1.8. 新功能及功能增强

在这个发行版本中，对 User Profile SPI 的更改可能会影响这个 SPI 的现有实现。如需了解更多详细信息，请参阅 升级指南。

在这个发行版本中，以下模板已更新，以便可以根据用户配置集配置设置为 realm 来动态呈现属性：

如需了解更多详细信息，请参阅 升级指南。

在本发行版本中，当用户首次使用 idp-review-user-profile.ftl 模板进行身份验证时，服务器会呈现更新配置集页面。

如需了解更多详细信息，请参阅 升级指南。

此发行版本包含对轻量级访问令牌的支持。因此，您可以为指定客户端具有较小的访问令牌。这些令牌只有几个声明，因此它们更小的原因。请注意，轻量级访问令牌仍然是由 realm 密钥签名的 JWT，仍然包含一些非常基本的声明。

此发行版本引入了一个 Add to lightweight access token 标记，它包括在一些 OIDC 协议映射程序中。使用此标志指定特定的声明是否应添加到轻量级访问令牌中。默认为 OFF，这意味着不会添加大多数声明。

另外，也存在客户端策略 executor。使用它指定特定的客户端请求是否应该使用轻量级访问令牌或常规访问令牌。executor 的替代方法是在客户端高级设置上使用 Always 使用轻量级访问令牌 标志，这会导致客户端始终使用轻量级访问令牌。如果您需要更大的灵活性，则 executor 可以作为替代方案。例如，您可以选择默认使用轻量级访问令牌，但仅对指定的 scope 参数使用常规令牌。

在以前的版本中，内省端点会自动返回大多数声明，这些声明在访问令牌中可用。现在，大多数协议映射程序都包含一个新的 Add to token 内省 交换机。这种添加可以更灵活，因为内省端点可以返回与访问令牌不同的声明。这个变化是"轻量级访问令牌"支持的第一步，因为访问令牌可以省略大量声明，这仍然会被内省端点返回。从之前的版本迁移时，内省端点应返回从访问令牌返回的相同声明，因此升级后，行为应该与默认相同。

如需了解更多详细信息，请参阅使用轻量级访问令牌。

此发行版本包含可选的 OAuth 2.1 支持。本发行版本中引入了新的客户端策略配置集，管理员可以使用它来确保客户端和特定的客户端请求符合 OAuth 2.1 规范。此发行版本包含机密客户端的专用客户端配置文件，以及用于公共客户端的专用配置集。

如需了解更多详细信息，请参阅 OAuth 2.1 支持。

从这个版本开始，支持 OAuth2/OIDC 端点用于令牌刷新的 scope 参数。使用此参数请求比最初授予的范围较小的访问令牌，这意味着您无法增加访问令牌范围。此范围限制不会影响刷新令牌的范围。这个功能可以正常工作，如 OAuth2 规格中所述。

如需了解更多详细信息，请参阅 服务器管理指南。

引入了一个新的客户端策略 executor secure-redirect-uris-enforcer。使用它来限制客户端可以使用哪些重定向 URI。例如，您可以指定客户端重定向 URI 无法具有通配符，应该只来自特定域，必须兼容 OAuth 2.1，以此类推。

如需了解更多详细信息，请参阅 客户端策略。

引入了一个新的客户端策略 executor dpop-bind-enforcer。如果启用了 dpop preview，您可以使用它来为特定客户端强制执行 DPoP。

如需了解更多详细信息，请参阅 客户端策略。

您可以创建 EdDSA 域密钥，并将它们用作各种客户端的签名算法。例如，您可以使用这些密钥为令牌签名，或使用已签名 JWT 进行客户端身份验证。此功能包括红帽构建的 Keycloak 本身为客户端断言（用于对第三方身份提供程序的 private_key_jwt 身份验证）签名的身份代理。

如需了解更多详细信息，请参阅配置 Realm 密钥

提供域密钥的供应商 JavaKeystoreProvider 现在除了之前支持的 RSA 密钥外还支持 EC 密钥。

如需了解更多详细信息，请参阅配置 Realm 密钥

现在，当使用由私钥签名的 JWT 进行客户端身份验证时，OIDC 身份提供程序现在向 JWT 选项添加 X.509 标头。这个选项可用于与 Azure AD 等某些身份提供程序的互操作性，这需要 JWT 上存在 thumbprint。

如需了解更多详细信息，请参阅 集成身份提供程序。

红帽构建的 Keycloak 代码库包括了一个内部更新，用于引入 OAuth Grant Type SPI。在这个版本中，在引入红帽构建的 Keycloak OAuth 2 令牌端点支持的自定义授权类型时，这个更新提供了额外的灵活性。

如需了解更多详细信息，请参阅 授权服务。

红帽构建的 Keycloak 具有新的客户端配置集 fapi-2-security-profile 和 fapi-2-message-signing，这样可确保红帽构建的 Keycloak 强制实施与客户端通信时的最新 FAPI 2 草案规范的合规性。

