发行说明

Keycloak服务器改进了对金融级API (FAPI) 的支持。 更具体地说，Keycloak现在符合FAPI CIBA和巴西开放银行。 我们也支持CIBA ping模式。 感谢纪松隆,谁在FAPI CIBA上做了大部分工作，谁是 不断为Keycloak项目做一份非常棒的工作。 也要感谢米什丘克, 安德里·穆拉什金,Hryhorii Hevorkian和莱昂纳多·博尔托利,他做了很多 FAPI合规性的工作也是如此。 最后感谢所有的成员FAPI特殊利益小组感谢他们的帮助和反馈。

Keycloak服务器现在拥有对客户端策略和金融级API (FAPI) 的官方支持。 此功能在早期版本中已预览，但现在 它更加精致，并有适当的记录。 感谢纪松隆,他在这方面做了大部分工作。 也谢谢 到米什丘克,安德里·穆拉什金和Hryhorii Hevorkian,他也为此功能做了大量工作。 最后感谢所有的成员FAPI特殊利益小组感谢他们的帮助和反馈。

在此版本中，按顺序对用户配置文件SPI进行了一些改进 准备如何在Keycloak中管理用户配置文件。

这些改进之一是支持通过管理控制台配置用户配置文件。 更多信息 详细信息继续到服务器管理指南

感谢社区和所有参与这项工作的个人。

离线会话预加载已经改进，应该更快，这要归功于彼得·弗林托姆。

作为预览功能，可以跳过离线会话预加载，以支持延迟加载感谢 到托马斯·达里蒙特的努力。 此功能必须明确 在服务器配置中激活，有关详细信息，请参阅服务器管理指南。

Keycloak服务器已升级为使用Wildfly 23.0.2.Final作为基础容器。

支持OAuth 2.0设备授权授权现在可用。

感谢和田裕之,Ł ukasz Dywicki 和Okai道人。

现在支持OpenID Connect客户端发起的反向通道身份验证 (CIBA)。

感谢纪松隆, 安德里·穆拉什金,克里斯托夫·兰诺伊以及FAPI工作组的成员进行实施和反馈。

Keycloak现在支持使用SAML与客户端通信神器绑定。 一个新的强制伪影绑定选项 是在客户端配置中引入的，它使用工件消息强制与客户端通信。 更多信息 详细信息继续到服务器管理指南。 请注意，与 这个版本，Keycloak SAML客户端适配器不支持工件绑定。

感谢阿利斯泰尔·多斯瓦尔德和harture。

Keycloak现在可以在代理外部OpenID Connect IdP时利用PKCE。

感谢托马斯达里蒙特。

默认角色现在在内部存储为通常命名的新角色的复合角色默认-角色-<真实名称>。 而不是分配 realm和所有客户端默认角色都直接给新创建的用户或通过Identity Brokering导入的用户，只是角色是 分配给他们，其余的默认角色被分配为有效角色。 此更改提高了默认角色处理的性能， 尤其是对于更多的客户，因为不再需要遍历所有客户。

简介新的和即将到来的Keycloak.X发行版的预览。 该配电由Quarkus提供动力，带来 大大改善了启动时间和内存消耗，并使配置Keycloak变得更加容易。

新的帐户控制台不再是预览功能，现在是Keycloak中的默认帐户控制台。 旧账户 控制台会停留一段时间。 对于那些具有旧帐户控制台自定义主题的用户，旧控制台 默认情况下将使用，让您有时间将您的自定义主题更新到新帐户控制台。

现在支持OpenID Connect后通道注销，这要归功于达斯穆和 本杰明37。

Keycloak服务器已升级为使用Wildfly 21作为底层容器。

已添加对SAML身份提供程序发出的身份验证请求中AuthnContext部分的规范的支持。

感谢lscorcia

为了支持金融级API读写API安全配置文件 (FAPI RW)，已经做了很多工作。 这是可用的 随着客户端策略的使用，它仍然处于预览状态。 您可以期望在下一个版本中进行更多的抛光。 感谢纪松隆和所有的成员FAPI特殊利益小组。

Keycloak登录主题组件已升级到PatternFly 4。 旧的PatternFly 3与新的PatternFly 3同时运行，因此有可能在那里安装PF3组件。

登录主题也有设计更改，以获得更好的用户体验。 您甚至可以为您的自定义身份提供者定义一个图标。 有关详细信息，请参阅文档。

看门人11月21日到了生命的尽头。 这意味着我们不再支持或更新它。 公告可用这里。

增加了对LDAPv3密码修改操作的支持。 还有在管理控制台中从配置的 LDAP服务器，看看它是否支持LDAPv3密码修改操作。

感谢cachescrubber

对LDAP组映射器的命名空间支持允许您从Keycloak组树的指定分支 (命名空间) 下的LDAP映射组。 以前，LDAP中的组始终被添加为Keycloak中的顶级组。

