發行說明

如果您使用 Microsoft AD 並透過管理介面建立使用者，則使用者預設將建立為已啟用。

在先前的版本中，只有在為使用者設定 (非暫時) 密碼後才能更新使用者狀態。此行為與其他內建使用者儲存庫不一致，也與 LDAP 提供者支援的其他 LDAP 廠商不一致。

從 Keycloak 26 開始，完全支援組織功能。

Keycloak 25 引入了 persistent-user-sessions 功能。啟用此功能後，所有使用者會話都會持續保存在資料庫中，而不是先前的行為，即只會持續保存離線會話。在 Keycloak 26 中，此功能預設為啟用。這表示所有使用者會話預設都會持續保存在資料庫中。

可以透過停用此功能來將此行為還原為先前的狀態。如需更多詳細資訊，請參閱設定分散式快取指南中的 Volatile user sessions 章節。

如需有關如何升級的資訊，請參閱升級指南。

現在有新版本 (v2) 的 keycloak 登入主題，它提供了改進的外觀和風格，包括根據使用者喜好自動切換到深色主題的支援。

先前的版本 (v1) 現在已棄用，並將在未來的版本中移除。

對於所有新的領域，keycloak.v2 將是預設的登入主題。此外，任何從未明確設定登入主題的現有領域都將切換到 keycloak.v2。

Keycloak 26 對建議的 HA 多站台架構進行了重大改進，最值得注意的是

如需有關如何遷移的資訊，請參閱升級指南。

過去，當所有管理員使用者都被鎖定時，重新獲得對 Keycloak 執行個體的存取權是一個具有挑戰性和複雜性的過程。Keycloak 意識到這些挑戰，並旨在顯著增強使用者體驗，現在提供了幾種簡單的方法來引導臨時管理員帳戶並恢復遺失的管理員存取權。

現在可以使用特定的選項來執行 start 或 start-dev 命令，以建立臨時的管理員帳戶。此外，還引入了一個新的專用命令，允許使用者輕鬆恢復管理員權限。

有關此主題的詳細說明和更多資訊，請參閱 管理員引導和恢復 指南。

Keycloak 已公開底層的 Quarkus 對 OpenTelemetry 追蹤的支援，可取得應用程式追蹤以提高可觀測性。這有助於找出效能瓶頸、判斷應用程式失敗的原因、追蹤分散式系統中的請求等等。此支援目前處於預覽模式，我們很樂意收到任何回饋。

如需更多資訊，請參閱 啟用追蹤 指南。

用於可驗證憑證發行的 OpenID (OID4VCI) 在 Keycloak 中仍是一項實驗性功能，但在此版本中已大幅改進。您可以在 Keycloak OAuth SIG 中找到重要的開發和討論。歡迎 Keycloak 社群的任何人加入。

非常感謝 OAuth SIG 小組的所有成員參與此功能的開發和討論。特別感謝 Francis Pouatcha、Pascal Knüppel、Takashi Norimatsu、Ingrid Kamga、Stefan Wiedemann 和 Thomas Darimont。

DPoP (OAuth 2.0 證明持有權) 預覽功能已獲得改進。現在所有授權類型都支援 DPoP。在之前的版本中，此功能僅支援 authorization_code 授權類型。UserInfo 端點也支援 DPoP 令牌類型。

非常感謝 Pascal Knüppel 的貢獻。

GELF 支援已棄用一段時間，並且在此版本中已最終從 Keycloak 中移除。其他日誌處理程式可用且完全支援，可作為 GELF 的替代方案，例如 Syslog。詳細資訊請參閱 日誌記錄指南。

現在可以在管理 REST API 上使用輕量級存取令牌。security-admin-console 和 admin-cli 用戶端現在預設使用輕量級存取令牌，因此「永遠使用輕量級存取令牌」和「允許完整範圍」現在已在這兩個用戶端上啟用。但是，管理主控台中的行為應保持不變。如果您對這兩個用戶端進行了變更，並且將它們用於其他用途，請務必謹慎。

Keycloak JavaScript 轉接器現在是一個獨立的程式庫，因此不再從 Keycloak 伺服器靜態提供。目的是將程式庫與 Keycloak 伺服器分離，以便可以獨立重構它，簡化程式碼並使其在未來更容易維護。此外，該程式庫現在不依賴第三方依賴項，這使其更輕巧且更容易在不同環境中使用。

有關變更的完整細節，請參閱 升級指南。

已移除已棄用的主機名稱 v1 功能。此功能已在 Keycloak 25 中棄用，並由主機名稱 v2 取代。如果您仍在使用此功能，則必須移轉至主機名稱 v2。如需更多詳細資訊，請參閱 設定主機名稱 (v2) 和 初始移轉指南。

當指定 http-relative-path 屬性時，使用者會自動重新導向至 Keycloak 託管的路徑。這表示當相對路徑設定為 /auth，且使用者存取 localhost:8080/ 時，頁面會重新導向至 localhost:8080/auth。

當指定 http-management-relative-path 或 http-relative-path 屬性時，管理介面也適用相同規則。

這改善了使用者體驗，因為使用者不再需要明確地將相對路徑設定到 URL。

在此版本中，當使用內嵌快取時，預設會將已撤銷的存取令牌寫入資料庫，並在重新啟動叢集時重新載入。

如需有關如何遷移的資訊，請參閱升級指南。

已在用戶端原則中新增基於用戶端屬性的條件。您可以使用條件來指定具有指定用戶端屬性且具有指定值的用戶端。如用戶端原則的文件所述，評估此條件時可以使用 AND 或 OR 條件。

非常感謝 Yoshiyuki Tabata 的貢獻。

可以為所有可用的日誌處理程式指定日誌等級，例如 console、file 或 syslog。更精細的方法能夠控制整個應用程式的日誌記錄，並根據您的需求進行調整。

如需更多資訊，請參閱 日誌記錄指南。

已移除已棄用的 proxy 選項。此選項已在 Keycloak 24 中棄用，並由 proxy-headers 選項與所需的主機名稱選項組合取代。如需更多詳細資訊，請參閱 使用反向 Proxy 和 初始移轉指南。

當 proxy-headers 選項設定時，可以使用 proxy-trusted-addresses 來指定信任的 Proxy 位址許可清單。如果給定請求的 Proxy 位址不受信任，則不會使用相應的 Proxy 標頭值。

proxy-protocol-enabled 選項控制伺服器是否應在為來自 Proxy 後方的請求提供服務時使用 HA PROXY 協定。當設定為 true 時，傳回的遠端位址將是實際連線用戶端的位址。

可以設定 https-certificates-reload-period 選項來定義 https-* 選項參考的金鑰儲存、信任儲存和憑證檔案的重新載入期間。使用 -1 停用重新載入。預設為 1 小時 (一小時)。

可以設定 --cache-embedded-${CACHE_NAME}-max-count= 來定義指定快取中快取項目的數目上限。

根據社群回饋，我們決定取消棄用 https-trust-store-* 選項，以允許在信任的憑證中實現更好的粒度。

已修改 java-keystore 金鑰提供者，它允許從外部 Java 金鑰儲存檔案載入領域金鑰，以管理所有 Keycloak 演算法。此外，可以使用 Vault 設定從儲存區擷取實際金鑰所需的金鑰儲存和金鑰機密。因此，Keycloak 領域可以將任何金鑰外部化到加密檔案，而無需將敏感資料儲存在資料庫中。

