Keycloak 23.0.0 發布

2023 年 11 月 23 日

若要下載此版本，請前往 Keycloak 下載頁面。

重點

OpenID Connect / OAuth 2.0

支援 FAPI 2 草案

Keycloak 新增了客戶端設定檔 fapi-2-security-profile 和 fapi-2-message-signing，確保 Keycloak 在與您的客戶端通訊時，強制符合最新的 FAPI 2 草案規範。感謝 Takashi Norimatsu 的貢獻。

DPoP 預覽支援

Keycloak 提供 OAuth 2.0 應用層證明擁有權 (DPoP) 的預覽支援。感謝 Takashi Norimatsu 和 Dmitry Telegin 的貢獻。

內省端點的更多彈性

在先前的版本中，內省端點會自動傳回存取令牌中可用的大部分宣告。現在，大多數協定對應器都有一個新的開關 加入令牌內省。此新增功能提供了更大的彈性，因為內省端點可以傳回與存取令牌不同的宣告。這是朝向「輕量級存取令牌」支援的第一步，因為存取令牌可以省略許多仍由內省端點傳回的宣告。從先前版本遷移時，內省端點應傳回與存取令牌傳回的相同宣告，因此遷移後預設行為應基本相同。感謝 Shigeyuki Kabano 的貢獻。

OAuth 2.0 裝置授權授予流程的功能旗標

OAuth 2.0 裝置授權授予流程現在包含一個功能旗標，因此您可以輕鬆停用此功能。此功能預設仍為啟用。感謝 Thomas Darimont 的貢獻。

驗證

Passkeys 支援

Keycloak 提供 Passkeys 的預覽支援。

Passkey 註冊和驗證是透過 WebAuthn 的功能實現的。因此，Keycloak 的使用者可以透過現有的 WebAuthn 註冊和驗證來進行 passkey 註冊和驗證。

同步的 passkey 和裝置綁定的 passkey 都可以用於相同裝置和跨裝置驗證。但是，passkey 操作的成功與否取決於使用者的環境。請確認該環境中哪些操作可以成功。感謝 Takashi Norimatsu 的貢獻，並感謝 Thomas Darimont 在此功能的概念和測試方面的協助。

WebAuthn 改善

WebAuthn 原則現在包含一個新欄位：額外來源。它提供了與非 Web 平台（例如，原生行動應用程式）更好的互通性。感謝 Charley Wu 的貢獻。

您已登入

曾經有一個臭名昭著的問題，當使用者在多個瀏覽器分頁中開啟登入頁面並在其中一個分頁中進行驗證時，嘗試在後續開啟的瀏覽器分頁中進行驗證會開啟 您已登入 頁面。現在已經改善了，因為在第一個瀏覽器分頁驗證後，其他瀏覽器分頁也會自動驗證。仍然存在一些邊角情況，行為並非 100% 正確，例如驗證會話過期的情況，此時只在一個瀏覽器分頁中重新啟動，因此其他瀏覽器分頁不會自動跟隨登入。因此，我們仍然計劃在此領域進行改進。

密碼原則：指定最長驗證時間

Keycloak 支援新的密碼原則，允許指定最長驗證時間，在此時間內，使用者可以變更密碼而無需重新驗證。當此密碼原則設定為 0 時，使用者將需要重新驗證才能在帳戶控制台中或透過其他方式變更密碼。您也可以指定低於或高於預設值 5 分鐘的值。感謝 Thomas Darimont 的貢獻。

部署

多站點主動-被動部署的預覽支援

對於某些環境，將 Keycloak 部署到多個獨立站點對於提供高可用性和從故障中快速恢復至關重要。此版本新增了 Keycloak 主動-被動部署的預覽支援。

我們在測試和驗證可以維持負載並從故障場景中恢復的設定上投入了大量工作。若要開始使用，請使用高可用性指南，其中還包括將高可用性 Keycloak 部署到雲端環境的全面藍圖。

轉接器

OpenID Connect WildFly 和 JBoss EAP

WildFly 和 JBoss EAP 的 OpenID Connect 轉接器在先前版本中已棄用，在此版本中已移除。它已由 Elytron OIDC 轉接器取代，該轉接器包含在 WildFly 中，並提供從 Keycloak 轉接器的無縫遷移。