如需了解更多详细信息，请参阅 客户端策略。

红帽构建的 Keycloak 具有预览以支持应用程序层(DPoP)上的 OAuth 2.0 Demonating proof-of-Possession。

OAuth 2.0 设备授权流现在包含一个功能标记，因此您可以轻松禁用此功能。此功能仍然默认启用。

如需了解更多详细信息，请参阅 设备授权授权。

红帽构建的 Keycloak 支持 Passkeys。

Passkey 注册和验证是由 WebAuthn 的功能实现的。因此，红帽构建的 Keycloak 用户可以通过现有的 WebAuthn 注册和验证进行 Passkey 注册和验证。

同步的 Passkeys 和 device-bound Passkeys 都可用于 Same-Device 和 Cross-Device 身份验证。但是，Passkeys 操作成功取决于用户的环境。确保在 环境中 哪些操作可以成功。

Webauthn 策略包含一个新字段： Extra Origins。它提供更好的与非 Web 平台的互操作性（例如，原生移动应用程序）。

此发行版本解决了用户在多个浏览器标签页中打开的登录页面时的问题，并在一个浏览器标签页中进行身份验证。当用户试图在另一个浏览器标签页中进行身份验证时，会出现一条消息： 您已登录。现在，在第一个标签页中进行身份验证后，这个情况已被改进。但是，需要更多改进。例如，当身份验证会话过期并在一个浏览器标签页中重启时，其他浏览器标签页不会自动遵循。

红帽构建的 Keycloak 支持一个新的密码策略，允许您指定用户可在不重新身份验证的情况下更改密码的最长期限。当此密码策略设置为 0 时，用户需要重新进行身份验证以更改帐户控制台中的密码或其他方法。您还可以指定低于默认值 5 分钟的值。

红帽构建的 Keycloak 现在带有 http-max-queued-requests 选项，以允许在高负载下正确拒绝传入的请求。详情请参阅 服务器指南。

红帽构建的 Keycloak 已切换到 RESTEasy Reactive。使用 quarkus-resteasy-reactive 的应用程序应该仍受益于更好的启动时间、运行时性能和内存占用，即使不使用被动风格/语义。直接依赖于 JAX-RS API 的 SPI 应该与这个更改兼容。依赖于 RESTEasy Classic （包括 ResteasyClientBuilder ）的 SPI 将不兼容，并将需要更新。此更新还需要执行诸如 Jersey 等 JAX-RS API 的其他实施。

Keycloak CR 现在包含 startOptimized 字段，该字段可用于覆盖有关是否为 start 命令使用 --optimized 标记的默认假设。因此，您可以在使用自定义 Keycloak 镜像时，使用 CR 来配置构建时间选项。

Keycloak CR 现在允许指定管理 Keycloak 容器计算资源的资源选项。它提供对使用 Keycloak CR 的 Keycloak 部署独立请求和限制资源的功能，以及使用 Realm Import CR 的域导入作业。

如果没有指定值，则默认 请求内存 设置为 1700MiB，限值 内存设置为 2GiB。

您可以根据您的要求指定自定义值，如下所示：

apiVersion: k8s.keycloak.org/v2alpha1
kind: Keycloak
metadata:
  name: example-kc
spec:
  ...
  resources:
    requests:
      cpu: 1200m
      memory: 896Mi
    limits:
      cpu: 6
      memory: 3Gi

如需了解更多详细信息，请参阅 Operator 指南。

Keycloak CR 现在允许使用 cache spec configMapFile 字段指定 cache-config-file 选项，例如：

apiVersion: k8s.keycloak.org/v2alpha1
kind: Keycloak
metadata:
  name: example-kc
spec:
  ...
  cache:
    configMapFile:
      name: my-configmap
      key: config.xml

您还可以使用 Keycloak CR 利用新的服务器端处理信任存储，例如：

spec:
  truststores:
    mystore:
      secret:
        name: mystore-secret
    myotherstore:
      secret:
        name: myotherstore-secret

目前只支持 Secret。

Kubernetes CA 的证书会自动添加到由 Operator 管理的 Keycloak Pod 的红帽构建中。

红帽构建的 Keycloak JS 适配器现在使用 package.json 中的 exports 字段。这个变化改进了对 Webpack 5 和 Vite 等现代捆绑包的支持，但有一些不可避免的破坏更改。如需了解更多详细信息 ，请参阅升级指南。

红帽构建的 Keycloak JS 适配器现在默认将 pkceMethod 选项设置为 S256。这个变化为使用适配器的所有应用程序启用概念验证代码交换(PKCE)。如果您在不支持 PKCE 的系统上使用适配器，您可以将 pkceMethod 选项设置为 false 来禁用它。