有關此主題的更多資訊，請參閱 設定領域金鑰。

現在 Keycloak 允許將 ECDH-ES、ECDH-ES+A128KW、ECDH-ES+A192KW 或 ECDH-ES+A256KW 設定為用戶端的加密金鑰管理演算法。具有橢圓曲線 Diffie-Hellman 短暫靜態 (ECDH-ES) 規格的金鑰協定為 JWT 引入了三個新的標頭參數：epk、apu 和 apv。目前，Keycloak 實作僅管理強制性的 epk，而其他兩個（可選）則從不新增至標頭。如需有關這些演算法的更多資訊，請參閱 JSON Web 演算法 (JWA)。

此外，還提供了一個新的金鑰提供者 ecdh-generated，用於產生領域金鑰，並將對 ECDH 演算法的支援新增至 Java 金鑰儲存提供者中。

非常感謝 Justin Tay 的貢獻。

現在可以在領域中擁有同一社群代理程式的多個執行個體。

大多數情況下，領域不需要同一社群代理程式的多個執行個體。但是，由於引入了 organization 功能，應該可以將同一社群代理程式的不同執行個體連結到不同的組織。

建立社群代理程式時，您現在應提供 Alias，並可選擇性提供 Display name，就像任何其他代理程式一樣。

現在已提供用於更新 (UPDATE_CREDENTIAL) 和移除 (REMOVE_CREDENTIAL) 憑證的通用事件。憑證類型會在事件的 credential_type 屬性中描述。新的事件類型由電子郵件事件監聽器支援。

以下事件類型現已棄用，並將在未來版本中移除：UPDATE_PASSWORD、UPDATE_PASSWORD_ERROR、UPDATE_TOTP、UPDATE_TOTP_ERROR、REMOVE_TOTP、REMOVE_TOTP_ERROR

base/login 和 keycloak.v2/login 主題中的 template.ftl 檔案現在允許自訂登入框的頁尾。這可用於顯示常用連結或在頁面末尾包含自訂腳本。

新的 footer.ftl 範本提供了一個 content 巨集，它會在「登入框」的底部呈現。

Keycloak CR 現在公開用於控制 Keycloak Pod 排程的首要屬性。

如需更多詳細資訊，請參閱 Operator 進階設定。

KeycloakRealmImport CR 現在公開 spec.placeholders，以便在匯入時建立用於佔位符替換的環境變數。

如需更多詳細資訊，請參閱 Operator Realm 匯入。

在此版本中，LDAP 連線池設定完全依賴系統屬性。

如需更多詳細資訊，請參閱 設定連線池。

編組是將 Java 物件轉換為位元組，以便在 Keycloak 伺服器之間透過網路傳送的過程。在 Keycloak 26 中，我們將編組格式從 JBoss 編組變更為 Infinispan Protostream。

Infinispan Protostream 基於 Protocol Buffers (proto 3)，它具有向後/向前相容的優點。

由於所有使用 OSGi 元資料的 Java 轉接器都已被移除，我們已停止為我們的 jar 產生 OSGi 元資料。

為了提高群組的可擴展性，現在在移除 realm 時會直接從資料庫中移除群組。因此，當移除 realm 時，不再觸發群組相關事件，例如 GroupRemovedEvent。

如需有關如何遷移的資訊，請參閱升級指南。

作為改進 realm 和組織在擁有許多身份提供者時的可擴展性的一部分，realm 表示法不再保留身份提供者的列表。但是，在匯出 realm 時，它們仍然可以從 realm 表示法中取得。

如需有關如何遷移的資訊，請參閱升級指南。

保護應用程式和服務 文件已轉換為類似於先前版本中轉換的 伺服器安裝和設定 文件的新格式。該文件現在可在 Keycloak 指南 下取得。

Keycloak 不再傳送 _LEGACY Cookie，這些 Cookie 是作為舊版瀏覽器不支援 Cookie 上的 SameSite 標籤的變通方法而引入的。

_LEGACY Cookie 也服務於另一個目的，即允許從不安全的環境登入。雖然這在 Keycloak 的生產部署中完全不建議，但在 localhost 以外透過 http 存取 Keycloak 還是很常見的。作為 _LEGACY Cookie 的替代方法，Keycloak 現在不會設定 secure 標籤，而是設定 SameSite=Lax 而不是 SameSite=None，當它偵測到使用不安全的環境時。

UserRepresentation 中的 origin 屬性已棄用，並計劃在未來版本中移除。

請改為使用 federationLink 屬性來取得使用者連結的提供者。

Keycloak 中已移除帳戶主控台 v2 主題。此主題已在 Keycloak 24 中棄用，並由帳戶主控台 v3 主題取代。如果您仍然使用此主題，則應遷移到帳戶主控台 v3 主題。

Keycloak 現在支援 OpenJDK 21，因為我們希望堅持使用最新的 LTS OpenJDK 版本。

Keycloak 中已棄用 OpenJDK 17 支援，並將在後續版本中移除，以支援 OpenJDK 21。

如先前 Keycloak 版本中的發行說明所述，大多數 Java 轉接器現在已從 Keycloak 程式碼庫和下載頁面中移除。

對於 OAuth 2.0/OIDC，這包括移除 Tomcat 轉接器、WildFly/EAP 轉接器、Servlet Filter 轉接器、KeycloakInstalled 桌面轉接器、jaxrs-oauth-client 轉接器、JAAS 登入模組、Spring 轉接器和 SpringBoot 轉接器。您可以查看 我們較早的文章 以了解一些替代方案的列表。

對於 SAML，這包括移除 Tomcat 轉接器和 Servlet filter 轉接器。WildFly 和 JBoss EAP 仍然支援 SAML 轉接器。

仍然支援通用的授權客戶端程式庫，我們仍然計劃支援它。它旨在與任何其他 OAuth 2.0 或 OpenID Connect 程式庫結合使用。您可以查看 快速入門 以了解一些範例，其中此授權客戶端程式庫與第三方 Java 轉接器（如 Elytron OIDC 或 SpringBoot）一起使用。您也可以查看快速入門，以了解與 WildFly 一起使用的 SAML 轉接器的範例。

在 Keycloak 24 中，歡迎頁面已更新為使用 PatternFly 5，這是 Keycloak 使用者介面基礎的最新版本設計系統。在此版本中，管理主控台和帳戶主控台也已更新為使用 PatternFly 5。如果您想要擴展和自訂管理主控台和帳戶主控台，請查看 PatternFly 5 中的變更 並相應地更新您的自訂。

Argon2 現在是 Keycloak 在非 FIPS 環境中使用的預設密碼雜湊演算法。

Argon2 是 2015 年密碼雜湊競賽的獲勝者，並且是 OWASP 推薦的雜湊演算法。

在 Keycloak 24 中，PBKDF2 的預設雜湊迭代次數從 27.5K 增加到 210K，導致產生密碼雜湊所需的 CPU 時間增加了 10 倍以上。使用 Argon2，可以在幾乎與先前 Keycloak 版本相同的 CPU 時間下實現更好的安全性。一個缺點是 Argon2 需要更多記憶體，這是為了抵抗 GPU 攻擊的要求。Keycloak 中 Argon2 的預設值每個雜湊請求需要 7MB。為了防止過度的記憶體和 CPU 使用，Argon2 並行計算雜湊的次數預設限制為 JVM 可用的核心數量。為了支援 Argon2 的記憶體密集特性，我們已將預設 GC 從 ParallelGC 更新為 G1GC，以獲得更好的堆積利用率。

