リリースノート

Red Hat Single Sign-On 7.6

Red Hat Single Sign-On 7.6 向け

Red Hat Customer Content Services

概要

このガイドは、Red Hat Single Sign-On のリリースノートとして作成されています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

第1章 Red Hat Single Sign-On 7.6.0.GA

1.1. 概要

Red Hat は、Red Hat Single Sign-On (RH-SSO) のバージョン 7.6 のリリースを発表します。RH-SSO は Keycloak プロジェクトをベースとしており、OpenID Connect、OAuth 2.0、SAML 2.0 などの一般的な標準仕様に基づいて Web SSO 機能を提供することで、Web アプリケーションのセキュリティーを保護します。RH-SSO サーバーは OpenID Connect または SAML ベースの ID プロバイダー (IdP) として機能し、エンタープライズユーザーディレクトリーまたはサードパーティー IdP が標準仕様ベースのセキュリティートークンを使用してアプリケーションを保護できるようにします。

注記

IBM Z および IBM Power Systems 向けの Red Hat Single Sign-On は、OpenShift 環境でのみサポートされます。IBM Z および IBM Power Systems でのベアメタルインストールはサポートされていません。

以下の注記は RH-SSO 7.6 リリースに適用されます。

1.2. 新機能または改善された機能

1.2.1. ステップアップ認証

Red Hat Single Sign-On がステップアップ認証をサポートするようになりました。詳細は、サーバー管理ガイド を参照してください。

1.2.2. クライアントシークレットのローテーション

Red Hat Single Sign-On は、顧客のポリシーによるクライアントシークレットのローテーションをサポートするようになりました。この機能はプレビュー機能として利用でき、レルムポリシーでコンフィデンシャルクライアントを指定できるようになり、最大 2 つのシークレットを同時に使用できるようになりました。

詳細は、サーバー管理ガイド を参照してください。

1.2.3. リカバリーコード

二要素認証を行う別の方法として、リカバリーコードがプレビュー機能として利用できるようになりました。

1.2.4. OpenID Connect ログアウト時の改善

Red Hat Single Sign-On がすべての OpenID Connect ログアウト仕様に完全に準拠するように、いくつかの修正および改善が行われました。

  • OpenID Connect RP-Initiated Logout 1.0
  • OpenID Connect Front-Channel Logout 1.0
  • OpenID Connect Back-Channel Logout 1.0
  • OpenID Connect Session Management 1.0

詳細は、サーバー管理ガイド を参照してください。

1.2.5. WebAuthn の改善

WebAuthn は、テクノロジープレビュー機能ではなくなりました。今回、完全にサポートされるようになりました。

また、Red Hat Single Sign-On は WebAuthn ID レス認証をサポートするようになりました。この機能により、セキュリティーキーが常駐キーをサポートする限り、WebAuthn セキュリティーキーが認証中にユーザーを識別できます。詳細は、サーバー管理ガイド を参照してください。

1.2.6. セッションの制限

Red Hat Single Sign-On は、ユーザーが持つことができるセッション数の制限をサポートするようになりました。制限は、レルムレベルまたはクライアントレベルで配置できます。

詳細は、サーバー管理ガイド を参照してください。

1.2.7. SAML ECP プロファイルがデフォルトで無効

SAML ECP プロファイルを悪用するリスクを軽減するために、Red Hat Single Sign-On は明示的にこれを許可しないすべての SAML クライアントに対してこのフローをブロックするようになりました。このプロファイルは、クライアント設定内で Allow ECP Flow フラグを使用して有効にできます。サーバー管理ガイド を参照してください。

1.2.8. その他の改善点

  • アカウントコンソールが最新の PatternFly リリースと整合。
  • 暗号化されたユーザー情報エンドポイント応答のサポート。
  • 暗号化キーに使用される A256GCM を使用したアルゴリズム RSA-OAEP のサポート。
  • GitHub Enterprise サーバーでのログインのサポート。

1.3. 既存のテクノロジープレビュー機能

以下の機能は引き続きテクノロジープレビューのステータスになります。

  • トークンの交換
  • 詳細な認可パーミッション

1.4. 削除された機能または非推奨の機能

これらの機能のステータスが変更になりました。

  • Red Hat Single Sign-On 7.2 でテクノロジープレビュー機能として導入されたクロスサイトレプリケーションは、最新の RH-SSO 7.6 リリースを含む Red Hat SSO 7.x リリースでサポート機能として利用できなくなりました。Red Hat は、この機能がサポートされていないため、お使いの環境でこの機能を実装したり、使用したりすることは推奨しません。また、この機能のサポート例外は考慮されず、受け入れられなくなりました。