SAML WildFly 和 JBoss EAP

WildFly 和 JBoss EAP 的 SAML 轉接器不再以 ZIP 下載形式分發，而是以 Galleon 功能包的形式分發，使其更易於安裝和更無縫。

如需詳細資訊，請參閱保護應用程式和服務指南。

伺服器發佈

負載調適支援

Keycloak 現在具有 http-max-queued-requests 選項，允許在高負載下適當拒絕傳入的請求。有關詳細資訊，請參閱生產指南。

RESTEasy Reactive

Keycloak 已切換到 RESTEasy Reactive。即使未使用反應式樣式/語義，使用 quarkus-resteasy-reactive 的應用程式仍應受益於更好的啟動時間、執行階段效能和記憶體佔用。直接依賴 JAX-RS API 的 SPI 應與此變更相容。依賴 RESTEasy Classic（包括 ResteasyClientBuilder）的 SPI 將不相容，並且需要更新，這對於 JAX-RS API 的其他實作（如 Jersey）也是如此。

使用者設定檔

宣告式使用者設定檔在此版本中仍然是預覽功能，但我們正在努力將其升級為受支援的功能。歡迎提供意見回饋。如果您發現任何問題或有任何改進想法，歡迎建立 Github 問題，最好加上標籤 area/user-profile。也建議查看升級指南，其中包含此版本遷移的相關資訊。

群組可擴展性

對於具有許多群組和子群組的使用案例，改進了群組搜尋的效能。有一些改進，允許對子群組進行分頁查詢。感謝 Alice 的貢獻。

佈景主題

佈景主題的本地化檔案預設為 UTF-8 編碼

佈景主題的訊息屬性檔案現在以 UTF-8 編碼讀取，並自動回退到 ISO-8859-1 編碼。

有關更多詳細資訊，請參閱遷移指南。

儲存

移除 Map Store

Map Store 在先前的版本中一直是實驗性功能。從此版本開始，它將被移除，使用者應繼續使用目前的 JPA 儲存。有關詳細資訊，請參閱遷移指南。

升級

升級之前，請參閱遷移指南，以獲取完整的變更清單。

所有已解決的問題

新功能

#23155 [WebAuthn] 來源驗證不支援非 Web 平台核心

增強功能

#431 移除 Wildfly/EAP OIDC 和 SAML 轉接器下載網頁
#505 快速入門 - Wildfly 升級和 README 清理快速入門
#510 SAML 快速入門 - 透過 Galleon 配置 SAML 轉接器快速入門
#9318 使用者設定檔配置 API 的類型不正確文件
#10128 改善失敗的測試行為運算子
#10620 電子郵件地址中的國際化網域名稱使用者設定檔
#10713 更新伺服器以使用 RESTEasy Reactive
#10803 在 JDBC 儲存中持久化會話，無需使用外部 Infinispan 集群儲存
#11668 宣告式使用者設定檔：帳戶管理控制台中出現奇怪的行為使用者設定檔
#12406 在驗證期間移除「您已登入」訊息驗證
#14009 未使用 REST 匯入上的 CreatedTimestamp
#14165 無法重新整理 RPT 令牌授權服務
#14400 將 Proxy 選項新增至 Keycloak CR 運算子
#15018 關於 Proxy 和主機名稱配置的增強功能
#15072 允許為屬性設定說明文字使用者設定檔
#15109 重構運算子使用的 patch-sources.sh 運算子
#17258 資料對於欄位 'DETAILS_JSON' 而言太長儲存
#20343 訊息套件未包含在 Realm 匯出中匯入匯出
#20584 FAPI 2.0 安全性設定檔 - 支援 RFC 9207 OAuth 2.0 授權伺服器發行者識別
#20695 在 Microsoft 身分提供者中新增單一租用戶支援
#20794 我們可以簡化 TokenManager.getRefreshExpiration() 和 TokenManager.getOfflineExpiration() 嗎？ oidc
#20884 [管理控制台 v2] 權限畫面中缺少原則建立管理/UI
#21073 身分提供者：管理 REST API 中的分頁
#21154 允許自訂身分提供者的現有對應器身分代理
#21181 將 FAPI 2.0 安全性設定檔新增為用戶端原則的預設設定檔
#21182 增強令牌管理器的可插拔功能
#21183 內省端點的更多彈性 oidc
#21200 DPoP 支援第一階段
#21444 使用 `private_key_jwt` 與 OIDC IdP 時設定 `client_id` 身分代理
#21945 FAPI 2 的版本說明
#22034 Keycloak，javascript 函式庫不應使用 escape() 函式配接器/javascript
#22215 在 UserInfo 端點驗證 DPoP oidc
#22318 允許覆寫帳戶控制台資源以實現完全控制和向後相容性
#22372 擴展群組提供者以允許分頁查找子群組儲存
#22725 請勿初始化部署的障礙建置項目 dist/quarkus
#22868 澄清 LDAP 提供者的選項「驗證密碼原則」的工具提示管理/UI
#23194 在「條件 - 使用者屬性」執行中新增 regex 支援驗證
#23340 為 RESTEasy 反應式實作負載調配
#23527 停用使用者設定檔並遺失先前設定時，有更好的可用性使用者設定檔
#23891 為 OAuth 2.0 裝置授權授予流程新增功能標誌 oidc
#24024 註冊表單中的使用者設定檔調整使用者設定檔
#24072 許多與身分代理相關的參數使用 `providerId`，但它們預期是 `providerAlias` 身分代理
#24273 為使用者設定檔電子郵件驗證器新增屬性，以設定本機部分的最大長度使用者設定檔
#24278 暫時使用者：文件核心
#24387 將一些 UserProfile 和驗證類別移至 keycloak-server-spi 使用者設定檔
#24494 暫時使用者：同意核心
#24535 從 keycloak-services 移動 UPConfig 和相關類別使用者設定檔
#24844 將高可用性指南新增至 Keycloak 的主要儲存庫
#24912 將 Galleon 層元資料新增至 SAML Galleon 功能套件配接器/jee-saml