請注意，Argon2 不符合 FIPS 140-2 標準。因此，如果您在 FIPS 環境中，預設演算法仍為 PBKDF2。另請注意，如果您在非 FIPS 環境中並且計劃遷移到 FIPS 環境，請考慮在一開始就將密碼原則變更為符合 FIPS 標準的演算法，例如 pbkdf2-sha512。否則，使用者在切換到 FIPS 環境後將無法登入。

為了回應先前主機名稱設定中遇到的複雜性和缺乏直觀性，我們很榮幸推出主機名稱 v2 選項。

我們已聽取您的意見反應，解決了棘手的問題，並為管理主機名稱設定創造了更順暢的體驗。請注意，即使這些選項背後的行為也已變更，並且需要您的注意 - 如果您正在處理自訂主機名稱設定。

預設情況下支援主機名稱 v2 選項，因為舊的主機名稱選項已棄用，並將在後續版本中移除。您應該盡快遷移到它們。

預設情況下會啟用新的選項，因此 Keycloak 將無法識別舊的選項。

如需有關如何遷移的資訊，請參閱升級指南。

先前版本的 Keycloak 僅將離線使用者和離線用戶端工作階段儲存在資料庫中。新的功能 persistent-user-sessions 不僅將線上使用者工作階段和線上用戶端工作階段儲存在記憶體中，還儲存在資料庫中。這將允許使用者即使所有 Keycloak 實例重新啟動或升級，也保持登入狀態。

此功能是預覽功能，預設情況下已停用。若要使用它，請將以下內容新增至您的組建命令

如需更多詳細資訊，請參閱 啟用和停用功能 指南。大小調整指南 包含一個新的段落，描述啟用此功能時更新的資源需求。

如需有關如何升級的資訊，請參閱升級指南。

已移除以下用於設定自訂 Cookie 的 API

Keycloak 23 版本針對使用者在多個瀏覽器分頁中並行驗證時的情況進行了改進。然而，此改進並未解決驗證工作階段過期的情況。現在，當使用者在一個瀏覽器分頁中已登入，而另一個瀏覽器分頁中的驗證工作階段過期時，Keycloak 能夠重新導向回客戶端應用程式並傳回 OIDC/SAML 錯誤，因此客戶端應用程式可以立即重試驗證，通常會因為 SSO 工作階段而自動登入應用程式。如需更多詳細資訊，請參閱伺服器管理指南驗證工作階段。

在之前的版本中，已新增對輕量級存取權杖的支援。在此版本中，我們設法從輕量級存取權杖中移除更多內建宣告。宣告是由協定對應器新增的。其中一些會影響常規存取權杖或 ID 權杖，因為它們並非 OIDC 規格嚴格要求的。

如需更多詳細資訊，請參閱升級指南。

當您叫用權杖內省端點時，可以使用 HTTP 標頭 Accept: application/jwt。當針對特定用戶端啟用時，它會從權杖內省端點傳回具有完整 JWT 存取權杖的宣告 jwt，這對於呼叫內省端點的用戶端使用輕量級存取權杖的情況特別有用。感謝 Thomas Darimont 的貢獻。

Keycloak 支援新的密碼原則，讓您可以拒絕包含使用者使用者名稱的使用者密碼。

在管理主控台中，您現在可以在特定領域的「必要動作」索引標籤中設定一些必要動作。目前，「更新密碼」是唯一內建的可設定必要動作。它支援設定「驗證的最大期限」，這是使用者可以使用 kc_action 參數（例如，在帳戶主控台中更新密碼時使用）更新其密碼而無需重新驗證的最大時間。必要動作的排序也已改進。當驗證期間有多個必要動作時，無論這些動作是在驗證期間設定的（例如透過 kc_action 參數）還是由管理員手動新增至使用者帳戶的動作，所有動作都會一起排序。感謝 Thomas Darimont 和 Daniel Fesenmeyer 的貢獻。

新增了對通行金鑰條件式 UI 的支援。當啟用通行金鑰預覽功能時，會有一個專用的驗證器可用，這表示您可以從可用的通行金鑰帳戶清單中選擇，並根據該帳戶驗證使用者。感謝 Takashi Norimatsu 的貢獻。

已新增用於保護 SAML 用戶端的預設用戶端設定檔。當在管理主控台中瀏覽領域的用戶端原則時，您會看到一個新的用戶端設定檔 saml-security-profile。當使用此設定檔時，會為 SAML 用戶端套用安全性最佳實務，例如強制執行簽章、停用 SAML 重新導向繫結，以及禁止使用萬用字元重新導向 URL。

新增了新的驗證器 Confirm override existing link。此驗證器允許覆寫 Keycloak 使用者的連結 IDP 使用者名稱，該使用者之前已連結到不同的 IDP 身分。如需更多詳細資訊，請參閱伺服器管理指南。感謝 Lex Cao 的貢獻。

正在開發對 OpenID 可驗證憑證發行 (OID4VCI) 的支援。目前，這仍在開發中，但正在逐步新增功能。Keycloak 可以作為 OID4VC 發行者，支援預先授權程式碼流程。支援 JWT-VC、SD-JWT-VC 和 VCDM 格式的可驗證憑證。感謝 OAuth SIG 小組成員的貢獻和意見反應，特別感謝 Stefan Wiedemann、Francis Pouatcha、Takashi Norimatsu 和 Yutaka Obuchi。

當依使用者屬性搜尋使用者時，Keycloak 不再強制執行小寫比較來搜尋使用者屬性名稱。此變更的目的是透過使用 Keycloak 在使用者屬性表格上的原生索引來加速搜尋。如果您的資料庫定序不區分大小寫，則搜尋結果將保持不變。如果您的資料庫定序區分大小寫，您可能會看到比以前少的搜尋結果。

對於 keycloak-authz-client 程式庫的使用者，呼叫 AuthorizationResource.getPermissions(…​) 現在會正確傳回 List<Permission>。

先前，即使方法宣告聲明為 List<Permission>，它也會在執行階段傳回 List<Map>。

此修復將會中斷依賴於將 List 或其內容轉換為 List<Map> 的程式碼。如果您曾經以任何方式使用過此方法，您可能會這樣做並受到影響。

當匯出用戶端的授權設定時，不再設定資源、範圍和原則的 ID。因此，您現在可以將一個用戶端的設定匯入到另一個用戶端。

度量和健全狀況檢查端點不再能透過標準 Keycloak 伺服器連接埠存取。由於這些端點應對外隱藏，因此它們可以在單獨的預設管理連接埠 9000 上存取。

這允許在 Kubernetes 環境中不將其暴露給使用者作為標準 Keycloak 端點。新的管理介面提供了一組新的選項，並且是完全可設定的。

Keycloak Operator 預設會啟用管理介面。如需更多詳細資訊，請參閱設定管理介面。

Keycloak 現在支援 Syslog 通訊協定進行遠端記錄。它利用 RFC 5424 中定義的通訊協定。依預設，syslog 處理常式已停用，但啟用後，它會將所有記錄事件傳送至遠端 syslog 伺服器。

