2.5. RH-SSO 7.2

我们添加了两个新的密码哈希算法（pbkdf2-sha256 和 pbkdf2-sha512）。新域将使用 pbkdf2-sha256 哈希算法，并带有 27500 哈希迭代。由于 pbkdf2-sha256 比 pbkdf2 快于 pbkdf2，因此迭代从 20000 增加到 27500。

如果密码策略包含哈希算法（未指定）和迭代(20000)的默认值，则会升级现有 realm。如果您更改了散列迭代，如果您需要使用更安全的哈希算法，则需要手动更改为 pbkdf2-sha256。

在 RH-SSO 7.0 中，无论在授权请求中存在 scope=openid 查询参数，都会返回 ID 令牌。这会根据 OpenID Connect 规格不正确。

在 RH-SSO 7.1 中，我们向适配器添加了此查询参数，但保留了旧行为以容纳迁移。

在 RH-SSO 7.2 中，此行为已更改，现在需要使用 scope=openid 查询参数来将请求标记为 OpenID Connect 请求。如果省略了此查询参数，则不会生成 ID Token。

Microsoft JDBC Driver 6.0 需要额外的依赖项添加到 JDBC 驱动程序模块。如果您使用 Microsoft SQL Server 时观察了 NoClassDefFoundError 错误，请在 JDBC 驱动程序 module.xml 文件中添加以下依赖项：

<module name="javax.xml.bind.api"/>

OpenID Connect Session Management 规格要求参数 session_state 存在于 OpenID Connect 身份验证响应中。

在 RH-SSO 7.1 中，我们没有此参数，但现在 Red Hat Single Sign-On 会按照规范的要求添加此参数。

但是，一些 OpenID Connect / OAuth2 适配器，特别是旧的 Red Hat Single Sign-On 适配器（如 RH-SSO 7.1 和更早的版本）可能会遇到这个新参数的问题。

例如，在成功对客户端应用进行身份验证后，参数始终存在于浏览器 URL 中。如果您使用 RH-SSO 7.1 或旧的 OAuth2 / OpenID Connect 适配器，则禁用将 session_state 参数添加到身份验证响应中可能很有用。这可以在 Red Hat Single Sign-On 管理控制台中为特定的客户端完成，在带有 OpenID Connect Compatibility Modes 部分的客户端详情中，如 第 4.1 节 “与旧的适配器兼容” 所述。还有 Exclude Session State From Authentication Response 开关，它可以被打开，以防止将 session_state 参数添加到身份验证响应中。

Red Hat Single Sign-On up to version 7.2.4 中的 Microsoft Identity Provider 实施依赖于 Live SDK 端点来获取用户配置集。自 2018 年 11 月起，Microsoft 正移除对 Live SDK API 的支持，而是使用新的 Microsoft Graph API。Red Hat Single Sign-On 身份提供程序已更新为使用新的端点，因此如果此集成正在使用，请确保升级到 Red Hat Single Sign-On 版本 7.2.5 或更高版本。

在 "Live SDK 应用程序" 下注册的传统客户端应用程序不会因为应用程序的 id 格式更改而用于 Microsoft Graph 端点。如果遇到错误，表示 目录中未找到应用程序标识符，则必须在 Microsoft Application Registration Portal 中再次注册客户端应用程序以获取新的应用程序 ID。

Red Hat Single Sign-On up to version 7.2.5 中的 Google Identity Provider 实现依赖于 Google+ API 端点来授权并获取用户配置集。从 2019 年 3 月开始，Google 正在移除对 Google+ API 的支持，而是使用新的 Google Sign-in 身份验证系统。Red Hat Single Sign-On 身份提供程序已更新为使用新的端点，因此如果此集成正在使用，请确保升级到 Red Hat Single Sign-On 版本 7.2.6 或更高版本。

如果遇到错误，表示 目录中找不到应用程序标识符，则必须在 Google API 控制台 门户中再次注册客户端应用程序，以获取新的应用程序 ID 和 secret。

对于 Google+ 用户信息端点提供的非标准声明，您可能需要调整自定义映射程序，并由 Google Sign-in API 提供。有关可用声明的最新信息，请参阅 Google 文档。

使用 LinkedIn 相应地，所有开发人员都需要迁移到其 API 和 OAuth 2.0 版本 2.0。因此，我们更新了 LinkedIn Social Broker，因此如果此集成正在使用，请确保升级到 Red Hat Single Sign-On 7.2.6 或更高版本。

使用这个代理的现有部署可能会在使用 LinkedIn API 版本 2 时开始遇到错误。这个错误可能与没有为客户端应用程序授予权限（在验证过程中无法授权访问 Profile API 或请求特定的 OAuth2 范围）相关。

即使对于新创建的 LinkedIn 客户端应用程序，您需要确保客户端能够请求 r_liteprofile 和 r_emailaddress OAuth2 范围，以及客户端应用程序可以从 https://api.linkedin.com/v2/me 端点获取当前成员的配置集。

由于 LinkedIn 对这些隐私限制导致对成员的信息的访问以及当前成员的 Profile API 返回的一组有限声明集，LinkedInSocial Broker 现在使用成员的电子邮件地址作为默认用户名。这意味着，在身份验证过程中发送授权请求时，r_emailaddress 会始终设置。