錯誤

#468 無法建置快速入門
#503 自動化 Keycloak 版本替換快速入門
#508 set-version 腳本不會更新 js 和 nodejs 快速入門中的 package(-lock).json 檔案快速入門
#515 [Keycloak 快速入門 CI 失敗] loginToAdminConsole 方法在 ArquillianSysoutEventListenerProviderTest.testEventListenerOutput 中失敗，原因是無法找到元素：{"method":"css selector","selector":"#username"} 例外快速入門
#8939 PAR 無法為公用用戶端進行身份驗證 oidc
#9004 使用 OpenID Connect v1.0 身分提供者屬性匯入器對應器時，未匯入存取權杖宣告 oidc
#10710 Rollup.js 抱怨在 keycloak.js 的其中一個相依性中使用 eval 配接器/javascript
#11699 在高負載下，DefaultBruteForceProtector 會封鎖整個系統驗證
#12062 宣告式使用者設定檔匯出使用者設定檔
#12171 從領域匯出資料時，授權行為不一致授權服務
#14134 [keycloak 18] 無法在部分匯入中匯入具有正確 ID 的使用者管理/API
#16379 驗證流程名稱中處理括號的方式不一致管理/API
#16526 權杖內省回應未遵循 RFC6479「scope」參數格式 oidc
#19093 建立新使用者頁面需要管理使用者具備「管理領域」角色，才能在建立新使用者頁面中看到使用者設定檔屬性管理/API
#19125 kcadm 不會更新 defaultGroups 文件
#19154 無效的 API 文件連結文件
#19555 當啟用更新電子郵件功能時，連續兩次變更電子郵件會導致不直覺的行為驗證
#20135 在事件區段中搜尋多種類型會產生錯誤管理/用戶端-js
#20218 角色對應器在非多值時必須傳回單一值 oidc
#20316 電子郵件模式不符合規範帳戶/API
#20453 管理 UI 在 300 個領域的情況下速度極慢管理/API
#20537 [宣告式使用者設定檔] OIDCAttributeMapperHelper 針對可選使用者屬性擲回 NumberFormatException 使用者設定檔
#20763 不穩定的測試：org.keycloak.testsuite.admin.authentication.FlowTest#testAddRemoveFlow ci
#20830 在 KC 21.1.1 中，權杖交換不適用於 OpenID Connect v1.0 提供者權杖交換
#20852 [宣告式使用者設定檔] 屬性預設建立為必要，但開關設定為「非必要」使用者設定檔
#20885 金鑰長度限制為 4000 個字元儲存
#21010 當領域包含超過 ~4000 個用戶端時，無法顯示「驗證流程」畫面儲存
#21123 getDefaultRequiredActionCaseInsensitively 中的 NPE 管理/API
#21236 每當觸發登出事件時，Keycloak 事件 clientId 為 null。核心
#21555 由於領域下拉式選單而列出領域管理/UI
#21660 將時間戳記轉換為日期錯誤帳戶/UI
#21779 不穩定的測試：org.keycloak.testsuite.script.DeployedScriptAuthenticatorTest#loginShouldWorkWithScriptAuthenticator 驗證
#21780 不穩定的測試：org.keycloak.testsuite.script.DeployedScriptAuthenticatorTest#loginShouldFailWithScriptAuthenticator 驗證
#21797 具有包含尾隨反斜線的 RDN 的 DN 未正確匯入 Keycloak ldap
#21805 帳戶控制台缺少標籤帳戶/UI
#21818 具有包含尾隨空格的 RDN 的 DN 未正確匯入 Keycloak ldap
#21830 運算子不會將系統屬性 'jgroups.dns.query' 傳遞給 Keycloak，而是傳遞環境變數，導致記錄中出現警告運算子
#22143 OCP 中的 WatchedSecretsTest.testSecretChangesArePropagated 錯誤 ci
#22177 使用 JWT 驗證用戶端時，缺少 client_id 驗證比對
#22191 在重新整理權杖請求時驗證 iss oidc
#22332 在以資源為基礎的許可權中選取資源會產生錯誤管理/UI
#22337 如果在引數中使用分號等字元，kc.sh 會發生錯誤文件
#22375 可能的 NullPointerException 核心
#22395 當設定 SPI 信任儲存庫且 hostnameVerification 設定為 'ANY' 時，電子郵件傳送失敗核心
