Keycloak 24.0.5 リリース
2024年6月4日
リリースをダウンロードするには、Keycloak ダウンロードにアクセスしてください。
ハイライト
client_secret_post ベースの認証を使用する PAR クライアントに関するセキュリティの問題
このリリースには、PAR (Pushed Authorization Request) を使用する一部の OIDC Confidential Client に影響を与える重要なセキュリティ問題の修正が含まれています。OIDC Confidential Client を PAR と共に使用し、HTTP リクエストボディでパラメータとして送信される client_id と client_secret に基づくクライアント認証 (OIDC 仕様で指定された client_secret_post メソッド) を使用している場合は、このバージョンにアップグレードした後、クライアントのクライアントシークレットをローテーションすることを強く推奨します。
アップグレード
アップグレードする前に、変更点の完全なリストについてはマイグレーションガイドを参照してください。
解決済みのすべての課題
機能強化
- #29073 replace retry loop を改善するために cache.compute() メソッドを使用
- #29280 Keycloak 24 Getting Started の Create Realm を更新
バグ
- #29129 JGroups が内部的に "trace" に切り替わったときにログメッセージを作成する dist/quarkus
- #29206 LDAP ユーザー作成がエラーを報告するが、ユーザーは作成される ldap
- #29314 Saml IDP 設定ページで「保存」ボタンを複数回クリックすると、「AuthnContext ClassRefs」の値が破損する admin/ui
- #29458 空の CSP ヘッダー値がセキュリティフィルターを壊す authentication
- #29471 Cypress テストが合格したテストでもビデオを保存する ci
- #29525 Maven clean build が admin client 生成ファイルをクリーンアップしない ci
- #29554 Cypress がビデオ録画で失敗する ci
- #29625 データベースドライバのインストール例が、状況によってはパーミッションエラーを引き起こす可能性がある docs