Zu Hauptinhalt springen Zu ergänzendem Inhalt springen

Verwalten von Schlüsselpaaren für signierte und verschlüsselte ID-Token

Bei den OIDC-Identitätsanbietern (OpenID Connect) werden JSON Web Tokens (JWT) verwendet, um Benutzer zu authentifizieren und zu autorisieren. Diese Token können signiert werden, um ihre Authentizität zu überprüfen, und verschlüsselt werden, um ihren Inhalt zu schützen.

Qlik Cloud unterstützt die Token-Signaturprüfung und -Entschlüsselung für alle mit der Plattform kompatiblen OIDC-Identitätsanbieter.

Verstehen von Schlüsselpaaren

Ein Schlüsselpaar, das aus einem öffentlichen und einem privaten Schlüssel besteht, ist ein wesentliches Element dieses Prozesses:

  • Öffentlicher Schlüssel: wird vom Identitätsanbieter zur Verschlüsselung von Token verwendet

  • Privater Schlüssel: wird von Qlik Cloud zur Entschlüsselung von Token und zum Zugriff auf die darin enthaltenen Informationen verwendet

So funktioniert es:

  1. Wenn sich ein Benutzer bei Qlik Cloud anmeldet, initiiert der externe Identitätsanbieter den OIDC-Authentifizierungsablauf mit Qlik Cloud.

  2. Der Identitätsanbieter sendet das ID-Token des Benutzers zurück, das benutzerspezifische Informationen wie die Identität des Benutzers enthält:

    • Das Token wird mit dem privaten Schlüssel des Identitätsanbieters signiert, um seine Authentizität und Integrität zu bestätigen.

    • Das Token wird mit dem öffentlichen Schlüssel Qlik Cloud verschlüsselt, um sicherzustellen, dass nur Qlik Cloud die enthaltenen Informationen entschlüsseln und darauf zugreifen kann.

  3. Qlik Cloud überprüft die Signatur des ID-Tokens unter Verwendung des öffentlichen Schlüssels des Identitätsanbieters. Dann entschlüsselt Qlik Cloud den Token mit dem eigenen privaten Schlüssel, um die Details des Benutzers abzurufen.

Dieses Verfahren stellt sicher, dass nur autorisierte Parteien auf die Informationen des Tokens zugreifen und diese verwenden können.

Generieren von Schlüsselpaaren

Sie können Schlüsselpaare für die Verifizierung von Token-Signaturen und für die Entschlüsselung in OIDC- IdP-Konfigurationen generieren.

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter „Administration“ zu Identitätsanbieter.

  2. Erstellen Sie eine neue IdP-Konfiguration.

    Detaillierte Schritte zur Konfiguration von IdPs finden Sie unter Erstellen einer IdP-Konfiguration.

  3. Erweitern Sie den Abschnitt Erweiterte Optionen.

  4. Wählen Sie unter Verifizierung und Entschlüsselung der Token-Signatur den Schlüsseltyp aus: RSA 2048 oder RSA 4096.

  5. Klicken Sie auf Erstellen.

  6. Gehen Sie im Bestätigungsdialogfeld wie folgt vor:

    • Klicken Sie auf Kopieren, um den öffentlichen Schlüssel zu kopieren.

    • Klicken Sie auf Herunterladen, um den Schlüssel als Zertifikat herunterzuladen.

    Bestätigungsdialogfeld

    Bestätigungsdialog mit Kopieroption und den beiden Aktionsschaltflächen „Später“ und „Validieren“
    InformationshinweisOb Sie den öffentlichen Schlüssel oder das Zertifikat benötigen, hängt von den Anforderungen Ihres Identitätsanbieters ab. Beide werden im PEM-Format heruntergeladen. Wenn Ihr Identitätsanbieter ein anderes Format erfordert, verwenden Sie ein Tool wie OpenSSL, um die PEM-Datei zu konvertieren.
  7. Bevor Sie validieren können, müssen Sie den öffentlichen Schlüssel an Ihren Identitätsanbieter weitergeben. Klicken Sie auf Später, um den Konfigurationsprozess vorübergehend zu verlassen.

  8. Teilen Sie den öffentlichen Schlüssel oder das Zertifikat mit Ihrem Identitätsanbieter:

    • Gehen Sie zur Einrichtungs-Benutzeroberfläche Ihres Identitätsanbieters und folgen Sie den dortigen Anweisungen, um den öffentlichen Schlüssel hochzuladen oder einzugeben. Detaillierte Schritte finden Sie in der jeweiligen Dokumentation.

  9. Nachdem Sie die Einrichtung in Ihrem Identitätsanbieter abgeschlossen haben, kehren Sie zum Aktivitätscenter „Administration“ zurück, um die Validierung abzuschließen:

    1. Klicken Sie in Ihrer IdP-Konfiguration auf Mehr und wählen Sie Validieren aus.

    2. Klicken Sie auf Validieren, um den Validierungsprozess zu starten.

    3. Folgen Sie den Anweisungen auf dem Bildschirm, um sich anzumelden und zu bestätigen, dass das Schlüsselpaar korrekt eingerichtet ist und erkannt wird.

