Keycloak 26.6.0 markiert einen der gr\u00f6\u00dften Entwicklungsschritte der Plattform seit der umfassenden Umstellung auf den Quarkus-Stack. Die Ver\u00f6ffentlichung schlie\u00dft langfristige Baustellen in der Architektur und f\u00fchrt mehrere Funktionen aus dem Vorabstatus in den voll unterst\u00fctzten Betrieb \u00fcber. Damit endet eine Phase technischer \u00dcberg\u00e4nge, in der viele Kernfunktionen experimentell waren. Entscheidend ist, dass damit erstmals ein stabiler Rahmen f\u00fcr kontinuierliche Updates und reproduzierbare Deployments entsteht.<\/p>\n
Die Zero-Downtime-Patch-Releases zeigen, wie Keycloak auf Anforderungen gro\u00dfer, hochverf\u00fcgbarer Umgebungen reagiert. Bisher mussten Betreiber Instanzen neu starten, was bei verteilten Kubernetes-Clustern zu Authentifizierungsabbr\u00fcchen f\u00fchren konnte. Jetzt lassen sich Patches parallel auf Nodes ausrollen, w\u00e4hrend die Session-Verwaltung aktiv bleibt. Das geschieht, indem Keycloak zuk\u00fcnftige und aktuelle Versionen gleichzeitig unterst\u00fctzt und Sitzungsdaten in der Datenbank f\u00fcr beide kompatibel h\u00e4lt. F\u00fcr Unternehmen mit SSO-Diensten \u00fcber mehrere Regionen hinweg bedeutet das, dass Wartungsfenster entfallen und Authentifizierungssysteme rund um die Uhr online bleiben. Damit n\u00e4hert sich Keycloak in seiner Update-Strategie Systemen wie OpenShift oder gro\u00dfen Cloud-Anbietern an, die Rolling Updates seit Jahren etabliert haben.<\/p>\n
Mit der Federated Client Authentication \u00f6ffnet sich Keycloak st\u00e4rker f\u00fcr Multi-Tenant- und Multi-Provider-Szenarien. Bisher war es nur m\u00f6glich, Benutzeridentit\u00e4ten f\u00f6deriert zu behandeln. Jetzt l\u00e4sst sich dieselbe Logik auch auf Clients anwenden. Anwendungen, die sich bei unterschiedlichen Identity Providern registriert haben, k\u00f6nnen innerhalb einer zentralen Keycloak-Instanz Authentifizierungsanfragen austauschen. Das ist besonders f\u00fcr Zusammenschl\u00fcsse von Organisationen relevant, die ihre Zugriffsinfrastruktur konsolidieren m\u00f6chten. Praktisch kann damit etwa eine Anwendung, die AzureAD nutzt, dieselben Zugriffstoken in Keycloak-gest\u00fctzten Diensten verwenden, ohne Code-Anpassungen oder doppelte Registrierung.<\/p>\n
Der JWT Authorization Grant nach RFC 7523 ist seit Jahren in zahlreichen Unternehmens-APIs im Einsatz, wurde in Keycloak jedoch nur unvollst\u00e4ndig unterst\u00fctzt. Durch die jetzt vollst\u00e4ndige Implementation k\u00f6nnen externe Systeme signierte JWTs direkt gegen Access Tokens eintauschen, ohne dedizierte Austausch-APIs zu implementieren. Das schafft eine klarere Trennung zwischen Token-Vergabe und Service-Integration und reduziert Wartungsaufw\u00e4nde. F\u00fcr Unternehmen, die OpenID-Connect-Strukturen mit Legacy-Systemen verbinden, schlie\u00dft dies eine L\u00fccke zwischen automatisierten Maschinen-Zugriffen und menschlicher Authentifizierung.<\/p>\n
Das neue Test Framework ersetzt die alte Infrastruktur auf Arquillian-Basis. Diese war eng mit Jakarta-EE-Containern verkn\u00fcpft und nur schwer wartbar. Das neue Framework integriert sich direkt in den Build-Prozess auf Maven-Ebene und nutzt Containerisierung, um reproduzierbare Testumgebungen zu erzeugen. Davon profitieren sowohl Kernentwickler als auch externe Beitragende. Regressionstests, die bisher Stunden ben\u00f6tigten, k\u00f6nnen nun parallelisiert und in CI\/CD-Pipelines integriert werden. Dadurch verringert sich die Gefahr, dass \u00c4nderungen an der API unbemerkt fehlerhafte Integrationen ausl\u00f6sen.<\/p>\n
Mit der Einf\u00fchrung des OAuth Client ID Metadata Document (CIMD) experimentiert Keycloak erstmals mit Metadaten-basierten Client-Discovery-Mechanismen. Das Konzept erlaubt es Anwendungen, Konfigurationen automatisiert aus JSON-Dokumenten zu laden, statt manuell in der Administrationskonsole angelegt zu werden. Diese Funktion ist f\u00fcr zuk\u00fcnftige Multi-Client-Protokolle, insbesondere Machine Communication Protocols (MCP), relevant. In komplexen IoT- oder Service-Mesh-Strukturen k\u00f6nnen damit Clients dynamisch registriert und verwaltet werden, ohne dass Zust\u00e4ndigkeiten zentral geb\u00fcndelt werden m\u00fcssen.<\/p>\n
Parallel hat Keycloak in Version 26.6.0 mehrere organisatorische und technische Aufr\u00e4umarbeiten durchgef\u00fchrt. Die Unterst\u00fctzung f\u00fcr OpenJDK 25 und aktualisierte Bibliotheken bringt Kompatibilit\u00e4t mit neuen JVM-Versionen und Container-Builds. In Multi-Organisation-Setups erlauben isolierte Gruppenhierarchien eine saubere Trennung von Namensr\u00e4umen, sodass Unternehmensmandanten keine Gruppen- oder Rollenbezeichner mehr teilen m\u00fcssen. Au\u00dferdem hat das Projektteam die Helm-Charts \u00fcberarbeitet, um den Betrieb auf Kubernetes weiter zu vereinfachen und die Migration von Ingress-Konfigurationen zwischen Versionen zu automatisieren.<\/p>\n
Schlagw\u00f6rter: Keycloak + CIMD<\/p>\n","protected":false},"excerpt":{"rendered":"
Keycloak 26.6.0 markiert einen der gr\u00f6\u00dften Entwicklungsschritte der Plattform seit der umfassenden Umstellung auf den Quarkus-Stack. Die Ver\u00f6ffentlichung schlie\u00dft langfristige Baustellen in der Architektur und f\u00fchrt mehrere Funktionen aus dem Vorabstatus in den voll unterst\u00fctzten Betrieb \u00fcber. Damit endet eine Phase technischer \u00dcberg\u00e4nge, in der viele Kernfunktionen experimentell waren. Entscheidend...<\/p>\n","protected":false},"author":4,"featured_media":16266,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-16267","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16267","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16267"}],"version-history":[{"count":2,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16267\/revisions"}],"predecessor-version":[{"id":16276,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16267\/revisions\/16276"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/16266"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16267"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16267"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16267"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}