IDPTrust
IDPTrust Blog
blog.idptrust.com
Keycloak 26.6.0 — Cinco funcionalidades pasan a soporte completo

Keycloak 26.6.0 — Cinco funcionalidades pasan a soporte completo

· News · IDPTrust

Keycloak 26.6.0 fue publicado el 8 de abril de 2026. A diferencia de la publicación de parche anterior — que era casi en su totalidad correcciones de seguridad — esta es una publicación de funcionalidades. Cinco capacidades que han estado en vista previa durante varias versiones son ahora completamente compatibles.

A continuación, lo que cambió y por qué importa para los equipos que ejecutan Keycloak en producción.

Cinco funcionalidades pasan de vista previa a soporte completo

JWT Authorization Grant (RFC 7523)

Intercambio de tokens externo a interno mediante afirmaciones JWT firmadas.

Un cliente puede presentar una afirmación JWT firmada externamente — emitida por una autoridad externa de confianza — y obtener un token de acceso OAuth 2.0 de Keycloak sin un secreto de cliente independiente. Esto es especialmente relevante para la autenticación entre servicios a través de dominios de confianza, donde compartir secretos es poco práctico o donde un emisor externo (otro IdP, un clúster de Kubernetes, un proveedor de nube) es la fuente natural de identidad.

Autenticación federada de clientes

Los clientes se autentican usando relaciones de confianza existentes — sin más secretos por cliente.

Los clientes ahora pueden autenticarse en Keycloak utilizando una relación de confianza existente con un emisor externo, incluyendo proveedores de identidad OIDC y Kubernetes Service Accounts. En entornos donde docenas de microservicios mantienen cada uno su propio secreto de cliente, esto elimina tanto la sobrecarga de gestión como el riesgo de rotación.

Nota: La autenticación OAuth SPIFFE de clientes permanece en vista previa ya que la especificación todavía está en borrador.

Workflows

Capacidades IGA — nativamente en Keycloak, definidas en YAML.

Los Workflows permiten a los administradores automatizar tareas administrativas del realm mediante pipelines definidas en YAML, activadas por eventos, condiciones o programaciones. Las operaciones admitidas incluyen gestión del ciclo de vida de usuarios y clientes — aprovisionamiento, desaprovisionamiento y transiciones de estado.

Esta es la funcionalidad más significativa de esta publicación para entornos regulados. Incorpora capacidades de Identity Governance and Administration (IGA) de forma nativa en Keycloak, reduciendo la necesidad de herramientas externas para automatizar procesos de identidad como los flujos de incorporación, cambio y baja de empleados.

Actualizaciones de parche sin tiempo de inactividad

Actualizaciones progresivas dentro del mismo flujo major.minor — habilitadas por defecto.

Las actualizaciones progresivas dentro del mismo flujo major.minor ahora son compatibles sin interrupción del servicio. Esto está habilitado por defecto. En Kubernetes con el Operador de Keycloak, establece la estrategia de actualización en Auto para beneficiarte automáticamente.

Importante: esto aplica solo a actualizaciones de versión de parche (p. ej. 26.5.5 → 26.5.7). Las actualizaciones de versión menor (26.5 → 26.6) siguen requiriendo una ventana de mantenimiento planificada.

Keycloak Test Framework

JUnit 6 — reemplaza Arquillian + JUnit 4.

El nuevo framework gestiona de forma transparente el ciclo de vida de Keycloak, la base de datos y los recursos inyectados. Relevante para equipos que construyen SPIs o extensiones personalizadas.

Otros cambios que vale la pena mencionar

  • Soporte para Java 25 — Keycloak ahora se ejecuta en OpenJDK 25. La imagen de contenedor continúa usando OpenJDK 21 por compatibilidad FIPS.
  • Prefijo de variable de entorno KCRAW_ — Los valores que contienen caracteres $ inyectados mediante secretos de Kubernetes eran silenciosamente alterados por la evaluación de expresiones de SmallRye. KCRAW_ preserva el valor exactamente como se proporcionó.
  • Cambio de contraseña forzado por LDAP — Keycloak ahora respeta el control "must change password" del servidor LDAP. Anteriormente, los usuarios podían pasar sin que se les solicitara el cambio.
  • Cierre HTTP elegante — Drenaje de conexiones durante el apagado antes de terminar, reduciendo respuestas de error durante reinicios progresivos.
  • Servidor de autorización MCP (experimental) — Keycloak ahora puede actuar como servidor de autorización para el Model Context Protocol versión 2025-11-25+.
  • Token Exchange V1 deprecado — Planifica tu migración a V2.

¿Deberías actualizar?

Sí, y sin urgencia — esta no es una publicación de seguridad. Planifica la actualización dentro de tu ventana de mantenimiento habitual.

Si ejecutas Keycloak en Kubernetes con el Operador, las actualizaciones de parche sin tiempo de inactividad están habilitadas por defecto, lo que simplifica futuras actualizaciones dentro del flujo 26.x.

Notas de publicación completas: keycloak.org/2026/04/keycloak-2660-released

En IDPTrust nos especializamos en Keycloak en producción. Si necesitas ayuda para evaluar esta publicación o planificar una actualización, contáctanos.