Keycloak 26.3

Écrit par Laurent Meunier

Keycloak est disponible en version 26.3.0 depuis le 02 juillet 2025 (puis suivi par la 26.3.1 une semaine plus tard).

Comme à son habitude, l’équipe de développement nous propose un patchnote et un guide migration complets.

Outre les nombreuses corrections de bugs, on notera quelques nouvelles fonctionnalités intéressantes. Notamment la simplification de la mise en œuvre de WebAuthn et des recovery codes comme seconds facteurs d’authentification : il suffit maintenant d’un clic pour les activer dans le flow d’authentification et ces deux options sont disponibles aux utilisateurs.

L’authentification WebAuthn permet à un utilisateur de s’authentifier via une clé d’authentification forte (typiquement une clé physique à brancher en USB). 

Quant aux recovery codes, leur but est de servir d’alternative à un second facteur d’authentification déjà en place (TOTP ou WebAuthn). Si le second facteur d’authentification ne peut pas être utilisé (le cas le plus courant est la perte du téléphone ou de la clé USB), alors Keycloak permet d’utiliser un des recovery codes comme alternative. L’utilisateur aura ensuite la possibilité de réinitialiser le TOTP ou WebAuthn par la suite.

Les recovery codes prennent la forme d’une suite de 12 codes à usage unique. Ces codes sont affichés une seule fois à l’utilisateur et charge à lui de les conserver en sécurité de son côté (dans un fichier, impression, un gestionnaire de mot de passe, etc.). Lors de l’utilisation d’un des recovery codes, celui-ci est alors consommé et ne pourra plus être utilisé à nouveau.

Plus de détails dans la documentation de Keycloak : WebAuthn et Recovery codes.