Keycloak 26

Hieronder een aantal opvallende aanpassingen:

- De GELF logging handler is verwijderd uit Keycloak 26. Deze log methode was sinds Keycloak 24 deprecated, en is er nu uit gehaald.

- OpenTelemetry Tracing is ondersteund. Dit maakt het makkelijker om performance optimalisaties uit te voeren en eventuele application failures te debuggen.

- De Keycloak java admin-, authorization- & policy enforcer client libraries volgen vanaf deze versie een onafhankelijk release schema. Dit betekent dat je snellere updates kunt benutten voor Java-gebaseerde Keycloak-integraties, zonder te hoeven wachten op de release van de volledige Keycloak-server.

Sindsdien zijn er een aantal releases geweest, hieronder vind je de highlights ervan. 

• Dark Mode uitgebreid: Nu ook beschikbaar voor de welkomstpagina.
• Keycloak JavaScript & Node.js adapters: Hebben nu een onafhankelijke release-cyclus.
• Verbeterde logging & metrics: Nieuwe opties voor logcategorieën en wachtwoord-hashing metrics. Dit kan handig zijn in het meten van de robustheid tegen DDOS aanvallen.
• Met jdbc-ping gebruikt Keycloak de database om te ontdekken of er andere nodes in dezelfde cluster zitten. Daardoor is er minder netwerk configuratie nodig, vooral voor cloud providers.
• Virtual Threads ondersteuning: Infinispan en JGroups ondersteunen nu virtual threads voor betere prestaties.
• OpenTelemetry Tracing: Nu volledig ondersteund en standaard ingeschakeld.
• Prompt=create voor OIDC: Ondersteuning voor initiële gebruikersregistratie via OIDC. Daarmee is een proprietary oplossing vervangen met een open source oplossing.
• Betere sessiebeheer: Admin Console verwijdert nu effectief alle sessies, (ook offline sessies) bij een logout vanuit de admin console.
• Aangepaste OIDC authentication request parameters: Maximum aantal en lengte van parameters zijn nu configureerbaar.

Nieuwe fuctionaliteiten:
    - X.509 Authenticator heeft en nieuwe optie om het inlogproces af te breken als de certificate revocation list (CRL) niet up-to-date is.
    - Force login na wachtwoordreset: Optie toegevoegd om sessies te beëindigen na reset.
Bugfixes en verbeteringen: Oplossingen voor LDAP-groepen, UI-problemen in dark mode, login-hints en meer.
Documentatie-updates: Verduidelijkingen rond IPv6, tracing en reCAPTCHA.

    - Einde ondersteuning voor oude Node.js-versies.
    - Upgrade van dependencies, waaronder @keycloak/keycloak-admin-client.

Bugfixes:
    - Verbeterde foutafhandeling voor connecties.
    - Opgeloste latentieproblemen na upgrade.
    - Fix voor JDBC Ping met Docker infinispan.
    - Stabielere pods na upgrade naar 26.1.0.

Verbeterde wachtwoord-reset flow: Nieuwe optie only-federated voor gefedereerde gebruikers.
De 'only-federated' optie voor de 'reset-credentials-email' stelt je in staat een nieuwe login te eisen na een password reset voor federated terwijl dat voor interne database users niet nodig is. in 26.1.1 was de optie nog voor alle users of geen users.

Beveiligingsfixes:
    - CVE-2025-0736: JGroups-kanaalcreatie kan gevoelige info lekken.
    - CVE-2024-47072: XStream kwetsbaar voor DoS-aanval door middel van een stack overflow.

Bugfixes:
    - Problemen met SAML2-sleutels en user attributes opgelost.
    - Fouten bij organisatieclaims in JWT-access tokens gefixt.
    - UI-bugs in admin console en login scherm verholpen.

Verbeteringen:
    - Beheerder kan automatische vernieuwing van event-weergaven uitschakelen.
    - Infinispan geüpgraded naar versie 15.0.14.