    クロスサイトレプリケーションの新しいソリューションについて議論されており、Keycloak (RHBK) の Red Hat ビルドの将来のリリースで暫定的に検討されています。これは、Red Hat SSO 8 の代わりに導入される製品です。詳細は近日中にお知らせいたします。

  • Keycloak CR の podDisruptionBudget フィールドは非推奨となり、Operator が OpenShift 4.12 以降にデプロイされると無視されます。回避策として、アップグレードガイド を参照してください。
  • 非推奨の upload-script 機能が削除されました。
  • Red Hat Enterprise Linux 6 (RHEL 6) では Red Hat Single Sign-On (RH-SSO) のサポートが非推奨になり、RH-SSO の 7.6 リリースは RHEL 6 ではサポートされなくなります。RHEL 6 は 2020 年 11 月 30 日にライフサイクルの ELS フェーズに入り、RH-SSO が依存する Red Hat JBoss Enterprise Application Platform (EAP) は、EAP7.4 リリースで RHEL 6 のサポートを終了します。お客様は、RHEL 7 または 8 バージョンに RH-SSO 7.6 のアップグレードをデプロイする必要があります。
  • Spring Boot アダプターは非推奨となり、RH-SSO の 8.0 以降のバージョンには含まれません。このアダプターは、RH-SSO 7.x のライフサイクル期間、メンテナンスされます。ユーザーは Spring Security に移行して、Spring Boot アプリケーションを RH-SSO と統合する必要があります。
  • RPM からのインストールは非推奨になりました。Red Hat Single Sign-On は、7.x 製品の有効期間中も引き続き RPM を提供しますが、次のメジャーバージョンでは RPM は配信されません。製品は、引き続き ZIP ファイルからのインストールと、OpenShift でのインストールを引き続きサポートします。
  • Eclipse OpenJ9 における Red Hat Single Sign-On for OpenShift が非推奨になりました。ただし、OpenShift の Red Hat Single Sign-On は、Red Hat Single Sign-On for OpenShift ガイド で説明されているように、すべてのプラットフォーム (x86、IBM Z、および IBM Power Systems) をサポートするようになりました。この変更の詳細は、Java Change in PPC and s390x OpenShift Images を参照してください。
  • 認可サービスの Drools ポリシーが削除されました。

1.5. 修正された問題

RH-SSO 7.5 と 7.6.0 の間で修正された問題の詳細は、RHSSO 7.6.0 で修正された問題 を参照してください。

7.6.0 リリース後に、Red Hat Single Sign-On Operator のパッチリリースを導入し、Operator を使用した 7.5.2 から 7.6.0 へのアップグレードを妨げる 重大な問題 を修正しました。詳細および注意点は、アップグレードガイド を参照してください。

1.6. 既知の問題

このリリースには、以下の既知の問題が含まれています。

  • KEYCLOAK-18115: RHSSO 7.4.6 で拒否された属性の編集を試行

1.7. サポートされる構成

RH-SSO Server 7.6 でサポートされる機能および設定の一覧は、カスタマーポータル で確認できます。

1.8. コンポーネントのバージョン

RH-SSO 7.6 でサポートされるコンポーネントのバージョンの一覧は、カスタマーポータル で確認できます。

1.9. Red Hat OpenShift の Red Hat Single Sign-On メータリングラベル

メータリングラベルを Red Hat Single Sign-On に追加し、OpenShift Metering Operator を使用して Red Hat サブスクリプションの詳細を確認できます。

注記

メータリングラベルは、Operator がデプロイおよび管理する Pod に追加しないでください。

Red Hat Single Sign-On では、以下のメータリングラベルを使用できます。

  • com.redhat.component-name: Red Hat Single Sign-On
  • com.redhat.component-type: application
  • com.redhat.component-version: 7.6
  • com.redhat.product-name: "Red_Hat_Runtimes"
  • com.redhat.product-version: 2020/Q2

関連情報

法律上の通知

Copyright © 2024 Red Hat, Inc.
Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file except in compliance with the License.You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software distributed under the License is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.See the License for the specific language governing permissions and limitations under the License.