如需更多資訊，請參閱設定記錄指南。

方法 EnvironmentDependentProviderFactory.isSupported() 在數個版本中已棄用，現在已移除。

如需更多詳細資訊，請參閱升級指南。

現在可以在執行階段指定 cache、cache-stack 和 cache-config-file 選項。這消除了由於它們而執行建置階段並重建映像的需求。

如需更多詳細資訊，請參閱升級指南。

高可用性指南現在包含有關如何設定 AWS Lambda 以防止備份站點有意自動故障回復到主要站點的指南。

在此版本中，我們終於從以下類別中移除了已棄用的方法

如需更多詳細資訊，請參閱升級指南。

由於從 AccessToken、IDToken 和 JsonWebToken 中移除了已棄用的方法，SingleUseObjectKeyModel 也進行了變更，以與與到期值相關的方法名稱保持一致。

如需更多詳細資訊，請參閱升級指南。

支援和測試的資料庫現在包含 PostgreSQL 16。

在此版本中，我們將 Keycloak 組織作為技術預覽功能發佈。

此功能為領域提供了一些核心 CIAM 功能，這些功能將作為未來更多功能的基準，以解決企業對企業 (B2B) 和企業對企業對客戶 (B2B2C) 用例。

在功能方面，此功能已完成。但是，我們仍然需要努力使其在下一個主要版本中得到完全支援。剩餘的工作主要是在準備此功能以用於生產部署，重點是可擴展性。此外，根據我們在下一個主要版本之前收到的回饋，我們最終可能會接受其他功能並為此功能增加更多價值，而不會損害其藍圖。

如需更多詳細資訊，請參閱伺服器管理指南。

此版本修正了一個重要的安全性問題，該問題會影響某些使用 PAR（推送授權請求）的 OIDC 機密用戶端。如果您同時使用 OIDC 機密用戶端和 PAR，並且使用基於 client_id 和 client_secret 的用戶端驗證，這些憑證會以 HTTP 請求主體中的參數傳送（OIDC 規範中指定的 client_secret_post 方法），強烈建議您在升級到此版本後輪換您的用戶端密碼。

當透過管理員使用者 API 更新使用者屬性時，您無法在更新使用者屬性時執行部分更新，包括根屬性，如 username、email、firstName 和 lastName。

如需更多詳細資訊，請參閱升級指南。

由於使用 Operator 部署 Keycloak 時的發布流程出現問題，導致安裝了 nightly 容器，而不是 24.0.0。

作為此問題的快速修正，24.0.0 容器被標記為 nightly，並且暫時停用了 nightly 發布版本。

如果您在昨天歐洲中部時間下午 5 點之前使用 Operator 安裝或升級到 24.0.0，資料庫可能已使用錯誤的版本更新。若要檢查您是否受到影響，請連線到您的資料庫並執行以下 SQL 命令

如果上述命令傳回相符的列，您將需要採取一些動作，否則未來的版本將不會執行資料庫遷移。若要解決此問題，請執行以下 SQL 命令

使用者設定檔預覽功能已升級為完全支援，並且預設啟用使用者設定檔。

在過去幾個月中，Keycloak 團隊投入了大量的精力來打磨使用者設定檔功能，使其獲得完全支援。在此版本中，我們繼續努力。根據來自我們優秀社群的徹底測試和回饋，進行了許多改進、修正和潤飾。

以下是此功能的一些重點：

使用者設定檔作為受支援功能的第一個版本只是一個起點，也是提供更多有關身分管理功能的基礎。

我們要衷心感謝 Keycloak 傑出的社群，因為許多想法、需求和貢獻都來自社群！特別感謝

有關使用者設定檔功能的更多詳細資訊，請參閱伺服器管理指南。

早在 2022 年，我們就宣布了Keycloak 19 中 Keycloak 介面卡的棄用。為了給社群更多的時間來採用，這項時程被延後了。

有鑑於此，這將是最後一個包含 OpenID Connect 和 SAML 介面卡的 Keycloak 主要版本。由於 Jetty 9.x 自 2022 年起就沒有受到支援，因此 Jetty 介面卡已在此版本中移除。

通用授權用戶端程式庫將繼續受到支援，並且旨在與任何其他 OAuth 2.0 或 OpenID Connect 程式庫結合使用。

我們將繼續提供的唯一介面卡是適用於最新版本 WildFly 和 EAP 8.x 的 SAML 介面卡。繼續支援此介面卡的原因是，Keycloak 中大部分 SAML 程式碼都是 WildFly 的貢獻。作為此貢獻的一部分，我們同意長期維護適用於 WildFly 和 EAP 的 SAML 介面卡。

重新設計了 Keycloak 首次使用時出現的「歡迎」頁面。它提供了更好的設定體驗，並符合最新版本的PatternFly。簡化的頁面佈局僅包含用於註冊第一位管理使用者的表單。完成註冊後，使用者會直接被傳送到管理主控台。

如果您使用自訂主題，您可能需要更新它以支援新的歡迎頁面。有關詳細資訊，請參閱升級指南。

我們在 Keycloak 22 中以預覽功能的形式引入了第 3 版帳戶主控台。在此版本中，我們將其設為預設版本，並在此過程中棄用第 2 版，該版本將在後續版本中移除。

這個新版本內建支援使用者設定檔功能，讓管理員可以設定帳戶主控台中可供使用者使用的屬性，並在登入後將使用者直接導向其個人帳戶頁面。

如果您正在使用或擴展此主題的自訂功能，您可能需要執行其他遷移。有關更多詳細資訊，請參閱升級指南。

在此版本中，我們調整了密碼雜湊的預設值，以符合OWASP 密碼儲存建議。

作為此變更的一部分，預設密碼雜湊提供者已從 pbkdf2-sha256 變更為 pbkdf2-sha512。此外，基於 pbkdf2 的密碼雜湊演算法的預設雜湊迭代次數也已變更。此變更表示更好的安全性，並與最新建議一致，但會影響效能。可以透過將密碼原則 hashAlgorithm 和 hashIterations 新增到您的領域來堅持使用舊行為。有關更多詳細資訊，請參閱升級指南。

與 CORS 相關的 Keycloak 功能已提取到 SPI 中，這可以提供額外的彈性。請注意，CorsSPI 是內部元件，可能會在未來的版本中變更。感謝 Dmitry Telegin 的貢獻。

Keycloak 引入了改良的信任儲存配置選項。Keycloak 信任儲存現在在整個伺服器中使用，包括外寄連線、mTLS 和資料庫驅動程式。您不再需要為個別區域配置單獨的信任儲存。若要配置信任儲存，您可以將信任儲存檔案或憑證放入預設的 conf/truststores 中，或使用新的 truststore-paths 配置選項。有關詳細資訊，請參閱相關的 指南。

功能現在支援版本控制。為了保持回溯相容性，所有現有的功能（包括 account2 和 account3）都標記為版本 1。新引入的功能將使用版本控制，這表示使用者可以在所需功能的不同實作之間進行選擇。

有關詳細資訊，請參閱功能指南。

現在可以將 SAML 身分提供者配置為自動從 IDP 實體中繼資料描述符端點下載簽署憑證。為了使用新功能，請在提供者中配置 Metadata descriptor URL 選項（發佈具有憑證的 IDP 中繼資料資訊的 URL），並將 Use metadata descriptor URL 設定為 ON。憑證會從該 URL 自動下載並快取在 public-key-storage SPI 中。憑證也可以使用提供者頁面中的操作組合，從管理主控台重新載入或匯入。

有關新選項的詳細資訊，請參閱文件。

新增了一個可在 /lb-check 取得的新健全狀況檢查端點。執行在事件迴圈中執行，這表示即使在 Keycloak 需要處理要求佇列中等待的許多請求的超載情況下，此檢查也具有回應性。例如，此行為在多站點部署中很有用，可避免故障轉移到另一個負載較重的站點。該端點目前正在檢查內嵌式和外部 Infinispan 快取的可用性。稍後可能會新增其他檢查。