感谢托尔斯滕·尤尔格莱

Keycloak服务器已升级为使用WildFly 20.0.1。最终在封面下。 有关更多详细信息， 请看看升级指南。

的SameSite值无对于JSESSIONIDcookie对于Keycloak SAML适配器的正确行为是必需的。 使用不同的值会导致容器的会话重置，每个请求都需要Keycloak，当 使用SAML POST binging。 请参阅以下步骤 野蝇和 Tomcat保持正确的行为。 请注意，这个 解决方法也应该与以前版本的适配器一起使用。

通过身份代理同步模式，现在可以控制用户配置文件是否在第一次登录时更新，或者 来自外部身份提供商的每次登录。 也可以在单个映射器上覆盖此行为。

感谢马丁·伊德尔

通常，SSO会话会持续几天 (如果不是几个月)，而理想情况下，单个客户端会话应该短得多。 随着客户端会话超时的引入，现在可以为单个客户端配置单独的超时， 以及一个领域内所有客户端的默认值。

感谢田方佳之

对于使用Keycloak作为OAuth 2.0授权服务器的应用程序，现在支持撤销刷新令牌 通过令牌撤销端点。

感谢田方佳之

引入了新的SPI，以在响应上设置与安全相关的标头时提供更好的灵活性。 这提供了 Keycloak中的更简洁的实现，但如果需要，还允许完全自定义。 现在设置安全头 通过响应过滤器而不是在代码本身内，这使得它不太容易出错，消除了 有些响应缺少标头。

Keycloak服务器已升级为在封面下使用WildFly 19。

已从JavaScript适配器中删除了promiseType init选项。 取而代之的是支持 返回本机promise API和旧版Keycloak promise API。 这允许逐步迁移 从遗留/不推荐使用的API到本机promise API的应用程序。

在9.0.0中，对localeeselectorspi引入了一个突破性的API更改。 使用9.0.1更改为 此API现在被还原，并且引入了新的LocaleUpdatorSPI。

在以前的版本中，Spring Boot应用程序必须手动实现KeycloakConfigResolver接口或扩展 内置组织。keycloak。适配器。springboot。KeycloakSpringBootConfigResolver。

此版本通过在没有提供实例的情况下自动解析实例来修复向后兼容性问题。 以及仍然 允许应用程序提供自己的配置解析器实现。

在弃用期之后，Drools策略最终被删除。 如果您需要更复杂的策略，您仍然可以使用基于JavaScript的策略。

分页支持已添加到管理控制台和REST API中的客户端。 感谢赛博94。

已添加了一个新的内置保管库提供商，该提供商可以从密钥库支持的Elytron凭据存储中读取秘密，作为WildFly 延。 凭证存储的创建和管理由Elytron使用elytron子系统或 elytron-tool.sh脚本。

在此版本中，我们对身份验证流程进行了一些可用性改进。 最终用户应该更容易在 双因素身份验证的可用身份验证机制。 用OTP或WebAuthn登录应该更直观 考虑到用户可以拥有更多OTP或WebAuthn凭据的事实。 还有更好的支持无密码WebAuthn身份验证。 最后，我们对与身份验证流程相关的缺陷进行了一些工作。

对如何选择登录页面的区域设置以及区域设置的时间进行了许多改进 为用户更新。

请参阅服务器管理指南有关更多详细信息。

从80版开始，谷歌浏览器将更改SameSitecookie参数到Lax。 因此，需要对几个Keycloak cookie (特别是那些在 使用iframe检查会话状态的Javascript适配器) 来设置SameSite参数到无。 请注意 此设置还需要设置安全参数，因此从这个版本开始，Javascript 仅当在Keycloak侧使用SSL / TLS连接时，适配器才会完全起作用。

此版本修复了Keycloak 7中引入的LDAP中的一个严重漏洞。 如果您使用的是Keycloak 7.0.0、7.0.1或 8.0.0在生产中，我们强烈建议您立即升级。

升级到WildFly 18.0.1.Final，其中包括对第三方库中许多CVEs的更新。

几个配置字段可以从 一个vault，而不是直接输入值: LDAP绑定密码， SMTP密码和身份提供者秘密。

此外，还引入了新的vault SPI来实现开发 从自定义金库访问秘密的扩展。

已将固定主机名提供程序和请求主机名提供程序替换为单个新的默认主机名提供程序。 该提供商 附带了许多改进，包括:

主题资源中的消息束使自定义提供者 (例如身份验证器) 国际化。 它们还在所有主题类型之间共享，例如，可以在登录和帐户控制台之间共享消息。 感谢胶束。

我们添加了一个新的SPI，它允许配置SAML适配器用来映射的自定义角色映射器 从SAML断言中提取的角色转换为SP应用程序环境中存在的角色。 这特别有用 当适配器需要与第三方IDP通信，并且IDP在断言中设置的角色不对应 为SP应用程序定义的角色。 要使用的提供程序可以在keycloak-saml.xml 文件或在Keycloak-saml子系统。 根据属性的内容执行角色映射的实现 还提供了文件。

