릴리스 노트

Red Hat Single Sign-On 7.5

Red Hat Single Sign-On 7.5 사용

Red Hat Customer Content Services

초록

이 안내서는 Red Hat Single Sign-On의 릴리스 노트로 구성되어 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 용어를 교체하기 위해 최선을 다하고 있습니다. 먼저 마스터(master), 슬레이브(slave), 블랙리스트(blacklist), 화이트리스트(whitelist) 등 네 가지 용어를 교체하고 있습니다. 이러한 변경 작업은 작업 범위가 크므로 향후 여러 릴리스에 걸쳐 점차 구현할 예정입니다. 자세한 내용은 CTO Chris Wright의 메시지를 참조하십시오.

1장. Red Hat Single Sign-On 7.5.0.GA

1.1. 개요

Red Hat은 RH-SSO(Red Hat Single Sign-On) 버전 7.5 릴리스를 발표하게 된 것을 자랑스럽게 생각합니다. RH-SSO는 Keycloak 프로젝트를 기반으로 하며 OpenID Connect, OAuth 2.0 및 SAML 2.0과 같은 일반적인 표준을 기반으로 웹 SSO 기능을 제공하여 웹 애플리케이션을 보호할 수 있습니다. RH-SSO 서버는 OpenID Connect 또는 SAML 기반 ID 공급자(IdP) 역할을 하므로 엔터프라이즈 사용자 디렉터리 또는 타사 IdP가 표준 기반 보안 토큰을 통해 애플리케이션을 보호할 수 있습니다.

참고

IBM Z 및 IBM Power Systems용 Red Hat Single Sign-On은 OpenShift 환경에서만 지원됩니다. IBM Z 및 IBM Power Systems에 베어 메탈 설치는 지원되지 않습니다.

다음 노트는 RH-SSO 7.5 릴리스에 적용됩니다.

1.2. 신규 또는 개선된 기능

1.2.1. 금융 등급 API, FAPI CIBA 및 Open banking Brasil

Red Hat Single Sign-On 서버는 financial-grade API(FAPI)를 지원합니다. Red Hat Single Sign-On은 OpenID Connect Client Initiated Backchannel Authentication (CIBA) 및 OpenBanking Brasil을 준수합니다. CIBA ping 모드도 지원됩니다.

Red Hat Single Sign-On 서버가 클라이언트의 보안을 강화하고 FAPI를 준수하도록 FAPI 클라이언트 정책을 구성할 수 있습니다. 이러한 정책은 클라이언트에 대한 SSL 요구 사항 및 보안 리디렉션 URI와 같은 보안 모범 사례를 보장합니다. 자세한 내용은 애플리케이션 및 서비스 보안 가이드의 FAPI 섹션을 참조하십시오.

1.2.2. 새 계정 콘솔

이전에 사용자 계정 서비스라고 하는 계정 콘솔이 수정되었으며 이제 Red Hat Single Sign-On의 기본 계정 콘솔입니다. 그러나 사용자 계정 서비스에 대한 사용자 정의 테마가 있는 경우 해당 콘솔은 이 릴리스의 기본 콘솔로 유지됩니다. 따라서 사용자 지정 주제를 새 계정 콘솔로 업데이트할 시간이 있습니다.

새 콘솔은 GZip을 사용하여 아티팩트 다운로드를 최적화합니다.

1.2.3. PatternFly 4로 로그인 테마 업그레이드

Red Hat Single Sign-On 로그인 테마 구성 요소가 PatternFly 4로 업그레이드되었습니다. PatternFly 3은 새 버전과 동시에 실행되므로 PatternFly 3 구성 요소가 공존할 수 있습니다.

또한 로그인 테마는 더 나은 사용자 환경을 제공하며 사용자 정의 ID 공급자의 아이콘을 정의할 수 있습니다. 자세한 내용은 서버 개발자 가이드를 참조하십시오.