#22432 管理 UI 未使用 inputOptionLabels 管理/UI
#22583 未呈現精細許可權帳戶/UI
#22638 SAML AdvancedAttributeToRoleMapper 不允許在相同陣列屬性上進行述詞評估 saml
#22814 使用「q」參數的使用者搜尋會忽略長度為 1 的金鑰，並傳回所有使用者管理/API
#22818 Account UI v3 未使用 inputOptionLabels 帳戶/UI
#22890 Keycloak 22.0.1：第二次儲存時，在編輯身分提供者對應器中出現 NPE 管理/API
#22937 ProviderConfigProperty.MULTIVALUED_LIST_TYPE 在 FormAction 中無法運作管理/UI
#22988 在領域快取失效後快取失效 infinispan
#23044 文件：server_admin/topics/sessions/transient.adoc 驗證
#23128 聯邦腳本 federation-sssd-setup.sh 中的 Regex 缺陷 dist/quarkus
#23173 crypto/elytron 套件有數個錯誤核心
#23180 使用者設定檔管理 UI 中的 TypeError 管理/UI
#23253 在執行 Quarkus 開發模式時無法辨識 CLI 引數 dist/quarkus
#23255 saml 身分提供者中遺失數個說明文字訊息管理/UI
#23404 當領域包含超過 ~4000 個用戶端時，無法將用戶端角色指派給使用者儲存
#23444 在最近切換到 resteasy-reactive 之後，我們無法使用 resteasy-classic 或 jersey jax-rs 用戶端。相依性
#23582 加入群組畫面未顯示沒有篩選器的子群組 admin/ui
#23616 .ftl 檔案中標籤無效 user-profile
#23692 當客戶端名稱中有 $ 符號時，產生存取權杖時發生例外 core
#23733 OpenAPI 規格與管理 API 不符 admin/api
#23753 GzipResourceEncodingProvider 對於路徑遍歷的防護不足 core
#23789 在設定/移除註釋之前，無法建立屬性群組 user-profile
#23795 TokenManager.java 中的拼寫錯誤 oidc
#23970 匯出領域時，Keycloak 不會匯出/匯入使用者設定檔資料 user-profile
#24032 如果有兩個具有相同金鑰的屬性，則不會儲存群組屬性 admin/ui
#24035 管理 UI：群組詳細資訊頁面不會因群組清單下拉選單動作而更新 admin/ui
#24067 在管理 UI 的使用者設定檔中，清單中顯示重複的屬性群組 admin/ui
#24077 當使用者的使用者設定檔已停用且驗證設定檔已啟用時，如果沒有新增 firstName 和 lastName，則會發生內部伺服器錯誤 user-profile
#24096 文件化或避免 UserSessionModel 中的重大變更 core
#24160 HTTP/2 - 在某些組態中，POST 表單資料的最後一個參數包含 0x00 位元組。 core
#24183 建立使用者時顯示使用者名稱，且不允許編輯使用者名稱 user-profile
#24187 管理 UI 群組檢視會顯示先前檢視群組的屬性 admin/ui
#24293 當 LDAP 伺服器離線時，出現 b.map 不是函式的錯誤 core
#24420 使用者設定檔在 Keycloak 22.0.5 中的行為不同 user-profile
#24453 當啟用使用者設定檔時，電子郵件驗證的核取方塊不再可見 admin/ui
#24455 使用 TransientUser 登入時發生 NPE storage
#24458 當使用者儲存供應商不可用時，會出現不友善的錯誤訊息 admin/ui
#24487 在「忘記密碼」流程中，隱藏欄位可見顯示/隱藏密碼明文按鈕 login/ui
#24547 即使未啟用 DPoP 功能 (預覽功能)，DPoP 仍會在 OIDC 知名端點上發佈 oidc
#24551 `./kc.sh tools completion` 命令無法正確識別 admin/cli
#24672 基本驗證不符合 RFC 2617 標準 authentication
#24697 當使用者設定檔中存在一些對他不可見的無效屬性時，使用者無法更新設定檔 user-profile
#24766 當使用 JDBC over Infinispan 時，會話持久性無法正常運作 infinispan
#24792 如果 redirect_uri 包含大寫字母，則為無效 authentication
#24970 `jwt-decode` 被捆綁到 Keycloak JS 中 admin/client-js