預設情況下不提供此端點。若要啟用它，請使用 multi-site 功能執行 Keyloak。有關更多詳細資訊，請參閱啟用和停用功能。

Keycloak CR 現在包含一個 startOptimized 欄位，可以用於覆寫有關是否為啟動命令使用 --optimized 旗標的預設假設。因此，即使在使用自訂 Keycloak 映像時，您也可以使用 CR 來配置建置時間選項。

現在可以使用新的 --proxy-headers 選項，單獨啟用對 Forwarded 或 X-Forwarded-* 標頭的剖析。有關詳細資訊，請參閱反向 Proxy 指南。原始的 --proxy 選項現在已棄用，並將在未來的版本中移除。有關移轉說明，請參閱升級指南。

在此版本中，我們正在封裝根使用者屬性（例如 username、email、firstName、lastName 和 locale），方法是將它們移至基本/抽象類別，以便在同時使用管理和帳戶 REST API 時，對這些屬性的序列化和還原序列化方式進行對齊。

此策略可確保用戶端管理屬性時的一致性，並確保它們符合為領域設定的使用者設定檔配置。

如需更多詳細資訊，請參閱升級指南。

從這個版本開始，Keycloak 叢集的第一個成員將循序載入遠端會話，而不是並行載入。如果啟用了離線會話預先載入，則也會循序載入這些會話。

如需更多詳細資訊，請參閱升級指南。

在此版本中，如果使用者已驗證且動作繫結到另一個使用者，您將無法再執行諸如電子郵件驗證之類的動作。例如，如果電子郵件連結繫結到其他帳戶，則使用者無法完成驗證電子郵件流程。

在此版本中，如果使用者嘗試追蹤連結以驗證電子郵件，並且先前已驗證過該電子郵件，則會顯示適當的訊息。

此外，還會觸發一個新的錯誤 (EMAIL_ALREADY_VERIFIED) 事件，以指示嘗試驗證已驗證的電子郵件。您可以使用此事件來追蹤在連結洩漏時可能發生的劫持使用者帳戶嘗試，或在使用者無法識別該動作時發出警示。

Keycloak 的預設行為是依需求載入離線會話。在啟動時預先載入它們的舊行為現在已棄用，因為在啟動時預先載入它們無法隨著會話數量的增加而良好地擴展，並增加了 Keycloak 的記憶體使用量。舊的行為將在未來的版本中移除。

如需更多詳細資訊，請參閱升級指南。

為了降低記憶體需求，我們引入了一個配置選項，以縮短匯入 Infinispan 快取的離線會話的存留期。目前，預設情況下會停用離線會話存留期覆寫。

有關詳細資訊，請參閱伺服器管理指南。

當啟用 Keycloak 內嵌快取的指標時，指標現在會使用標籤來表示快取管理員和快取名稱。

如需更多詳細資訊，請參閱升級指南。

在此版本中，Keycloak 支援儲存和搜尋超過 255 個字元的使用者屬性值，這在以前是個限制。

如需更多詳細資訊，請參閱升級指南。

暴力破解保護機制進行了一些增強。

在先前的 Keycloak 版本中，當刪除使用者、群組或客戶端原則的最後一個成員時，該原則也會被刪除。不幸的是，如果該原則在彙總原則中使用，則可能會導致權限提升。為了避免權限提升，效果原則不再被刪除，管理員將需要更新這些原則。

Keycloak CR 現在允許透過使用 cache 規範的 configMapFile 欄位來指定 cache-config-file 選項，例如：

Keycloak CR 現在允許指定 resources 選項，以管理 Keycloak 容器的運算資源。它提供了透過 Keycloak CR，針對主要的 Keycloak 部署以及透過 Realm Import CR，針對領域匯入作業，獨立請求和限制資源的能力。

當未指定值時，預設的 requests 記憶體會設定為 1700MiB，而 limits 記憶體會設定為 2GiB。

您可以根據您的需求指定自訂值，如下所示：

如需更多詳細資訊，請參閱 Operator 進階配置。

現在有一個新的事件 USER_DISABLED_BY_TEMPORARY_LOCKOUT，當使用者被暴力破解保護器暫時鎖定時會觸發。由於新事件以結構化形式提供資訊，因此已移除 ID 為 KC-SERVICES0053 的記錄。

如需更多詳細資訊，請參閱升級指南。

Cookie 處理程式碼已重構和改進，包括新的 Cookie 提供者。這為 Keycloak 處理的 Cookie 提供了更好的統一性，並在需要時能夠引入圍繞 Cookie 的配置選項。

用戶屬性對應器針對 NameID 允許將 Name ID Format 選項設定為以下值：

但是，Keycloak 不支援接收具有這些 NameIDPolicy 之一的 AuthnRequest 文件，因此這些對應器永遠不會被使用。支援的選項已更新為僅包含以下 Name ID 格式：

Keycloak 不再指定初始和最大堆積大小的硬編碼值，而是使用相對於容器總記憶體的相對值。JVM 選項 -Xms 和 -Xmx 已被 -XX:InitialRAMPercentage 和 -XX:MaxRAMPercentage 取代。

如需更多詳細資訊，請參閱升級指南。

由於提供與 GELF 集成的 底層程式庫 已終止支援，Keycloak 將不再支援開箱即用的 GELF 記錄處理器。此功能將在未來的版本中移除。如果您需要外部記錄管理，請考慮使用檔案記錄解析。

將 Keycloak 部署到多個獨立站點對於某些環境來說至關重要，以提供高可用性和從故障中快速恢復的能力。此版本支援 Keycloak 的主動-被動部署。

若要開始，請使用 高可用性指南，其中還包括將高可用性 Keycloak 部署到雲端環境的完整藍圖。

宣告式使用者設定檔在此版本中仍為預覽功能，但我們正努力將其升級為支援的功能。歡迎提供回饋。如果您發現任何問題或有任何改進的想法，歡迎建立 Github issue，最好加上 area/user-profile 標籤。也建議查看升級指南，其中包含此版本遷移的相關資訊。

對於具有許多群組和子群組的使用案例，群組搜尋的效能已獲得改善。此處進行了一些改進，允許對子群組進行分頁查找。感謝 Alice 的貢獻。

Keycloak 22.0.2 中引入了一個安全漏洞。我們強烈建議不要升級到 22.0.2，並且任何已在生產環境中部署 22.0.2 的使用者應立即升級到 22.0.3。

對於在 Keycloak 升級到 22.0.2 後自行註冊的使用者，其密碼並未安全儲存，並且可能會暴露給 Keycloak 管理員。這僅影響在升級推出後註冊的使用者，而不影響任何先前註冊的使用者。

任何使用預覽宣告式使用者設定檔的領域都不受此問題影響，只有使用預設使用者設定檔提供者的領域才會受到影響。

若要識別您的部署中是否有任何受影響的使用者，您可以存取資料庫並執行以下 SQL 語句來查詢。

我們建議聯繫任何受影響的使用者，並為他們新增更新密碼所需的動作。

如果存在任何受影響的使用者，我們也建議執行以下 SQL 語句，從資料庫中刪除這些屬性

如果曾在 22.0.2 版本之後備份資料庫，並且有受影響的使用者，我們建議刪除這些備份。

Keycloak 現在在一個領域中支援多個 LDAP 提供者，這些提供者支援與同一 Kerberos 領域進行 Kerberos 整合。當 LDAP 提供者無法找到透過 Kerberos/SPNEGO 驗證的使用者時，Keycloak 會嘗試回退到下一個 LDAP 提供者。Keycloak 也更好地支援單個 LDAP 提供者支援多個彼此信任的 Kerberos 領域的情況。

