リリースノート

Red Hat Single Sign-On 7.6

Red Hat Single Sign-On 7.6 向け

概要

本ガイドは、Red Hat Single Sign-On のリリースノートとして作成されています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。これは大規模な取り組みであるため、これらの変更は今後の複数のリリースで段階的に実施されます。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。

第1章 Red Hat Single Sign-On 7.6.0.GA

1.1. 概要

Red Hat は、Red Hat Single Sign-On (RH-SSO) のバージョン 7.6 のリリースを発表します。RH-SSO は Keycloak プロジェクトをベースとしており、OpenID Connect、OAuth 2.0、SAML 2.0 などの一般的な標準仕様に基づいて Web SSO 機能を提供することで、Web アプリケーションのセキュリティーを保護します。RH-SSO サーバーは OpenID Connect または SAML ベースの ID プロバイダー (IdP )として機能し、エンタープライズユーザーディレクトリーまたはサードパーティー IdP が標準仕様ベースのセキュリティートークンを使用してアプリケーションを保護できるようにします。

注記

IBM Z および IBM Power Systems 向けの Red Hat Single Sign-On は、OpenShift 環境でのみサポートされます。IBM Z および IBM Power Systems でのベアメタルインストールはサポートされていません。

以下の注記は RH-SSO 7.6 リリースに適用されます。

1.2. 新機能または改善された機能

1.2.1. 段階的な認証

Red Hat Single Sign-On が段階的な認証をサポートするようになりました。詳細は、Server Administration Guide を参照してください。

1.2.2. クライアントシークレットのローテーション

Red Hat Single Sign-On は、顧客のポリシーによるクライアントシークレットのローテーションをサポートするようになりました。この機能はプレビュー機能として利用でき、レルムポリシーで機密クライアントを指定できるようになり、最大 2 つのシークレットを同時に使用できるようになりました。

詳細は、Server Administration Guide を参照してください。

1.2.3. リカバリーコード

リカバリーコードは、二要素認証を行う別の方法として、プレビュー機能として利用できるようになりました。

1.2.4. OpenID Connect ログアウト時の改善

Red Hat Single Sign-On がすべての OpenID Connect ログアウト仕様に完全に準拠するように、いくつかの修正および改善が行われました。

  • OpenID Connect RP-Initiated Logout 1.0
  • OpenID Connect Front-Channel Logout 1.0
  • OpenID Connect Back-Channel Logout 1.0
  • OpenID Connect Session Management 1.0

詳細は、Server Administration Guide を参照してください。

1.2.5. WebAuthn の改善

WebAuthn は、テクノロジープレビュー機能ではなくなりました。今回、完全にサポートされるようになりました。

また、Red Hat Single Sign-On は WebAuthn IDレス認証をサポートするようになりました。この機能により、セキュリティーキーが常駐キーをサポートする限り、WebAuthn セキュリティーキーが認証中にユーザーを識別できます。詳細は、Server Administration Guide を参照してください。

1.2.6. セッションの制限

Red Hat Single Sign-On は、ユーザーが持つことができるセッション数の制限をサポートするようになりました。制限は、レルムレベルまたはクライアントレベルで配置できます。

詳細は、Server Administration Guide を参照してください。

1.2.7. SAML ECP プロファイルがデフォルトで無効

SAML ECP プロファイルを悪用するリスクを軽減するために、Red Hat Single Sign-On は明示的にこれを許可しないすべての SAML クライアントに対してこのフローをブロックするようになりました。このプロファイルは、クライアント設定内で Allow ECP Flow フラグを使用して有効にできます。Server Administration Guide を参照してください。

1.2.8. その他の改善点

  • アカウントコンソールが最新の PatternFly リリースと整合。
  • 暗号化されたユーザー情報エンドポイント応答のサポート。
  • 暗号化キーに使用される A256GCM を使用したアルゴリズム RSA-OAEP のサポート。
  • GitHub Enterprise サーバーでのログインのサポート。