Bugfixes:
    - Problemen met realm-rollen die tot admin/api genoemd werden.
    - Databasefout bij meerdere token-revokes verholpen.
    - Admin UI fixes: resource filters en placeholder teksten.
    - KC_HTTPS_TRUST_STORE_TYPE instelling werkt nu correct.

De release van Keycloak 26.2.0 brengt gebruikers een aantal verbeteringen:

• Standaard token exchange vereenvoudigt veilige integraties, terwijl fine-grained admin permissions (V2) flexibele toegangscontrole mogelijk maken.
• Zero-configuration TLS voor clustercommunicatie en rolling updates voor custom images minimaliseren configuratie en downtime.
• Nieuwe metrics-gidsen en Grafana-dashboards verbeteren monitoring, cruciaal voor schaalbare en robuuste deployments.

Patch Release 26.2.1
Kleine verbeteringen en bugfixes.

Patch Release 26.2.2
Bugfixes van twee CVE’s:

• CVE-2025-3501 (hoge ernst): Deze kwetsbaarheid kwam alleen in eerdere 26.x Keycloak versies voor, en de oplossing is naar die versies gebackport. Als de Hostname Verification Policy op “ANY” was ingesteld (wat altijd voor Productieomgevingen was afgeraden), dan worden certificaten ook niet gecontroleerd in omstandigheden waar die setting overschreven hoorde te worden door een custom SPI.
• CVE-2025-3910 (medium ernst): Deze kwetsbaarheid kwam alleen in eerdere 26.x Keycloak versies voor, en de oplossing is naar die versies gebackport. Bepaalde verplichte acties (zoals het instellen van 2FA) konden worden omzeild via een Cancel knop.

Patch Release 26.2.3
Er is in deze release vooral een groot aantal kleine bugfixes. Hieronder valt een bug bij het importeren van een certificaat voor een SAML client (niet identity provider).

Patch Release 26.2.4
In deze patch release zijn een aantal kleine bugfixes. Hieronder valt een bug bij het dubbelklikken van een link naar een identity provider (de fix is gebackport).

Hieronder vind je een compact overzicht van de belangrijkste vernieuwingen in Keycloak 26.3.0. Deze release richt zich op verbeteringen voor gebruikers, ontwikkelaars en beheerders, met focus op beveiliging, gebruiksvriendelijkheid en prestaties.

Hoogtepunten van Keycloak 26.3.0

• Account herstel met 2FA herstelcodes: Gebruikers kunnen herstelcodes genereren als alternatieve tweefactorauthenticatie (2FA). Dit voorkomt uitsluiting bij verlies van bijvoorbeeld een OTP-generator. Deze functie is nu volledig ondersteund en standaard uitgeschakeld in nieuwe realms, maar kan door beheerders worden geactiveerd.
• Verbeterde identiteitsprovider-koppeling: Koppelen van gebruikersaccounts aan een identiteitsprovider is nu gebaseerd op AIA, wat de configuratie vereenvoudigt en foutafhandeling verbetert. De oude, propriëtaire methode is deprecated.
• Algemene ondersteuning OAuth 2.0 providers: Keycloak kan nu iedere OAuth 2.0 autorisatieserver --zoals Amazon-- als identity provider gebruiken. Dit gaat via een gestandaardiseerd configuratiescherm.
• Prestatieverbeteringen voor import/export: Import, export en migraties van grote aantallen realms zijn verbeterd, zonder prestatieverlies bij schaling.
• CVE fixes: Twee CVE's die in eerdere versies voorkwamen, zitten niet meer in 26.3.0. Het gaat om [2025-3501](https://github.com/keycloak/keycloak/issues/39350) (High Severity) en [2025-3910](https://github.com/keycloak/keycloak/issues/39349) (Medium Severity). Deze fixes zijn overigens gebackport naar versie 26.2.2.
• Experimentele rolling updates voor patch releases (preview): Dit is een preview-functie voor de Keycloak Operator in Kubernetes/OpenShift. Rolling updates zijn uitgebreid naar patch releases binnen dezelfde major.minor-versie, waardoor downtime verder wordt geminimaliseerd.
• Passkeys in standaard loginformulieren (preview): Deze functie is nog in preview. Passkeys zijn nu geïntegreerd in de standaard authenticatieformulieren. Dat maakt niet alleen de gebruikerservaring voor Passkeys intuïtiever, maar ook het configureren van Passkeys als administrator.

