Identitätsmanagement: Keycloak 18 bringt neuen Kubernetes-Operator
Die Open-Source-Software für Identitäts- und Zugriffsmanagement hat neben dem neuen Operator, der auf Quarkus aufbaut, eine neue Administrationskonsole an Bord.
(Bild: zffoto / Shutterstock.com)
Red Hat hat Keycloak 18 veröffentlicht. Die Open-Source-Software für das Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) mit Single-Sign-on führt im aktuellen Release die Migration von der Wildfly-Distribution auf den Quarkus-Unterbau fort und bringt im Zuge dessen einen neuen, derzeit als Preview gekennzeichneten Kubernetes-Operator mit. Ebenfalls Vorschaustatus hat die neue Administrationskonsole.
Das Release markiert den Wechsel auf den im März angekündigten regelmäßigen Releasezyklus mit neuen Versionen im Dreimonatstakt, nachdem der Dezember 2021 gleich drei Feature-Releases hervorgebracht hatte. Der enge Takt war vor allem dem Umstieg des Unterbaus geschuldet, der von Red Hats Applikationsserver WildFly auf das Java-Framework Quarkus gewechselt hat. Letzteres gilt seit Keycloak 17 als Default.
Neuer Operator, neue Konsole
Im Zuge der Umstellung hat Red Hat den Kubernetes-Operator ausgetauscht und den neuen Quarkus-basierten Operator wohl vollständig neu geschrieben. Damit verbunden sind einige Umstellungen in der API im Zusammenspiel mit der CustomResourceDefinition (CRD) von Kubernetes. Details zum Umgang mit dem neuen Operator finden sich auf der Dokumentationsseite von Keycloak.
Keycloak nimmt auch eine gewichtige Rolle bei der Online-Konferenz betterCode() API ein. Einerseits wird die OAuth2- und OIDC-Authentifizierung mit Keycloak in einem Vortrag am 27. April beleuchtet. In die Tiefe geht es dann am 18. Mai im ganztägigen Workshop "Authentifizierung einfach und sicher gemacht mit Keycloak". Wer sich also mit der Web-API-Entwicklung im Allgemeinen beschäftigt und mit Keycloak im Speziellen auseinandersetzen möchte, dem sei die betterCode() API naheglegt.
Der alte, auf WildFly aufsetzende Operator soll in dem für Oktober geplanten Keycloak 20 den End-of-Life-Status (EOL) erreichen. Bis dahin ist er im OperatorHub passend zum jeweiligen Keycloak-Release versioniert, also derzeit als 18.0.0, während der neue Operator als Vorbereitung auf den Umstieg im übernächsten Release und als Kennzeichnung des Preview-Status die Versionsnummer 20.0.0-alpha.1 trägt.
Die neue Administrationskonsole hat ebenfalls noch Preview-Status. Sie soll im kommenden Release zum Standard werden. Wer auf Probleme im Umgang mit der neuen Konsole stößt, kann sie in einer eigens dafür eingerichteten GitHub-Diskussion einbringen.
Schrittchenweise authentifiziert
Das Release baut zudem die in Keycloak 17 eingeführte Step-up-Authentifizierung aus, mit der ein Client zunächst den Zugriff auf bestimmte Bereiche erhält und für den Zugriff auf weitere, sensiblere Ressourcen ein erweiterter Authentifizierungs-Level erforderlich ist. Details zum Einrichten finden sich in der Dokumentation.
Daneben ermöglicht Keycloak 18 die Client-Secret-Rotation. Jeder Client kann dabei zwei aktive Secrets gleichzeitig haben. In der Dokumentation stehen Details zum Austauschmechanismus und dem Einrichten der Verfallszeiten für die jeweiligen Secrets. Schließlich gestattet die IAM-Software neuerdings Recovery-Codes für die Zwei-Faktor-Authentifizierung (2FA).
Weitere Neuerungen in Keycloak 18 unter anderem im Zusammenspiel mit OpenID Connect und WebAuthn lassen sich den Release Notes entnehmen. Der Keycloak-Server findet sich sowohl in der Quarkus- als auch in der als überholt gekennzeichneten WildFly-Variante auf der Download-Seite. Von dort lassen sich zudem ein Container-Image, der Operator für Kubernetes beziehungsweise OpenShift und die Client-Adapter herunterladen. Wer Keycloak noch auf der WildFly-Basis verwendet, sollte einen Blick auf den Migrationsleitfaden zu Quarkus werfen.
(rme)