请注意，当Keycloak充当IDP时，我们可以使用内置的角色映射器来执行任何必要的映射 在将角色设置为断言之前，因此在这种情况下，此SPI可能是多余的。 的角色映射提供程序 SPI是为IDP无法在将角色添加到断言之前无法映射角色的情况而设计的。

Keycloak服务器已升级为在封面下使用WildFly 18。

在此版本中，我们添加了对W3C Web身份验证 (WebAuthn) 的初始支持。 目前的实施有一些限制， 然而，我们正在努力进一步改进这一领域。 感谢特诺里玛特为了贡献。 也要感谢 ynojima寻求帮助和反馈。

随着W3C Web身份验证支持的到来，我们改进了身份验证流程系统，使用户能够选择登录时首选的身份验证方法 (例如，在OTP凭据和WebAuthn凭据之间进行选择)。 新机制还允许管理员 为无密码登录制作流程，例如仅使用WebAuthn作为身份验证方法。 请注意，通过这些更改，任何自定义身份验证 您创建的流可能需要适应新的流逻辑。

由于这些更改，用户现在可以拥有多个OTP设备和多个WebAuthn设备。 允许用户 要选择登录期间要使用的设备类型，还允许该用户选择要使用的特定设备。 多亏了云信托团队: 阿利斯泰尔·多斯瓦尔德,sispeo和弗拉特感谢他们的贡献，以及 到harture和洛朗感谢他们的帮助。

现在可以在theme.properties文件中使用系统属性和环境变量。 感谢Opa-

感谢特诺里玛特,我们支持更多的签名算法，用于带有签名JWT的客户端身份验证。

在此版本中，添加了使用签名的JWT或基本身份验证对OIDC提供商进行身份验证的可能性。 所以所有的客户 中提到的身份验证方法OIDC规范 现在支持。 感谢madgaet和拉迪伦为了捐款。

感谢jonkoops现在可以为JS适配器启用或禁用日志记录。

删除了在JavaScript适配器中提供客户端凭据的选项。 感谢jonkoops

请看看7.0.1发行说明有关现在如何部署和运行脚本以自定义特定行为的更多详细信息。

Keycloak服务器已升级为在封面下使用WildFly 17。

用于Apache Tomcat 8和Apache Tomcat 9的Java适配器已统一，现在它为两者提供服务。

在新帐户控制台和帐户REST API上已经做了很多工作。 它还没有完全准备好，但是它正在 希望能完全完成Keycloak 8。

Keycloak可以根据Json Web加密 (JWE) 规范支持签名和加密的ID令牌。 感谢特诺里玛特。

Keycloak团队在测试和发布Keycloak和 红帽单点登录。

Keycloak现在启用了SmallRye健康和指标扩展，它提供了标准的健康和指标 端点。 我们将很快添加一些文档以及Keycloak特定的指标。

授权服务现在支持UMA 2.0。 查看文档以获取更多详细信息 如果你来自以前版本的Keycloak。

客户端应用程序现在能够向Keycloak发送任意声明以及授权请求，以便 根据这些声明评估权限。 这是一个非常方便的补充，当访问 应在特定事务的范围内或基于有关运行时的信息授予 (或拒绝)。

现在可以将属性与Keycloak保护的资源相关联，并使用这些相同的属性来评估权限 从你的政策中。

在某些情况下，您可能只想将常规访问令牌发送到资源服务器，但仍然能够对这些资源实施策略。

此版本引入的主要更改之一是，您不再需要在 命令访问受资源服务器保护的资源 (不使用UMA时)。 根据策略执行者在资源服务器端的配置方式，您可以只发送常规 访问令牌作为承载令牌和权限仍将被强制执行。

到目前为止，在部署配置有政策执行者,策略执行者将加载所有受保护的路径 从服务器或仅从适配器配置映射这些路径。 用户现在可以决定从服务器按需加载路径，并避免 在适配器配置中映射这些资源。 根据您拥有的受保护资源数量，此功能还可以延长 部署应用程序。

为了避免对服务器不必要的命中，策略执行者缓存受保护资源与其相应路径之间的映射 在你的申请中。 用户现在可以配置缓存的行为，甚至完全禁用它。

的政策执行者适配器上的定义 (Keycloak。json) 也进行了更新，以支持推送索赔的概念。 那里 你有一个概念索赔-信息-点可以设置为推送来自不同来源的声明，例如HTTP请求，甚至 从外部HTTP服务。

用于在Keycloak中实现策略 (尤其是JavaScript和Drools策略) 的评估API现在提供了以下方法:

UMA 2.0现在支持授权服务，包括支持用户通过以下方式管理用户访问 帐户管理控制台。 还有其他对授权服务的补充和改进。

客户端现在可以推送其他声明，并在评估权限时让策略使用它们。

现在可以在资源上定义属性，以便在评估权限时让策略使用它们。

我们现在支持Spring Boot 2。

我们现在支持Fuse 7。

JavaScript适配器现在支持原生承诺。 它也保留了对旧风格承诺的支持。 两者都可以互换使用。

现在可以将特定于Cordova的选项传递给JavaScript适配器中的登录和其他方法。 感谢loorent为了贡献。