1.2.4. 사용자는 자신의 계정을 삭제할 수 있습니다

지정된 영역의 사용자가 계정 콘솔을 통해 자체 계정을 삭제할 수 있도록 허용할 수 있습니다. 이 기능은 관리 콘솔의 계정 삭제 작업으로 활성화됩니다.

1.2.5. ID 브로커 동기화 모드

ID 브로커링 동기화 모드를 사용하면 첫 번째 로그인 시 또는 외부 ID 공급자의 모든 로그인 시 사용자 프로필이 업데이트되었는지 제어할 수 있습니다. 개별 매퍼에서 이 동작을 재정의할 수도 있습니다.

1.2.6. OpenID Connect / OAuth 2.0의 클라이언트 세션 시간 초과

일반적으로 SSO 세션은 며칠 또는 몇 개월 동안 지속되지만 개별 클라이언트 세션은 이상적으로 더 짧아야 합니다. 이제 개별 클라이언트에 대해 별도의 시간 초과와 영역 내의 모든 클라이언트의 기본값을 구성할 수 있습니다.

오프라인 토큰이 만료되고 무효화되기 전 최대 시간을 결정하는 클라이언트 오프라인 세션 시간 제한을 구성할 수도 있습니다.

1.2.7. OAuth 2.0 토큰 취소 (RFC7009)

Red Hat Single Sign-On을 OAuth 2.0 인증 서버로 사용하는 애플리케이션의 경우 토큰 해지 엔드포인트를 통해 새로 고침 토큰을 취소할 수 있습니다.

1.2.8. OAuth 2.0 장치 권한 부여 (RFC 8628)

OAuth 2.0 장치 권한 부여 지원을 사용할 수 있습니다.

1.2.9. OpenID Connect Back-channel logout

OpenID Connect Back-Channel Logout에 대한 지원이 제공됩니다.

1.2.10. 오프라인 세션 개선

오프라인 세션 사전 로드가 개선되어 성능이 빨라졌습니다.

1.2.11. 추가 개선 사항

1.2.11.1. AccessTokenResponse에 대한 사용자 정의 클레임

이제 AccessTokenResponse에 사용자 정의 클레임을 추가할 수 있습니다. 이는 일반적인 개선 사항이지만 미국 규정의 일부인 의료 제공자 표준을 지원합니다.

1.2.11.2. ID 브로커링을 위한 PKCE 지원

Red Hat Single Sign-On은 이제 외부 OpenID Connect ID 공급자에 중개할 때 PKCE를 활용할 수 있습니다.

1.2.11.3. 사용자 프로필 SPI 개선 및 선언적 구성 지원

사용자 프로필 SPI가 사용자 프로필 관리를 보다 쉽게 관리할 수 있도록 개선되었습니다. 이러한 개선 사항에는 Admin Console을 통해 사용자 프로필 구성 지원이 포함됩니다. 자세한 내용은 서버 관리 가이드를참조하십시오.

1.2.11.4. 서버에서 클라이언트 통신에 대한 SAML Artifact 바인딩

Red Hat Single Sign-On은 SAML Artifact 바인딩을 사용하는 클라이언트와의 통신을 지원합니다. 새 Force Artifact Binding 옵션은 클라이언트 구성에서 사용할 수 있습니다. 아티팩트 메시지를 사용하여 클라이언트와 강제로 통신합니다. 자세한 내용은 서버 관리 가이드를 참조하십시오. 이 버전에서는 Red Hat Single Sign-On SAML 클라이언트 어댑터가 Artifact 바인딩을 지원하지 않습니다.

1.2.11.5. 기본 역할 처리 개선

기본 역할은 이제 일반적으로 default-roles-<realmName> 이라는 새 복합 역할로 내부적으로 저장됩니다. 이전에는 영역 역할 및 클라이언트 기본 역할이 새 사용자와 Identity Brokering을 통해 가져온 사용자에게 직접 할당되었습니다. 그러나 이제 복합 역할이 할당되고 기타 기본 역할이 유효한 역할로 할당됩니다. 이러한 변경으로 인해 특히 많은 클라이언트가 있는 기본 역할 처리 성능이 향상됩니다. 더 이상 모든 고객을 통과 할 필요가 없습니다.