允許使用 Keycloak 取代 OpenShift 3.x 中內部 IdP 的 openshift-integration 預覽功能已從 Keycloak 程式碼庫中移除，並移至獨立的擴充專案。

如果應用程式用戶端使用非 http(s) 的自訂方案，從現在開始，驗證需要有效的重新導向模式明確允許該方案。允許 custom 方案的範例模式為 custom:/test、custom:/test/* 或 custom:*。基於安全性考量，像 * 這樣的一般模式不再涵蓋這些方案。

過去，Keycloak 是在多個 GitHub 儲存庫中維護的

擁有多個儲存庫帶來了很多複雜性和繁瑣的工作。例如，對於單一變更，經常需要將多個提取請求傳送到不同的儲存庫。

為了簡化作業，我們現在已將所有內容遷移到主儲存庫。

Keycloak 中的 FIPS 140-2 支援在先前的版本中為預覽版，現在已升級為正式支援。

帳戶主控台版本 3 現在作為 Keycloak 中的實驗性功能提供。此版本支援使用「使用者設定檔」功能建立的自訂欄位。如果您想試用並向我們提供一些早期意見反應，您可以按如下方式啟用它

作為移除已棄用配接器的一部分，Keycloak 原則強制執行器已從配接器程式碼庫中提取到獨立的相依性中

透過提供此相依性，我們希望能夠將原則強制執行器與您偏好的 Java 堆疊整合。

它還提供內建的支援，可讓原則強制執行器在受 Wildfly Elytron 保護的 Jakarta 應用程式中啟用。

目前，此相依性尚未 GA，因為我們仍在處理快速入門和文件。

這項工作不應影響使用已棄用配接器的現有應用程式。 = 預設提供的 Javascript 引擎

在先前的版本中，當 Keycloak 在具有 Javascript 提供者的 Java 17 上使用時，需要將 Nashorn javascript 引擎新增到發行版中。現在不再需要這樣做，因為 Nashorn javascript 引擎預設在 Keycloak 伺服器中提供。

在 Keycloak 19 中，新的管理主控台已升級為新的預設管理主控台，而舊的管理主控台已棄用。在此版本中，已完全移除舊的管理主控台。

Keycloak 提供一個可選的度量端點，該端點以 Prometheus 格式匯出度量。在此版本中，提供此資料的實作已從 SmallRye 切換到 Micrometer。由於此變更，度量已重新命名。

請參閱移轉指南以取得詳細資訊。

現在已棄用使用 Java 11 執行 Keycloak 伺服器，並計劃在 Keycloak 22 中移除。

配接器仍然支援 Java 8、Java 11 和 Java 17。但是，我們計劃在不久的將來移除對 Java 8 的支援。

在此版本中，我們移除了對 Hashicorp Vault 的現成支援。

請參閱此討論以取得更多詳細資訊。

在此版本之前，SAML SP 中繼資料包含用於簽署和加密的相同金鑰。從此版本的 Keycloak 開始，我們僅在 SP 中繼資料中包含用於加密的預定 realm 金鑰。對於每個加密金鑰描述元，我們還會指定應使用的演算法。下表顯示了支援的 XML-Enc 演算法及其與 Keycloak realm 金鑰的對應。請參閱升級指南以取得更多詳細資訊。

已從使用者會話提供者中移除數個已棄用的方法。如果尚未完成，則需要使用 Keycloak 20 發行版本的 Javadoc 中記錄的相應替代方法取代其用法。請參閱升級指南以取得更多詳細資訊。

已棄用 RoleModel 中的 IS_CLIENT_ROLE 可搜尋欄位。應使用運算子 EXISTS 或 NOT_EXISTS 的 CLIENT_ID 可搜尋欄位取代它。請參閱 Keycloak 21 的 JavaDoc 以取得更多詳細資訊。

Keycloak 中的 FIPS 140-2 支援在先前的版本中為實驗性，現在已升級為預覽版。為建立此預覽版本進行了許多修正和改進。如需詳細資訊，請參閱FIPS 文件。歡迎提供意見反應！

再次感謝 David Anderson、Sudeep Das 和 Isaac Jensen 在此功能上的巨大協助。

除了識別非標準的 X-Forwarded-* 以提取 Proxy 新增的資訊（如果 Proxy 伺服器參與請求路徑，這些資訊可能會被變更或遺失）之外，Keycloak 現在還可以利用標準的 Forwarded 標頭來達到相同的目的。

如需更多詳細資訊，請參閱使用反向 Proxy 指南。

請確保您的 Proxy 在向 Keycloak 節點發出請求時也會覆寫 Forwarded 標頭。

為了提高安全性，Keycloak 容器映像已進行兩方面的修改：首先，它現在基於 UBI9 而不是 UBI8。其次，我們已切換到 -micro，而之前使用的是 -minimal。

變更至 UBI9 對大多數使用者不會有任何影響。在極少數情況下，可能會出現 glibc 錯誤 CPU 不支援 x86-64-v2。x86-64-v2 自 2009 年起已在處理器上提供。當您的虛擬化環境配置錯誤時，最有可能遇到此問題。

從 -minimal 變更為 -micro 具有較大的潛在影響。對映像檔進行簡單客製化的使用者不會注意到任何差異，但是任何安裝 RPM 的使用者都需要變更其執行方式。《在容器中執行 Keycloak》指南已更新，向您展示如何操作。

由於這些變更，影響 Keycloak 容器映像檔的已知 CVE 減少了 82%！

在 Keycloak 17.0.0 中，基於 Quarkus 的新 Keycloak 發行版本已推出，而基於 WildFly 的發行版本則已棄用。在此版本中，已移除 WildFly 發行版本，且不再支援。

如果您仍在使用 WildFly 發行版本，我們強烈建議您盡快遷移到 Quarkus 發行版本，請參閱遷移指南以了解更多詳細資訊。

我們很高興宣布，基於 Quarkus 發行版本的新 Keycloak Operator 不再是預覽功能。我們新增了新功能以及一些改進，其中一些導致了重大變更。

Keycloak 現在同時支援伺服器和轉接器的 OpenJDK 17。

隨著基於 WildFly 的發行版本的移除，不再支援在 OpenJDK 8 上執行 Keycloak 伺服器。我們也計劃在 Keycloak 21 中移除對 OpenJDK 8 上 Keycloak 轉接器的支援。

從 Keycloak 22 開始，我們計劃僅支援最新的 OpenJDK LTS 發行版本，並致力於快速支援最新的 OpenJDK 發行版本。這表示我們也將在 Keycloak 22 中移除對 Keycloak 伺服器的 OpenJDK 11 支援。

在此版本中，我們引入了兩個額外的伺服器選項，以設定前端請求和管理控制台的基本 URL

更多詳細資訊請參閱《設定主機名稱》指南。

在此版本中，我們正在對 kc.bat 進行重要變更，使其提供與在 Linux 上執行時相同的體驗。

Keycloak 為開發目的而提供 H2 資料庫驅動程式。由於其僅用於開發目的，因此絕不應在生產環境中使用。

在此版本中，H2 驅動程式已從 1.x 版本升級到 2.x 版本。

應用程式可以從 Keycloak 伺服器直接載入 keycloak.js。由於以這種方式載入 JavaScript 程式庫不被視為最佳做法，因此現在有一個功能保護，允許停用此功能。