Keycloak 26.4.0 brengt verbeteringen die relevant zijn voor klanten die Keycloak inzetten voor veilige authenticatie en autorisatie. Deze release richt zich op beveiliging, integraties en vereenvoudigd beheer, met functies die de gebruikerservaring en schaalbaarheid verbeteren. Hieronder de highlights, compact en relevant voor gebruikers.

Hoogtepunten van Keycloak 26.4.0

• Automatisch certificaatbeheer voor SAML-clients: SAML-clients kunnen nu automatisch handtekening- en versleutelingscertificaten ophalen via de SP-metadata-URL. Dit vereenvoudigt certificaatbeheer en ondersteunt naadloze rotatie. We werken eraan om deze functionaliteit ook met onze plugin voor eHerkenning en DigiD mee te nemen.
• Passkeys in standaard loginformulieren: Deze feature was gepreviewed in 26.3.0. Passkeys zijn nu geïntegreerd in de standaard authenticatieformulieren. Dat maakt niet alleen de gebruikerservaring voor Passkeys intuitiever, maar ook het configureren van Passkeys als administrator.
• FAPI 2.0 ondersteuning: Keycloak ondersteunt de definitieve FAPI 2.0 Security Profile en Message Signing specificaties.
• DPoP volledig ondersteund: OAuth 2.0 Demonstrating Proof-of-Possession (DPoP) is nu standaard ondersteund. Nieuwe functies omvatten het optioneel binden van alleen refresh tokens voor publieke clients en ondersteuning voor DPoP-tokens op alle endpoints, zoals de Admin en Account REST API’s.
• Multi-cluster ondersteuning: Keycloak clusters kunnen nu standaard over meerdere beschikbaarheidszones binnen een Kubernetes-cluster worden verdeeld.
• 2FA herstelcodes verplichtstellen: In 26.3.0 zijn herstelcodes geintroduceerd voor 2FA, die nu ook verplicht kunnen worden gemaakt bij het instellen van een MFA optie.
• Veiliger e-mailupdateproces**: Gebruikers moeten nu opnieuw authenticeren en hun e-mail verifiëren voordat accountwijzigingen worden doorgevoerd, wat de beveiliging versterkt.
• HTTP-toegangslogging: Nieuwe logging-opties voor inkomende HTTP-verzoeken ondersteunen debugging, verkeersanalyse en compliance-audits.
• Extra database-ondersteuning: Ondersteuning voor EnterpriseDB (EDB) Advanced 17.6, Azure SQL Database en Azure SQL Managed Instance is toegevoegd. Daarnaast zijn aanvullende databases voor use cases zoals User Federation nu eenvoudiger te configureren.
• ServiceMonitor voor Kubernetes**: De Keycloak Operator maakt automatisch een ServiceMonitor aan voor het verzamelen van metrics, indien enabled. Dit vereenvoudigt monitoring zonder extra configuratie.
• Federated Client Authentication (preview)**: Clients kunnen nu authenticeren met SPIFFE JWT SVIDs, Kubernetes service account tokens of tokens van een OIDC-provider. Deze preview-functie vereenvoudigt integraties in moderne omgevingen en wordt volledig ondersteund in 26.5. 

Kun je ondersteuning gebruiken bij het installeren van Keycloak 26 of met het upgraden naar een veiligere Keycloak?

Bij First8 Conclusion werken experts op het gebied van Identity and Access Management. Er komen namelijk heel wat facetten en keuzes kijken bij het goed inrichten ervan. We gebruiken hier de IAM-oplossing Keycloak voor. Wij kunnen jou helpen en adviseren. We organiseren daarnaast regelmatig workshops, voor Developers, op verschillende kennis niveaus.