作者:Alexander Schwartz, Keycloak 维护者
Keycloak 为你的环境带来可扩展且可定制的认证!我们团队很高兴地宣布 Keycloak 26 的发布,此版本再次提升了认证功能,服务于不断壮大的社区。同时,它还简化了管理员自定义、运行和升级 Keycloak 部署的操作。Keycloak 继续作为自托管安全栈的基石,并通过支持开放标准与其他组件良好集成。
请在 KubeCon 北美大会上与我们一起庆祝这一发布!11 月 13-15 日,加入 Keycloak 团队成员,在项目展区讨论所有与 Keycloak 相关的内容(下午开放)。对于对高可用架构感兴趣的朋友,欢迎参加我们在周五 4:55 PM MST 的讲座,由 Ryan Emerson 和 Kamesh Akella 主讲,主题是使用 Keycloak 运行高可用身份和访问管理[1]。
Keycloak 每年发布四个新版本。请继续阅读,了解今年 10 月发布的最新版本 26 的新特性。
简化 Keycloak 的运行和升级
作为一款安全产品,Keycloak 需要保持更新并易于操作。此次发布减少了停机时间,降低了内存占用,并改进了故障排除工具。
在本次发布中,我们新增了以下功能:
TLS 服务器证书的热重载:消除了滚动重启的需求,提高了在线时间。 将登录用户的信息持久化到数据库:支持数百万个长时间运行的会话,可以在 Keycloak 重启和升级时继续使用,并减少内存占用。 管理员用户的标准化引导:即使丢失了之前的管理员凭证,这也提供了一种安全的方法来重新访问 Keycloak 实例。 先进的高可用性概念:我们现在支持在一个区域内从多个可用区提供流量,从而提高部署的可用性。此功能附带了详细的蓝图和操作指南,便于切换和恢复。 OpenTelemetry 跟踪:现在已内置于 Keycloak,作为预览功能,帮助你找到慢请求或失败请求的根本原因。这对调查事件和优化生产环境非常宝贵。
此次发布也是一系列小版本的首个版本,所有可能破坏性更改均为自愿选择。这使得管理员可以无缝快速升级,保持安全修复的同步,同时在稍后启用新功能或迁移配置。
跨组织管理认证
当你托管应用时,通常希望将其扩展到组织外的用户。当你希望将应用作为服务提供给其他公司的员工时,这一点尤为重要。
好消息是,这些员工已经拥有由其组织颁发的日常使用凭证。那么,如何使用这些凭证来认证他们使用你的应用呢?多年来,Keycloak 提供了身份代理功能,你可以利用 SAML 或 OpenID Connect 服务进行用户认证。
在 Keycloak 26 中,我们简化了这一设置,并确保其扩展性更佳。通过将组织作为独立实体引入,你现在可以将电子邮件域与身份提供者及其用户关联。管理员可以创建、禁用和删除组织,并邀请用户。用户可以使用电子邮件地址登录,通过其公司身份提供者进行认证,然后被转发到他们想访问的应用。应用程序知道用户属于哪个组织,并可以调整提供的访问数据。
这简化了 Keycloak 的企业对企业(B2B)和企业对企业对客户(B2B2C)设置,并启用了客户身份和访问管理(CIAM)及多租户功能。可以在几分钟内为新组织入驻,无论该组织的用户数量如何。
更新的 Passkeys 认证功能
Keycloak 提供基于密码和无密码的认证。除了经典的用户名和密码外,还提供基于时间的二次身份验证。对于无密码认证,支持 Kerberos、X.509 证书(例如智能卡)和 WebAuthn。
在 Keycloak 26 中,我们再次更新了 Passkeys 功能。Passkeys 是基于 WebAuthn 技术的现代无密码认证标准。Keycloak 继续实现这一不断发展的标准的特性,并将其作为预览功能。最近新增的条件流改善了用户体验,浏览器会提示用户提供正确的凭证进行认证。
演变中的 OpenID Connect 功能
虽然 OpenID Connect 是标准,但它仍在不断发展,以满足不同行业的需求,从电子商务到银行。
本次 Keycloak 发布的改进包括以下几个方面:
弹性曲线加密:在后量子密码学时代生存,本次发布为令牌添加了椭圆曲线 Diffie-Hellman 瞬态静态(ECDH-ES)头。 所有权证明(DPoP):允许客户端呈现无法伪造的令牌,且不能在当前客户端会话之外使用。这相对于标准的持有人令牌是显著的改进。现在在所有授权类型和用户信息端点上支持,并继续作为预览功能。
感谢所有为此做出贡献的人,特别是在 Keycloak OAuth 特别兴趣小组[2]中的朋友!加入他们的频道 #keycloak-oauth-sig[3],在 CNCF Slack[4] 上获取最新消息并参与他们的工作。
快速前进至下一个发布
下一次功能发布的工作已开始,计划于 2025 年 1 月进行。一些增强功能,如简化云和非云环境的节点发现,已在我们的夜间版本中提供。请在开发环境中尝试,并在我们的邮件列表中提供反馈!2025 年路线图的工作正在进行中,我们希望能够尽快发布。
使用 Keycloak 运行高可用身份和访问管理: https://sched.co/1hoyn
[2]Keycloak OAuth 特别兴趣小组: https://github.com/keycloak/kc-sig-fapi
[3]#keycloak-oauth-sig: https://cloud-native.slack.com/channels/keycloak-oauth-sig
[4]CNCF Slack: https://slack.cncf.io/
点击【阅读原文】阅读网站原文。
CNCF概况(幻灯片)
扫描二维码联系我们!
CNCF (Cloud Native Computing Foundation)成立于2015年12月,隶属于Linux Foundation,是非营利性组织。
CNCF(云原生计算基金会)致力于培育和维护一个厂商中立的开源生态系统,来推广云原生技术。我们通过将最前沿的模式民主化,让这些创新为大众所用。请关注CNCF微信公众号。