在 Keycloak 21 中，我們將棄用此選項，並且在 Keycloak 22 中，我們計劃完全移除從 Keycloak 伺服器載入 keycloak.js 的功能。

在先前的版本中，向使用者顯示的 OTP 應用程式清單在 Keycloak 中是硬式編碼的。隨著 OTP 應用程式 SPI 的引入，現在可以停用內建的 OTP 應用程式，以及新增自訂的 OTP 應用程式。

自訂身分提供者現在可以設定在登入頁面上使用的圖示。感謝 Klaus Betz，他恰好也維護 Keycloak 的擴充功能，以支援使用 AppleID 登入。

現在有將 Keycloak 部署到已啟用 FIPS 140-2 的環境的實驗性支援。在發布後不久將會有一篇部落格文章，詳細說明如何嘗試。歡迎提供意見！

感謝 David Anderson，他貢獻了此功能的部分內容。此外，感謝 Sudeep Das 和 Isaac Jensen 最初的原型工作，該工作被用作靈感。

現在可以透過管理 REST API 依屬性搜尋群組。感謝 Alice 的貢獻。

現在可以允許使用者在帳戶控制台中檢視其群組成員資格。感謝 cgeorgilakis 的貢獻。

已從資料提供者和模型中移除數個已棄用的方法。如果尚未完成，則需要將其用法替換為 Keycloak 19 版本 Javadoc 中記載的相應替換。請參閱《升級指南》以了解更多詳細資訊。

某些 Keycloak OpenID Connect 轉接器已達到生命週期結束，並且未包含在此版本中。

新的管理控制台現在已升級為預設管理控制台，而舊控制台現在已棄用。舊控制台將在 Keycloak 21 中移除。

Keycloak 儲存正在變更，目前的儲存雖然仍受支援，但最終將被全新的實作取代。此變更為雲端原生儲存帶來更好的支援、無停機能力，以及為使用者以外的其他區域實作自訂儲存的更好支援。

這表示目前儲存支援的功能中，數個深度變更將成為舊版功能。舊版儲存和新儲存無法同時使用；一次只能啟用一個儲存。

最明顯的變更是使用者儲存 SPI 與新的儲存 API（地圖儲存 API）不相容。因此，使用者儲存 SPI 將會隨著舊版儲存而棄用，並會移至一個稱為 keycloak-model-legacy 的獨立模組。此變更會影響數個區域，尤其是與使用者聯盟和自訂使用者提供者相關的區域。

此外，API 已整合，以便儲存層的詳細資訊對 REST 服務層透明。具體而言，服務將無法區分快取和非快取物件，也無法特別存取聯合儲存與本機儲存。

因此，必須檢閱透過 KeycloakSession 方法存取本機儲存或快取中的物件的自訂擴充功能。請參閱《升級指南》以了解詳細資訊。

在上一個版本中，我們新增了對 OIDC 登出的支援。此版本包含其他一些修正和調整。重點包括

如需更多詳細資訊，請參閱《伺服器管理指南》。

新增了預覽功能 UPDATE_EMAIL。啟用此功能並在領域中啟用對應的旗標後，使用者必須點擊傳送到他們新電子郵件地址的連結，以確認更新其電子郵件。更多詳細資訊，請參閱伺服器管理指南。感謝 Réda Housni Alaoui 的貢獻。

在此版本中，我們已棄用舊版 Keycloak Operator 的 Keycloak CR 中的 podDisruptionBudget 欄位。當 Operator 部署在 Kubernetes 1.25 或更高版本上時，此選用欄位將被忽略。

作為一種解決方案，您可以在叢集中手動建立 Pod 擾動預算，例如

另請參閱Kubernetes 文件。

從 19 版開始，Keycloak 支援使用 GELF 將日誌發送到集中式日誌解決方案，例如開箱即用的 ELK、EFK 或 Graylog。

您可以在日誌記錄指南中找到相關文件和範例，以協助您快速上手。

在此版本中，我們將推出一個全新的 Keycloak Operator 作為預覽。除了從頭開始重寫之外，與舊版 Operator 相比，主要面向使用者的變更在於使用的 Keycloak 發行版本 – 新 Operator 使用 Keycloak 的 Quarkus 發行版本。因此，API（以自訂資源定義的形式）已變更。有關詳細資訊，包括安裝和移轉說明，請參閱與 Operator 相關的指南。

在 Keycloak WildFly 發行版本達到 EOL 之前，舊版 Operator 將會收到更新，直到 Keycloak 20 版本。

新的管理控制台現在已升級為預覽版，計畫在 Keycloak 19 中成為預設的管理控制台。

如果您發現新控制台有任何問題，或有任何改進建議，請透過GitHub Discussions告訴我們。

Keycloak 現在支援逐步驗證。此功能已在 Keycloak 17 中新增，並在此版本中進一步完善。

更多詳細資訊，請參閱伺服器管理指南。

感謝 Cornelia Lahnsteiner 和 Georg Romstorfer 的貢獻。

Keycloak 現在支援透過客戶策略進行用戶端密碼輪換。此功能目前以預覽功能的形式提供，允許為機密用戶端提供領域策略，使其可以同時使用最多兩個密碼。

更多詳細資訊，請參閱伺服器管理指南。

復原代碼作為進行雙重驗證的另一種方式，現在以預覽功能的形式提供。

進行了一些修正和改進，以確保 Keycloak 現在完全符合所有 OpenID Connect 登出規範

更多詳細資訊，請參閱伺服器管理指南。

Keycloak 現在支援無 ID 的 WebAuthn 驗證。此功能允許 WebAuthn 安全金鑰在驗證期間識別使用者，只要安全金鑰支援常駐金鑰即可。更多詳細資訊，請參閱伺服器管理指南。感謝 Joaquim Fellmann 的貢獻。

除了上述改進之外，還有更多 WebAuthn 的改進和修正。

upload-script 功能已被標記為已棄用很長一段時間。在此版本中，它已完全移除，不再受支援。

如果您正在使用任何這些功能

您應該考慮閱讀此文件，以了解如何繼續依賴這些功能，但將您的指令碼部署到伺服器，而不是透過管理介面管理它們。

Keycloak 現在支援限制使用者可以擁有的工作階段數量。限制可以放置在領域層級或用戶端層級。

更多詳細資訊，請參閱伺服器管理指南。感謝 Mauro de Wit 的貢獻。

為了降低濫用 SAML ECP 設定檔的風險，Keycloak 現在會封鎖所有未明確允許此流程的 SAML 用戶端。可以使用用戶端組態中的「允許 ECP 流程」旗標來啟用該設定檔，請參閱伺服器管理指南。

此版本包含一些重要的錯誤修正。此外，我們要感謝 Leandro José de Bortoli 對 FAPI 相關功能的貢獻，例如 JARM 支援和 CIBA 的改進。