1.2.11.6. 이메일 암호 정책 없음

Not Email 정책을 사용하여 이메일 주소와 비밀번호를 허용하지 않을 수 있습니다.

1.2.11.7. http://127.0.0.1를 사용하여 모든 포트에 대한 리디렉션 URI 지원

http://localhost는 임의의 포트에서 HTTP 서버가 시작될 때 콜백으로 사용됩니다. 가장 좋은 방법은 localhost 대신 http://127.0.0.1를 사용하는 것입니다.

1.2.12. 기타 개선 사항

  • Red Hat Single Sign-On JavaScript 어댑터에 추가된 애플리케이션 시작 작업 호출 지원
  • 서명 및 암호화된 ID 토큰에 사용되는 AES 192 및 AES 256 알고리즘 지원.
  • OAuth2 클라이언트 인증 정보에 대한 지원은 새로 고침 토큰 없이 사용자 세션 없이 부여합니다.
  • OAuth2 해지 엔드포인트에 액세스 토큰 전송을 지원합니다.
  • 최대 활성 인증 세션 구성 지원 기본값은 브라우저 세션당 300개의 인증 세션(브라우저 탭)으로 설정됩니다.
  • LDAPv3 암호 수정 작업을 지원하는지 확인하기 위해 구성된 LDAP 서버에서 메타데이터를 요청하는 Admin Console 기능을 포함하여 LDAPv3 암호 수정 작업을 지원합니다.
  • LDAP 그룹 매퍼에 대한 네임스페이스 지원. Red Hat Single Sign-On 그룹 트리의 지정된 분기(네임스페이스) 아래에 LDAP의 그룹을 매핑할 수 있습니다. 이전에는 LDAP의 이전 그룹이 Red Hat Single Sign-On에서 최상위 그룹으로 항상 추가되었습니다.
  • SAML ID 공급자가 발행한 인증 요청에서 AuthnContext 섹션 사양에 대한 지원이 추가되었습니다.
  • 평가 중 리소스 및 정책을 가져오는 성능 개선
  • 역할 매퍼에 대한 새로운 ID 공급자 매퍼인 OIDC Advanced 속성이 SAML 매퍼(Advanced mapper)인 Advanced Claim to Role Mapper에 추가되었습니다. 새 매퍼는 속성 값과 여러 속성 값에 대해 regex를 지원합니다.

1.3. 기존 기술 프리뷰 기능

다음 기능은 기술 프리뷰 상태에 계속 있습니다.

  • 사이트 간 데이터 복제
  • RH-SSO Operator
  • 토큰 교환
  • 세분화된 권한 부여
  • W3C 웹 인증 (WebAuthn)

1.4. 제거되거나 더 이상 사용되지 않는 기능

이러한 기능에는 상태가 변경됩니다.

