Keycloak 26

Hieronder een aantal opvallende aanpassingen:

- De GELF logging handler is verwijderd uit Keycloak 26. Deze log methode was sinds Keycloak 24 deprecated, en is er nu uit gehaald.

- OpenTelemetry Tracing is ondersteund. Dit maakt het makkelijker om performance optimalisaties uit te voeren en eventuele application failures te debuggen.

- De Keycloak java admin-, authorization- & policy enforcer client libraries volgen vanaf deze versie een onafhankelijk release schema. Dit betekent dat je snellere updates kunt benutten voor Java-gebaseerde Keycloak-integraties, zonder te hoeven wachten op de release van de volledige Keycloak-server.

Sindsdien zijn er een aantal releases geweest, hieronder vind je de highlights ervan. 

• Dark Mode uitgebreid: Nu ook beschikbaar voor de welkomstpagina.
• Keycloak JavaScript & Node.js adapters: Hebben nu een onafhankelijke release-cyclus.
• Verbeterde logging & metrics: Nieuwe opties voor logcategorieën en wachtwoord-hashing metrics. Dit kan handig zijn in het meten van de robustheid tegen DDOS aanvallen.
• Met jdbc-ping gebruikt Keycloak de database om te ontdekken of er andere nodes in dezelfde cluster zitten. Daardoor is er minder netwerk configuratie nodig, vooral voor cloud providers.
• Virtual Threads ondersteuning: Infinispan en JGroups ondersteunen nu virtual threads voor betere prestaties.
• OpenTelemetry Tracing: Nu volledig ondersteund en standaard ingeschakeld.
• Prompt=create voor OIDC: Ondersteuning voor initiële gebruikersregistratie via OIDC. Daarmee is een proprietary oplossing vervangen met een open source oplossing.
• Betere sessiebeheer: Admin Console verwijdert nu effectief alle sessies, (ook offline sessies) bij een logout vanuit de admin console.
• Aangepaste OIDC authentication request parameters: Maximum aantal en lengte van parameters zijn nu configureerbaar.

Nieuwe fuctionaliteiten:
    - X.509 Authenticator heeft en nieuwe optie om het inlogproces af te breken als de certificate revocation list (CRL) niet up-to-date is.
    - Force login na wachtwoordreset: Optie toegevoegd om sessies te beëindigen na reset.
Bugfixes en verbeteringen: Oplossingen voor LDAP-groepen, UI-problemen in dark mode, login-hints en meer.
Documentatie-updates: Verduidelijkingen rond IPv6, tracing en reCAPTCHA.

    - Einde ondersteuning voor oude Node.js-versies.
    - Upgrade van dependencies, waaronder @keycloak/keycloak-admin-client.

Bugfixes:
    - Verbeterde foutafhandeling voor connecties.
    - Opgeloste latentieproblemen na upgrade.
    - Fix voor JDBC Ping met Docker infinispan.
    - Stabielere pods na upgrade naar 26.1.0.

Verbeterde wachtwoord-reset flow: Nieuwe optie only-federated voor gefedereerde gebruikers.
De 'only-federated' optie voor de 'reset-credentials-email' stelt je in staat een nieuwe login te eisen na een password reset voor federated terwijl dat voor interne database users niet nodig is. in 26.1.1 was de optie nog voor alle users of geen users.

Beveiligingsfixes:
    - CVE-2025-0736: JGroups-kanaalcreatie kan gevoelige info lekken.
    - CVE-2024-47072: XStream kwetsbaar voor DoS-aanval door middel van een stack overflow.

Bugfixes:
    - Problemen met SAML2-sleutels en user attributes opgelost.
    - Fouten bij organisatieclaims in JWT-access tokens gefixt.
    - UI-bugs in admin console en login scherm verholpen.

Verbeteringen:
    - Beheerder kan automatische vernieuwing van event-weergaven uitschakelen.
    - Infinispan geüpgraded naar versie 15.0.14.

Bugfixes:
    - Problemen met realm-rollen die tot admin/api genoemd werden.
    - Databasefout bij meerdere token-revokes verholpen.
    - Admin UI fixes: resource filters en placeholder teksten.
    - KC_HTTPS_TRUST_STORE_TYPE instelling werkt nu correct.

De release van Keycloak 26.2.0 brengt gebruikers een aantal verbeteringen:

• Standaard token exchange vereenvoudigt veilige integraties, terwijl fine-grained admin permissions (V2) flexibele toegangscontrole mogelijk maken.
• Zero-configuration TLS voor clustercommunicatie en rolling updates voor custom images minimaliseren configuratie en downtime.
• Nieuwe metrics-gidsen en Grafana-dashboards verbeteren monitoring, cruciaal voor schaalbare en robuuste deployments.

Kun je ondersteuning gebruiken bij het installeren van Keycloak 26 of met het upgraden naar een veiligere Keycloak?

Bij First8 Conclusion werken experts op het gebied van Identity and Access Management. Er komen namelijk heel wat facetten en keuzes kijken bij het goed inrichten ervan. We gebruiken hier de IAM-oplossing Keycloak voor. Wij kunnen jou helpen en adviseren. We organiseren daarnaast regelmatig workshops, voor Developers, op verschillende kennis niveaus.