Keycloak 26.4.0 版本发布

Keycloak 26.4.0 正式上线，本次更新聚焦于安全机制强化、系统集成能力拓展以及运维管理优化，主要亮点如下：

核心特性

此次版本在安全性、跨平台集成和集群部署方面实现重要突破，关键更新包括：

• 全面支持 Passkeys，实现无密码认证体验。
• 推出联邦客户端认证功能，兼容 SPIFFE 和 Kubernetes 服务账户令牌。
• 改进多可用区部署能力，提升系统高可用性。
• 发布 FAPI 2.0 正式支持，涵盖安全配置与消息签名。
• 完整支持 DPoP（Proof of Possession via JSON Web Token），新增刷新令牌绑定及端点防护机制。

安全与合规

Passkeys 支持（正式）

Passkeys 已深度整合至 Keycloak 登录流程，提供条件式与模态两种用户界面模式。启用路径：进入 Authentication → Policies → Webauthn Passwordless Policy，勾选“Enable Passkeys”即可激活。

FAPI 2.0 正式支持

Keycloak 现完全遵循 FAPI 2.0 标准，包含安全配置文件与消息签名功能，相关客户端策略已通过官方合规测试。

新增两个专用客户端配置文件：fapi-2-dpop-security-profile 和 fapi-2-dpop-message-signing，专为使用 DPoP 的场景设计，确保符合 FAPI 2 规范。

DPoP 全面支持

OAuth 2.0 的 DPoP 功能从 23 版本的预览阶段升级为完整支持，并带来以下增强：

• 允许仅将刷新令牌绑定至公共客户端，访问令牌可不强制绑定。
• 所有基于 Bearer Token 的 Keycloak 接口（如 Admin REST API 与 Account REST API）均支持 DPoP 验证。
• 可配置要求 OIDC 认证请求中必须携带 dpop_jkt 参数。

特别感谢 Takashi Norimatsu 与 Dmitry Telegin 的贡献。

FIPS 140-2 模式新增 EdDSA 算法支持

随着底层 Bouncy Castle 升级至 2.1.x 版本，现正式支持 EdDSA 数字签名算法，满足更高安全标准需求。

OAuth 标准支持概览文档

新增一份综合性指南，汇总了当前已实现的所有 OpenID Connect 及 OAuth 相关规范，便于开发者查阅。

集成能力

联邦客户端认证（预览版）

身份源现已支持联邦客户端认证机制，允许客户端使用 SPIFFE JWT SVID、Kubernetes 服务账号令牌或 OpenID Connect 令牌完成认证。

该功能处于预览状态，预计将在 26.5 版本中转为正式支持。

SAML 客户端自动证书管理

SAML 客户端现在支持从 SP 实体元数据 URL 自动拉取签名与加密证书。配置方式：进入客户端设置 → 签名和加密 → 填写 Metadata descriptor URL 并启用 Use metadata descriptor URL。证书将自动下载并缓存，实现无缝轮换。

支持作为 MCP 授权服务器

MCP（Model Context Protocol）是连接 AI 应用与外部系统的开放标准。Keycloak 通过 RFC 8414 兼容的 OAuth 2.0 授权服务器元数据 URI 提供 MCP 授权支持。

需注意：当前尚不支持 MCP 规范中的资源指示器（resource indicator）功能。

管理功能增强

邮箱更新流程优化

用户现可通过更安全且一致的流程修改邮箱地址，操作前需重新认证并完成新邮箱验证。

组织邮箱域设为可选

此前每个组织必须绑定邮箱域名，现调整为可选项。若未设置域名，则组织成员在登录和资料验证时不受邮箱域限制。

账户控制台隐藏身份提供者

可通过“Show in Account console”开关控制哪些身份提供者在账户控制台中显示，支持仅展示已关联的 IDP 或完全隐藏。

启用 OTP 时强制配置恢复码

当同时启用 OTP 与恢复码作为双因素认证手段时，可设定策略强制用户在启用 OTP 后必须生成恢复码。

新增条件认证器

引入 Conditional - credential 认证器，用于判断认证过程中是否使用特定凭证类型，尤其配合 Passkeys 使用。默认浏览器流程已集成此认证器，若用户通过 Passkey 登录，可跳过后续 MFA 步骤。

简篇AI排版

AI排版工具，上传图文素材，秒出专业效果！

134

查看详情

详细说明请参考条件流程[10]文档。

Weblate 驱动的翻译管理

Keycloak 当前支持 35 种语言翻译，本版本新增哈萨克语、阿塞拜疆语和斯洛文尼亚语。部分翻译由社区志愿者通过 Weblate 平台维护，提升本地化质量。

部署与配置

单集群与多集群部署改进

原 multi-site 功能更名为 multi-cluster，文档已更新，指导如何在单一区域内部署跨多个可用区的 Keycloak 集群，提升容灾能力。

Keycloak Operator 默认支持在 Kubernetes 集群内跨可用区部署，并具备脑裂检测能力，显著增强高可用性。

新增数据库支持

本版本扩展数据库兼容范围，新增支持：

• EnterpriseDB (EDB) Advanced Server 17.6
• Azure SQL Database
• Azure SQL Managed Instance

文档标题也由“测试数据库版本”调整为“支持数据库版本”，体现正式支持状态。

管理接口支持 HTTP 协议

以往管理端点仅在主接口启用 HTTPS 时才支持 HTTPS。现新增 http-management-scheme 配置项，设为 http 后管理接口可使用 HTTP，便于无 TLS 环境下的监控接入。

主 HTTP(S) 端口暴露健康检查

启用 health-enabled 后，可通过设置 http-management-health-enabled 为 false，将健康检查端点 /health 暴露在主 HTTP(s) 端口上。此时建议在反向代理层阻止外部直接访问该路径。

此变更有助于负载均衡器正确探测服务状态并分配流量。

Ingress 支持自定义 tlsSecret

Operator 现支持通过 Keycloak CR 的 spec.ingress.tlsSecret 字段指定 TLS Secret，简化基础 TLS 终止场景的部署配置。

支持额外数据源配置

针对用户联合等需连接外部数据库的场景，此前只能依赖非官方的 Quarkus 属性配置。本版本新增专用服务器配置选项，支持以标准方式添加额外数据源，提升易用性与稳定性。

可观测性提升

Operator 自动创建 ServiceMonitor

当指标功能启用且集群存在 monitoring.coreos.com/v1:ServiceMonitor CRD 时，Operator 将自动创建对应的 ServiceMonitor 资源，并根据管理端点协议动态调整，确保 Prometheus 可正常抓取指标。

如需关闭此行为，可设置 spec.serviceMonitor.enabled: false。

HTTP 访问日志记录

Keycloak 现支持输出 HTTP 请求级别的访问日志，适用于调试、安全审计及合规性监控。

日志上下文信息支持（预览）

新增对映射诊断上下文（MDC）的支持，可在日志中注入请求相关的上下文信息（如 realm、client_id 等），帮助快速定位错误与警告来源。

更多详情请查阅官方发布说明。

源码地址：点击下载

以上就是Keycloak 26.4.0 版本发布的详细内容，更多请关注php中文网其它相关文章！