现在，可以将 SAML 身份提供程序配置为从 IDP 实体元数据描述符端点自动下载签名证书。要使用新功能，请在提供程序中配置 元数据描述符 URL 选项（发布 IDP 元数据信息的 URL），并将 使用元数据描述符 URL 设置为 ON。证书会自动在该 URL 中下载并缓存在 public-key-storage SPI 中。也可以使用供应商页面中的操作组合从管理控制台重新加载或导入证书。

有关新选项的详情，请参阅 服务器管理指南。

添加了 /lb-check 的新健康检查端点。执行在事件循环中运行，这意味着当红帽构建的 Keycloak 需要处理等待请求队列中的很多请求时，这个检查也会响应过载情况。例如，在多站点部署中，这种行为很有用，以避免切换到负载过重的另一个站点。端点目前正在检查嵌入式和外部 Infinispan 缓存的可用性。以后可能会添加其他检查。

默认不提供此端点。要启用它，请使用 多站点 功能运行 Keyloak。如需了解更多详细信息，请参阅 启用和禁用功能。

在本发行版本中，我们通过将它们移到 base/abstract 类时，对 root 用户属性（如用户名、电子邮件、firstName、lastName 和 locale）进行封装。

此策略在客户端管理属性的方式中提供一致性，并确保它们符合设置为域的用户配置集配置。

如需了解更多详细信息，请参阅 升级指南。

通过 Admin User API 更新用户属性时，在更新用户属性时，您无法执行部分更新，包括 用户名、电子邮件、firstName 和 lastName 等 root 属性。

如需了解更多详细信息，请参阅 升级指南。

从这个版本开始，红帽构建的 Keycloak 集群的第一个成员将按顺序加载远程会话，而不是并行加载。如果启用了离线会话预加载，它们也会按顺序加载。

如需了解更多详细信息，请参阅 升级指南。

在本发行版本中，如果用户已经验证并且操作绑定到另一个用户，则无法再执行电子邮件验证。例如，如果电子邮件链接绑定到其他帐户，用户无法完成验证电子邮件流。

在本发行版本中，如果用户试图按照链接来验证电子邮件，并且之前验证了电子邮件，则会显示正确的消息。

此外，还将触发一个新错误(EMAIL_ALREADY_VERIFIED)事件，以指示尝试验证电子邮件。如果链接已被泄漏，您可以使用此事件来跟踪可能的尝试，或警告用户（如果它们无法识别该操作）。

现在，sees 的消息属性文件在 UTF-8 编码中读取，自动回退到 ISO-8859-1 编码。

如需了解更多详细信息 ，请参阅升级指南。

为降低内存要求，我们引入了一个配置选项，用于缩短导入到 Infinispan 缓存的离线会话。目前，离线会话生命周期覆盖被默认禁用。

如需了解更多详细信息，请参阅 服务器管理指南。

当为 Keycloak 的嵌入式缓存启用指标时，指标现在使用缓存管理器的标签和缓存名称。

如需了解更多详细信息，请参阅 升级指南。

在这个版本中，Red Hat build of Keycloak 支持按用户属性值的存储和搜索，其比 255 个字符长，这之前是一个限制。

如需了解更多详细信息，请参阅 升级指南。

Brute 保护有几个改进：

在以前的红帽构建的 Keycloak 版本中，当删除 User、Group 或 Client 策略的最后成员时，也会删除该策略。不幸的是，如果在聚合策略中使用了策略，这可能会导致特权升级。为避免特权升级，effect 策略将不再被删除，管理员需要更新这些策略。

现在，当用户被 brute 强制保护程序暂时锁定时，新的事件 USER_DISABLED_BY_TEMPORARY_LOCKOUT。ID KC-SERVICES0053 的日志已被删除，因为新事件以结构化的形式提供信息。

如需了解更多详细信息，请参阅 升级指南。

Cookie 处理代码已被重构和改进，包括新的 Cookie 提供程序。这为由红帽构建的 Keycloak 处理的 Cookie 提供更好的一致性，并在需要时引入 Cookie 的配置选项。

用户属性映射程序用于 NameID 允许将 Name ID Format 选项设置为以下值：

但是，红帽构建的 Keycloak 不支持接收带有这些 NameIDPolicy 之一的 AuthnRequest 文档，因此不会使用这些映射器。支持的选项已更新为仅包含以下名称 ID 格式：

红帽构建的 Keycloak 使用与容器的总内存相对值，而不是为初始和最大堆大小指定硬编码值。JVM 选项 -Xms 和 -Xmx 被 -XX:InitialRAMPercentage 和 -XX:MaxRAMPercentage 替代。

如需了解更多详细信息，请参阅 升级指南。

红帽构建的 Keycloak 的默认行为是按需加载离线会话。在启动时预加载它们的旧行为现已弃用，因为在启动时预加载它们无法很好地扩展，并增加红帽构建的 Keycloak 内存用量。旧的行为将在以后的发行版本中被删除。

如需了解更多详细信息，请参阅 升级指南。