1.3. 既存のテクノロジープレビュー機能

以下の機能は引き続きテクノロジープレビューのステータスになります。

  • クロスサイトデータレプリケーション
  • トークンの交換
  • 詳細な承認パーミッション

1.4. 削除済みまたは非推奨の機能

これらの機能のステータスが変更になりました。

  • Keycloak CR の podDisruptionBudget フィールドは非推奨となり、Operator が OpenShift 4.12 以降にデプロイされると無視されます。回避策として、Upgrading Guide を参照してください。
  • 非推奨の upload-script 機能が削除されました。
  • Red Hat Enterprise Linux 6 (RHEL 6) での Red Hat Single Sign-On (RH-SSO) のサポートは非推奨になり、RH-SSO の 7.6 リリースは RHEL 6 ではサポートされなくなります。RHEL 6 は 2020 年 11 月 30 日にライフサイクルの ELS フェーズに入り、RH-SSO が依存する Red Hat JBoss Enterprise Application Platform (EAP) は、EAP7.4リリースでRHEL 6 のサポートを終了します。お客様は、RHEL 7 または 8 バージョンに RH-SSO 7.6 のアップグレードをデプロイする必要があります。
  • Spring Boot アダプターは非推奨となり、RH-SSO の 8.0 以降のバージョンには含まれません。このアダプターは、RH-SSO 7.x のライフサイクル期間、メンテナンスされます。ユーザーは Spring Security に移行して、Spring Boot アプリケーションを RH-SSO と統合する必要があります。
  • RPM からのインストールは非推奨になりました。Red Hat Single Sign-On は、7.x 製品の有効期間中も引き続き RPM を提供しますが、次のメジャーバージョンでは RPM は配信されません。製品は、引き続き ZIP ファイルからのインストールと、OpenShift でのインストールを引き続きサポートします。
  • Eclipse OpenJ9 における Red Hat Single Sign-On for OpenShift が非推奨になりました。ただし、OpenShift の Red Hat Single Sign-On は、Red Hat Single Sign-On for OpenShift Guideで説明されているように、すべてのプラットフォーム(x86、IBM Z、および IBM Power Systems)をサポートするようになりました。この変更の詳細は、Java Change in PPC and s390x OpenShift Images を参照してください。
  • 承認サービスの Drools ポリシーが削除されました。

1.5. 修正された問題

RH-SSO 7.5 から 7.6.0 で修正された問題の詳細は、RHSSO 7.6.0 Fixed Issues を参照してください。

7.6.0 リリース後に、Red Hat Single Sign-On Operator のパッチリリースを導入し、Operator を使用した 7.5.2 から 7.6.0 へのアップグレードを妨げる 重大な問題 を修正しました。詳細および注意点については、Upgrading Guide を参照してください。

1.6. 既知の問題

本リリースには、以下の既知の問題が含まれています。

  • KEYCLOAK-18115: RHSSO 7.4.6 で拒否された属性の編集を試行

1.7. サポートされる構成

RH-SSO Server 7.6 でサポートされる機能および設定の一覧は、カスタマーポータルで確認できます。

1.8. コンポーネントのバージョン

RH-SSO 7.6 でサポートされるコンポーネントのバージョンの一覧は、カスタマーポータルで確認できます。

1.9. Red Hat OpenShift の Red Hat Single Sign-On メータリングラベル

メータリングラベルを Red Hat Single Sign-On に追加し、OpenShift Metering Operator を使用して Red Hat サブスクリプションの詳細を確認できます。

注記

メータリングラベルは、Operator がデプロイおよび管理する Pod に追加しないでください。

Red Hat Single Sign-On では、以下のメータリングラベルを使用できます。

  • com.redhat.component-name: Red Hat Single Sign-On
  • com.redhat.component-type: application
  • com.redhat.component-version: 7.6
  • com.redhat.product-name: "Red_Hat_Runtimes"
  • com.redhat.product-version: 2020/Q2