Authentifizierung: Keycloak 19 führt Speicher für Zero-Downtime-Upgrades ein

Red Hat setzt ein weitgehendes Refactoring seiner Open-Source-Software für das Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) mit Single-Sign-on fort. Das nun veröffentlichte Update Keycloak 19.0.0 führt unter anderem die Preview eines komplett neuen Speichers ein, der Defizite des bisherigen beheben soll. Der neue map-Store ist auf Cloud-native Bereitstellung ausgelegt und soll auch Ausfallzeiten beim Upgrade von Keycloak vermeiden. Zudem ist die neue Admin Console nun standardmäßig aktiviert – die bisherige Konsole gilt als veraltet (deprecated) und soll ab Keycloak 21 komplett entfallen.

Cloud-native mit mehr Tempo

In der Quarkus-Distribution liefert Red Hat das für OpenID Connect zertifizierte Keycloak mit der Preview einer neuen Speicherimplementierung aus. Der als map bezeichnete Store beschränkt sich zu Beginn noch auf einige Basisfunktionalitäten, um einen reibungslosen Betrieb zu gewährleisten. Als Datenbanken stehen daher zunächst nur PostgreSQL und CockroachDB sowie der Infinispan Datastore zur Verfügung. Der map-Store soll mittelfristig den bisherigen Speicher – ab sofort als Legacy Store bezeichnet – ablösen und Keycloak endlich an die Anforderungen Cloud-nativer Anwendungsumgebungen anpassen. So soll beispielsweise das Starten der Datenbank samt des IAM-Tools auch in kleineren Deployments künftig deutlich schneller vonstattengehen. Das Keycloak-Team will durch map darüber hinaus die bisher beim Upgrade der Software meist unvermeidlichen Ausfallzeiten beseitigen.

Solange der neue Speicher noch in der Preview-Phase steckt und nicht für den Produktiveinsatz freigegeben ist, bleibt der Legacy Store standardmäßig aktiviert – und damit auch erste Wahl für Entwicklerinnen und Entwickler die mit Datenbanken wie MySQL, MariaDB, MS SQL Server und Oracle arbeiten wollen beziehungsweise müssen. Für die nächsten Releases von Keycloak stellt das Team allerdings weitere Features und Optimierungen der Performance von map in Aussicht. Auf der Roadmap finden sich etwa Support für LDAP, Datei-basierte Speicher, ein Migrationstool für den Datentransfer vom Legacy Store zu map und die Möglichkeit, verschiedene Speichermechanismen zu kombinieren, um beispielsweise statische Client-Anmeldungen mit dynamischen zu mischen. Wer die neue Speicherkonfiguration in Keycloak ausprobieren möchte, findet im Blogbeitrag zum map-Store eine Anleitung für eine Single-Node-Konfiguration mit dem In-Memory-Store chm.

Während in Keycloak 19 die alte Konsole der neuen Admin Console weicht, fallen auch eine Reihe von OpenID-Connect- und SAML-Adaptern weg, darunter JBoss AS 7 und EAP 6, Fuse 6 und 7, Spring Boot 1.x und Jetty 9.2 sowie 9.3. Anwenderinnen und Anwender der Quarkus-Distribution von Keycloak sollten zudem berücksichtigen, dass die bisher stets automatisch aktivierten Health-Endpunkte /q/health, /q/health/live, /q/health/ready und /q/metrics künftig deaktiviert bleiben. Wer die betreffenden Endpunkte weiterverwenden möchte, sollte seine Systeme auf den gültigen Pfad ohne /q aktualisieren.

Umfassendes Refactoring geht weiter

Im Zuge des fortlaufenden Refactorings des Keycloak-Codes sollten sich Entwicklerinnen und Entwickler auf grundlegende Änderungen einstellen, wie etwa der im aktuellen Release angestoßene Umbau des Speichers. Von den Anpassungen sind unter anderem zahlreiche APIs sowie die Modulstruktur. Weitere Details sowie ein Überblick sämtlicher Neuerungen von Keycloak 19.0.0 finden sich im Blog-Beitrag zum Release.

(map)