到目前為止，管理員可以透過 Keycloak 管理控制台以及 RESTful 管理 API 將腳本上傳到伺服器。

從現在開始，此功能預設為停用，使用者應優先選擇直接將腳本部署到伺服器。有關更多詳細資訊，請參閱 JavaScript 提供者。

Keycloak 伺服器已升級為在底層使用 WildFly 16。

感謝 tnorimat，Keycloak 現在支援使用 PS256 簽署和驗證令牌。

新的內建客戶端範圍，可輕鬆發出遵循 Eclipse MicroProfile 規範的令牌。

Keycloak 伺服器已升級為在底層使用 WildFly 15。

現在可以使用 Keycloak 完全保護 OpenShift 3.11，包括能夠自動將服務帳戶作為 OAuth 用戶端公開為 Keycloak 的用戶端。

這目前是一項技術預覽功能。

到目前為止，預設啟用 Drools 策略。但現在，此策略類型僅作為技術預覽功能提供，要使用它，您需要啟用預覽設定檔或相應的功能。請參閱 授權服務指南，瞭解更多詳細資訊。

DB2 支援已過時一段時間。在此版本中，我們已移除所有對 DB2 的支援。

引入了為「記住我」工作階段指定不同工作階段閒置和最大逾時的功能。這使得「記住我」工作階段可以比常規工作階段存活更長時間。

大量群組先前曾在管理控制台中導致問題。現在，透過引入群組分頁已解決此問題。

過去，如果存在大量離線工作階段，則啟動伺服器可能需要很長時間。現在已大幅縮短此啟動時間。

Keycloak 伺服器已升級為在底層使用 WildFly 14。

Keycloak Gatekeeper 提供了一個安全 Proxy，可用於保護應用程式和服務，而無需适配器。它可以與您的應用程式一起在本機安裝，或作為 OpenShift 或 Kubernetes 上的 Sidecar 安裝。

非常感謝 gambol99 為 Keycloak 貢獻此工作。

簽名 SPI 允許插入其他簽名演算法。這允許使用其他簽名，也允許變更簽名的產生方式。例如，使用此功能允許使用 HSM 裝置簽署令牌。

感謝 tnorimat 為此工作貢獻了重要部分。

除了簽章 SPI 之外，現在也支援其他簽章演算法。

Keycloak 現在支援 RS256、RS384、RS512、ES256、ES384、ES512、HS256、HS384 和 HS512。

橢圓曲線數位簽章演算法 (ES256/384/512) 非常有趣，因為它們提供與 RSA 簽章相似的安全性特性，但使用的 CPU 資源明顯較少。

當您不希望應用程式本身驗證簽章時，HMAC (HS256/384/512) 也非常有用。由於這些是對稱簽章，只有 Keycloak 才能驗證簽章，這要求應用程式使用令牌內省端點來驗證令牌。

感謝 tnorimat 為此工作貢獻了重要部分。

現在可以指定為 OpenID Connect 用戶端發出的令牌中的受眾。也支援在配接器端驗證受眾。

Keycloak 伺服器已升級為在底層使用 WildFly 13。這意味著底層相依性的更新，以及組態中的一些變更。我們現在也支援 WildFly 13 配接器，並且針對跨資料中心設定升級了底層 JDG/Infinispan 伺服器版本。詳情請參閱升級指南。

在 Node.js 中支援授權服務，使得使用 Node.js 配接器進行細緻的集中授權變得非常容易。

主機名稱 SPI 引入了更彈性的方式來設定 Keycloak 的主機名稱。有兩個內建的供應商。第一個是請求，它使用請求標頭來確定主機名稱。第二個是固定，它允許設定固定的主機名稱。後者確保只能使用有效的主機名稱，也允許內部應用程式透過替代 URL 呼叫 Keycloak。

如需更多詳細資訊，請參閱伺服器管理指南中的威脅緩解章節。

新加入的用戶端驗證器使用 X509 用戶端憑證和相互 TLS 來保護來自用戶端的連線。此外，Keycloak 伺服器會驗證用戶端憑證的「主體 DN」欄位。

在此版本中，我們全面改進了原則評估效能，提高了可靠性和吞吐量。我們進行的主要變更與試圖透過避免不必要的流程並在決策發生時立即收集決策來最佳化原則評估路徑有關。我們還在每個請求的基礎上引入了原則決策快取，避免了先前評估過的原則的冗餘決策。

我們也正在開發其他快取層，這應該會提供更好的體驗。請參閱KEYCLOAK-7952。

在先前的版本中，權限總是使用標準 OAuth2 回應從伺服器傳回，其中包含存取和重新整理令牌。在此版本中，用戶端可以使用 response_mode 參數來指定伺服器應如何回應授權請求。此參數接受兩個值

適用於 NodeJS 的配接器 keycloak-nodejs-connect 現在支援根據伺服器採取的決策來保護資源的建構。新的建構允許使用者使用細緻的權限來保護其資源，如下所示

使用 Google 登入現在支援 hd 參數，以將 Google 登入限制為 Google 的特定託管網域。當在身分識別提供者中指定此參數時，會拒絕來自其他網域的任何登入。

感謝 brushmate 的貢獻。

大多數 HTML 輸出已經逸出 HTML 標籤，但在某些地方允許使用 HTML 標籤。這些僅限於需要管理員存取權才能更新值的位置。儘管更新這些欄位需要管理員存取權，但我們還是增加了額外的防禦層，現在正在逸出不安全元素，例如 <script>。

我們現在支援在 Cordova 的 JavaScript 配接器中使用瀏覽器索引標籤和通用連結。這可啟用多個應用程式之間的 SSO，並提高安全性。

感謝 gtudan 的貢獻。

SAML 配接器現在可以像 OpenID Connect 的內建配接器一樣支援多租戶。

在先前的版本中，無法使用包含點 (.) 字元的宣告名稱在令牌中建立宣告。現在可以在設定中逸出點字元，因此可以使用包含點字元的宣告名稱。

從 4.1 版開始，Spring Boot 入門工具將基於 Spring Boot 2 配接器。如果您使用的是較舊的 Spring Boot 版本，則可以使用 keycloak-legacy-spring-boot-starter。

我們新增了對用戶端範圍的支援，這取代了用戶端範本。用戶端範圍是一種更彈性的方法，並且也為 OAuth scope 參數提供了更好的支援。

同意畫面中與用戶端範圍相關的變更。同意畫面上的清單現在連結到用戶端範圍，而不是協定對應器和角色。

如需更多詳細資訊，請參閱文件和移轉指南。

我們現在已部分實作 OAuth 2.0 相互 TLS 用戶端驗證和憑證繫結存取令牌 規格。更準確地說，我們支援憑證繫結存取令牌。如果您的機密用戶端能夠使用雙向 SSL，Keycloak 將能夠將用戶端憑證的雜湊新增到為該用戶端發出的令牌中。目前，只有 Keycloak 本身會驗證令牌雜湊（例如在 refresh token 請求期間）。我們計劃也新增對配接器的支援。我們還計劃新增對相互 TLS 用戶端驗證的支援。

感謝 tnorimat 的貢獻。

現在可以透過常規提供者部署將主題熱部署到 Keycloak。我們還增加了對主題資源的支援，允許添加其他範本和資源，而無需建立主題。這對於需要將其他頁面添加到身份驗證流程的自定義身份驗證器非常有用。

我們還增加了支援，以覆蓋特定客戶端的主題。如果這不符合您的需求，那麼還有一個新的主題選擇器 SPI，允許您實施自定義邏輯來選擇主題。

我們增加了使用 Instagram 登入的支援。感謝 hguerrero 的貢獻。

之前您必須編輯 URL 才能在管理控制台中按 ID 搜尋使用者。現在可以直接在使用者搜尋欄位中搜尋。