制存在，因为上一个 API 中的 Instagram 用户 ID 与新的 API 不兼容。但是，新 API 会临时返回新的用户和旧用户 ID，以允许迁移。当用户登录时，Red Hat Single Sign-On 会自动迁移 ID。

如果使用 OpenID Connect 参数 request_uri，您的客户端需要配置 Valid Request URI，以防止 SSRF 攻击

您可以通过客户端详情页面上的 Admin Console 或管理员 REST API 或客户端注册 API 配置此功能。有效的 Request URIs 需要包含为特定客户端允许的 Request URI 值列表。

您可以使用通配符或相对路径，如 Valid Redirect URIs 选项。但是，我们建议在安全中使用 作为具体值。

现在，只读用户属性可用。在使用 REST API 更新用户或红帽单点登录用户界面时，用户或管理员不会编辑其中的一些用户属性。特别是，在使用以下任一时，这个更改很重要：

详情请查看 Threat model 缓解方案。

在使用 Docker 协议成功进行身份验证后，不会创建用户会话。有关详细信息，请参阅《 服务器管理指南》。

对于此 Red Hat Single Sign-On 版本，OAuth2 客户端凭证Grant 端点默认不会发布刷新令牌。此行为与 OAuth2 规范一致。

因此，在成功进行客户端凭证身份验证后，Red Hat Single Sign-On 服务器端不会创建用户会话。结果提高了性能和内存消耗。我们鼓励使用 Client Credentials Grant 的客户端停止使用刷新令牌，而在每个请求通过 grant_type=client_credentials 进行身份验证，而不是使用 refresh_token 作为授权类型。

因此，红帽单点登录支持在 OAuth2 Revocation 端点中撤销访问令牌。因此，如果需要，允许客户端撤销单独的访问令牌。

为了向后兼容，您可以继续使用之前的版本的行为。采用这种方法时，刷新令牌在成功与客户端凭证授予身份验证后，也会被创建用户会话。对于特定客户端，您可以在管理控制台中启用之前的行为，如下所示：

在以前的版本中，Red Hat Single Sign-On 会公告两个内省端点： token_introspection_endpoint 和 introspection_endpoint。后者是由 RFC-8414 定义的。前者已弃用，现已被删除。

在以前的 Red Hat Single Sign-On 版本中，当使用 Import Users OFF 配置 LDAP 供应商时，也可以更新用户，即使有些非 LDAP 映射的属性已更改。这种情况会导致行为混淆。属性显示为更新，但并没有更新。

例如，如果您试图使用 admin REST API 更新用户，并且用户有一些不正确的属性更改，则更新可能会发生。对于当前版本，无法更新，因此会立即通知您。