リリースノート
Red Hat Single Sign-On 7.6 向け
概要
多様性を受け入れるオープンソースの強化
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。
第1章 Red Hat Single Sign-On 7.6.0.GA
1.1. 概要
Red Hat は、Red Hat Single Sign-On (RH-SSO) のバージョン 7.6 のリリースを発表します。RH-SSO は Keycloak プロジェクトをベースとしており、OpenID Connect、OAuth 2.0、SAML 2.0 などの一般的な標準仕様に基づいて Web SSO 機能を提供することで、Web アプリケーションのセキュリティーを保護します。RH-SSO サーバーは OpenID Connect または SAML ベースの ID プロバイダー (IdP) として機能し、エンタープライズユーザーディレクトリーまたはサードパーティー IdP が標準仕様ベースのセキュリティートークンを使用してアプリケーションを保護できるようにします。
IBM Z および IBM Power Systems 向けの Red Hat Single Sign-On は、OpenShift 環境でのみサポートされます。IBM Z および IBM Power Systems でのベアメタルインストールはサポートされていません。
以下の注記は RH-SSO 7.6 リリースに適用されます。
1.2. 新機能または改善された機能
1.2.1. ステップアップ認証
Red Hat Single Sign-On がステップアップ認証をサポートするようになりました。詳細は、サーバー管理ガイド を参照してください。
1.2.2. クライアントシークレットのローテーション
Red Hat Single Sign-On は、顧客のポリシーによるクライアントシークレットのローテーションをサポートするようになりました。この機能はプレビュー機能として利用でき、レルムポリシーでコンフィデンシャルクライアントを指定できるようになり、最大 2 つのシークレットを同時に使用できるようになりました。
詳細は、サーバー管理ガイド を参照してください。
1.2.3. リカバリーコード
二要素認証を行う別の方法として、リカバリーコードがプレビュー機能として利用できるようになりました。
1.2.4. OpenID Connect ログアウト時の改善
Red Hat Single Sign-On がすべての OpenID Connect ログアウト仕様に完全に準拠するように、いくつかの修正および改善が行われました。
- OpenID Connect RP-Initiated Logout 1.0
- OpenID Connect Front-Channel Logout 1.0
- OpenID Connect Back-Channel Logout 1.0
- OpenID Connect Session Management 1.0
詳細は、サーバー管理ガイド を参照してください。
1.2.5. WebAuthn の改善
WebAuthn は、テクノロジープレビュー機能ではなくなりました。今回、完全にサポートされるようになりました。
また、Red Hat Single Sign-On は WebAuthn ID レス認証をサポートするようになりました。この機能により、セキュリティーキーが常駐キーをサポートする限り、WebAuthn セキュリティーキーが認証中にユーザーを識別できます。詳細は、サーバー管理ガイド を参照してください。
1.2.6. セッションの制限
Red Hat Single Sign-On は、ユーザーが持つことができるセッション数の制限をサポートするようになりました。制限は、レルムレベルまたはクライアントレベルで配置できます。
詳細は、サーバー管理ガイド を参照してください。
1.2.7. SAML ECP プロファイルがデフォルトで無効
SAML ECP プロファイルを悪用するリスクを軽減するために、Red Hat Single Sign-On は明示的にこれを許可しないすべての SAML クライアントに対してこのフローをブロックするようになりました。このプロファイルは、クライアント設定内で Allow ECP Flow フラグを使用して有効にできます。サーバー管理ガイド を参照してください。
1.2.8. その他の改善点
- アカウントコンソールが最新の PatternFly リリースと整合。
- 暗号化されたユーザー情報エンドポイント応答のサポート。
- 暗号化キーに使用される A256GCM を使用したアルゴリズム RSA-OAEP のサポート。
- GitHub Enterprise サーバーでのログインのサポート。
1.3. 既存のテクノロジープレビュー機能
以下の機能は引き続きテクノロジープレビューのステータスになります。
- トークンの交換
- 詳細な認可パーミッション
1.4. 削除された機能または非推奨の機能
これらの機能のステータスが変更になりました。