  • RHEL 6(Red Hat Enterprise Linux 6)에서 RH-SSO(Red Hat Single Sign-On) 지원은 더 이상 사용되지 않으며 RH-SSO의 7.5 릴리스는 RHEL 6에서 지원되지 않습니다. RHEL 6은 2020년 11월 30일에 라이프사이클의 ELS 단계에 진입했으며 RH-SSO가 의존하는 Red Hat JBoss EAP(Enterprise Application Platform)는 EAP 7.4 릴리스와 함께 RHEL 6에 대한 지원이 중단됩니다. 고객은 RHEL 7 또는 8 버전에 RH-SSO 7.5 업그레이드를 배포해야 합니다.
  • Spring Boot Adapter는 더 이상 사용되지 않으며 8.0 이상 버전의 RH-SSO에는 포함되어 있지 않습니다. 이 어댑터는 RH-SSO 7.x 라이프사이클 동안 유지됩니다. 사용자는 Spring Boot 애플리케이션을 RH-SSO와 통합하기 위해 Spring Security로 마이그레이션해야 합니다.
  • RPM에서 설치는 더 이상 사용되지 않습니다. Red Hat Single Sign-On은 7.x 제품의 라이프 사이클 기간 동안 RPM을 계속 제공하지만 다음 주요 버전에서는 RPM을 제공하지 않습니다. 제품은 OpenShift의 ZIP 파일 및 설치에서 설치를 계속 지원합니다.
  • Eclipse OpenJ9의 OpenShift용 Red Hat Single Sign-On은 더 이상 사용되지 않습니다. 그러나 OpenShift의 Red Hat Single Sign-On은 Red Hat Single Sign-On for OpenShift 가이드에 설명된 대로 모든 플랫폼(x86, IBM Z 및 IBM Power Systems)을 지원합니다. 이 변경 사항에 대한 자세한 내용은 PPC의 Java 변경 및 s390x OpenShift 이미지를 참조하십시오.
  • 권한 부여 서비스 Cryostat 정책이 제거되었습니다.
  • admin rest endpoints/console을 통해 스크립트 업로드는 더 이상 사용되지 않습니다. 향후 릴리스에서 제거될 예정입니다.

1.5. 수정된 문제

RH-SSO 7.4와 7.5.0 간에 1,400개 이상의 문제가 해결되었습니다. Jira 필터는 1,000개의 문제만 표시할 수 있으므로 다음 두 가지 수정된 문제 목록을 참조하십시오.

1.6. 확인된 문제

이 릴리스에는 다음과 같은 알려진 문제가 포함되어 있습니다.

  • KEYCLOAK-18115 - RHSSO 7.4.6에서 거부된 특성을 편집하려고 합니다.
  • KEYCLOAK-18338 - 구성된 SSSD를 사용하여 사용자 계정을 업데이트하려고 하면 내부 서버 오류가 발생합니다.
  • KEYCLOAK-18994 - deleteExpiredClientSessions 매우 느린 MariaDB

1.7. 지원되는 구성

RH-SSO Server 7.5에 지원되는 기능 및 구성 세트는 고객 포털에서 사용할 수 있습니다.

1.8. 구성 요소 버전

RH-SSO 7.5에서 지원되는 구성 요소 버전 목록은 고객 포털에서 확인할 수 있습니다.

1.9. Red Hat OpenShift의 Red Hat Single Sign-On 미터링 라벨

Red Hat Single Sign-On Pod에 미터링 레이블을 추가하고 OpenShift Metering Operator를 사용하여 Red Hat 서브스크립션 세부 정보를 확인할 수 있습니다.

참고

Operator가 배포 및 관리하는 Pod에 미터링 라벨을 추가하지 마십시오.

Red Hat Single Sign-On은 다음 미터링 레이블을 사용할 수 있습니다.

  • com.redhat.component-name: Red Hat Single Sign-On
  • com.redhat.component-type: application
  • com.redhat.component-version: 7.5
  • com.redhat.product-name: "Red_Hat_Runtimes"
  • com.redhat.product-version: 2020/Q2

법적 공지

Copyright © 2022 Red Hat, Inc.
Apache License, 버전 2.0("License")에 따라 라이센스가 부여된 경우를 제외하고 이 파일을 사용할 수 없습니다. 라이센스 사본을 얻을 수 있습니다.
관련 법령에서 요구되거나 서면으로 동의하지 않는 한, 라이센스에 따라 배포된 소프트웨어는 "AS IS" BA Cryostat, WARRANTIES 또는 CONDITIONS OF ANY KIND에 배포됩니다. 라이센스 아래의 특정 언어 관리 권한 및 제한 사항은 라이센스를 참조하십시오.