Red Hat Single Sign-On 7.2 でテクノロジープレビュー機能として導入されたクロスサイトレプリケーションは、最新の RH-SSO 7.6 リリースを含む Red Hat SSO 7.x リリースでサポート機能として利用できなくなりました。Red Hat は、この機能がサポートされていないため、お使いの環境でこの機能を実装したり、使用したりすることは推奨しません。また、この機能のサポート例外は考慮されず、受け入れられなくなりました。
クロスサイトレプリケーションの新しいソリューションについて議論されており、Keycloak (RHBK) の Red Hat ビルドの将来のリリースで暫定的に検討されています。これは、Red Hat SSO 8 の代わりに導入される製品です。詳細は近日中にお知らせいたします。
-
Keycloak CR の
podDisruptionBudget
フィールドは非推奨となり、Operator が OpenShift 4.12 以降にデプロイされると無視されます。回避策として、アップグレードガイド を参照してください。 -
非推奨の
upload-script
機能が削除されました。 - Red Hat Enterprise Linux 6 (RHEL 6) では Red Hat Single Sign-On (RH-SSO) のサポートが非推奨になり、RH-SSO の 7.6 リリースは RHEL 6 ではサポートされなくなります。RHEL 6 は 2020 年 11 月 30 日にライフサイクルの ELS フェーズに入り、RH-SSO が依存する Red Hat JBoss Enterprise Application Platform (EAP) は、EAP7.4 リリースで RHEL 6 のサポートを終了します。お客様は、RHEL 7 または 8 バージョンに RH-SSO 7.6 のアップグレードをデプロイする必要があります。
- Spring Boot アダプターは非推奨となり、RH-SSO の 8.0 以降のバージョンには含まれません。このアダプターは、RH-SSO 7.x のライフサイクル期間、メンテナンスされます。ユーザーは Spring Security に移行して、Spring Boot アプリケーションを RH-SSO と統合する必要があります。
- RPM からのインストールは非推奨になりました。Red Hat Single Sign-On は、7.x 製品の有効期間中も引き続き RPM を提供しますが、次のメジャーバージョンでは RPM は配信されません。製品は、引き続き ZIP ファイルからのインストールと、OpenShift でのインストールを引き続きサポートします。
- Eclipse OpenJ9 における Red Hat Single Sign-On for OpenShift が非推奨になりました。ただし、OpenShift の Red Hat Single Sign-On は、Red Hat Single Sign-On for OpenShift ガイド で説明されているように、すべてのプラットフォーム (x86、IBM Z、および IBM Power Systems) をサポートするようになりました。この変更の詳細は、Java Change in PPC and s390x OpenShift Images を参照してください。
- 認可サービスの Drools ポリシーが削除されました。
1.5. 修正された問題
RH-SSO 7.5 と 7.6.0 の間で修正された問題の詳細は、RHSSO 7.6.0 で修正された問題 を参照してください。
7.6.0 リリース後に、Red Hat Single Sign-On Operator のパッチリリースを導入し、Operator を使用した 7.5.2 から 7.6.0 へのアップグレードを妨げる 重大な問題 を修正しました。詳細および注意点は、アップグレードガイド を参照してください。
1.6. 既知の問題
このリリースには、以下の既知の問題が含まれています。
- KEYCLOAK-18115: RHSSO 7.4.6 で拒否された属性の編集を試行
1.7. サポートされる構成
RH-SSO Server 7.6 でサポートされる機能および設定の一覧は、カスタマーポータル で確認できます。
1.8. コンポーネントのバージョン
RH-SSO 7.6 でサポートされるコンポーネントのバージョンの一覧は、カスタマーポータル で確認できます。
1.9. Red Hat OpenShift の Red Hat Single Sign-On メータリングラベル
メータリングラベルを Red Hat Single Sign-On に追加し、OpenShift Metering Operator を使用して Red Hat サブスクリプションの詳細を確認できます。
メータリングラベルは、Operator がデプロイおよび管理する Pod に追加しないでください。
Red Hat Single Sign-On では、以下のメータリングラベルを使用できます。
-
com.redhat.component-name: Red Hat Single Sign-On
-
com.redhat.component-type: application
-
com.redhat.component-version: 7.6
-
com.redhat.product-name: "Red_Hat_Runtimes"
-
com.redhat.product-version: 2020/Q2