Nachdem das Schlüsselpaar erfolgreich validiert wurde, kann der Identitätsanbieter für die sichere Token-Signaturüberprüfung und Entschlüsselung verwendet werden.

Rotieren von Schlüsselpaaren

Bei der Schlüsselrotation werden die kryptografischen Schlüssel regelmäßig ersetzt, um Sicherheitsrisiken zu minimieren. In Qlik Cloud können Sie Schlüsselpaare mit gleicher oder unterschiedlicher Stärke neu generieren. Nach der erfolgreichen Validierung wird das alte Schlüsselpaar durch das neue ersetzt.

InformationshinweisBei der Neugenerierung des Schlüsselpaares wird das alte nicht sofort ersetzt. Das alte Schlüsselpaar bleibt aktiv, bis die neue IdP-Konfiguration validiert ist. Sie müssen den neuen öffentlichen Schlüssel oder das Zertifikat bei Ihrem Identitätsanbieter hochladen und den Validierungsprozess durchführen, um den neuen Schlüssel zu aktivieren.

Neugenerieren von Schlüsselpaaren

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter „Administration“ zu Identitätsanbieter.

  2. Klicken Sie in Ihrer IdP-Konfiguration auf Mehr und wählen Sie Bearbeiten aus.

  3. Erweitern Sie den Abschnitt Erweiterte Optionen.

  4. Wählen Sie in Verifizierung und Entschlüsselung der Token-Signatur unter Schlüssel neu generieren die gewünschte Schlüsselstärke aus.

    Sie können die gleiche oder eine andere Stärke als die des vorherigen Schlüssels auswählen.

    Einstellungen zum Regenerieren von Schlüsseln

    Die Konfigurationseinstellungen zeigen den generierten Schlüssel und die Option zum Neugenerieren.
  5. Klicken Sie auf Schlüssel neu generieren Neu generieren.

  6. Gehen Sie im Bestätigungsdialogfeld wie folgt vor:

    • Klicken Sie auf Kopieren, um den öffentlichen Schlüssel zu kopieren.

    • Klicken Sie auf Herunterladen, um den Schlüssel als Zertifikat herunterzuladen.

    InformationshinweisOb Sie den öffentlichen Schlüssel oder das Zertifikat benötigen, hängt von den Anforderungen Ihres Identitätsanbieters ab. Beide werden im PEM-Format heruntergeladen. Wenn Ihr Identitätsanbieter ein anderes Format erfordert, verwenden Sie ein Tool wie OpenSSL, um die PEM-Datei zu konvertieren.
  7. Bevor Sie validieren können, müssen Sie die Einrichtung in Ihrem Identitätsanbieter aktualisieren. Klicken Sie auf Später, um den Konfigurationsprozess vorübergehend zu verlassen.

  8. Teilen Sie den neuen öffentlichen Schlüssel oder das Zertifikat mit Ihrem Identitätsanbieter:

    • Gehen Sie zur Einrichtungs-Benutzeroberfläche Ihres Identitätsanbieters und folgen Sie den dortigen Anweisungen, um den öffentlichen Schlüssel hochzuladen oder einzugeben. Detaillierte Schritte finden Sie in der jeweiligen Dokumentation.

  9. Nachdem Sie die Einrichtung in Ihrem Identitätsanbieter abgeschlossen haben, kehren Sie zum Aktivitätscenter „Administration“ zurück, um die Validierung abzuschließen:

    1. Klicken Sie in Ihrer IdP-Konfiguration auf Mehr und wählen Sie Validieren aus.

    2. Klicken Sie auf Validieren, um den Validierungsprozess zu starten.

    3. Folgen Sie den Anweisungen auf dem Bildschirm, um sich anzumelden und zu bestätigen, dass das Schlüsselpaar korrekt eingerichtet ist und erkannt wird.

Nach erfolgreicher Validierung ersetzt das neue Schlüsselpaar das vorherige für alle zukünftigen Anmeldungen. Wenn die Validierung fehlgeschlagen ist, wird das neu generierte Schlüsselpaar ignoriert, und das vorherige Schlüsselpaar wird weiter verwendet.

Löschen von Schlüsselpaaren

Gehen Sie folgendermaßen vor:

  1. Gehen Sie im Aktivitätscenter „Administration“ zu Identitätsanbieter.

  2. Klicken Sie in der IdP-Konfiguration auf Mehr und wählen Sie Bearbeiten aus.

  3. Erweitern Sie den Abschnitt Erweiterte Optionen.

  4. Wählen Sie in Verifizierung und Entschlüsselung der Token-Signatur neben dem generierten Schlüssel auf Löschen.

  5. Bestätigen Sie das Löschen.

Stellen Sie sicher, dass der öffentliche Schlüssel auch von Ihrem Identitätsanbieter entfernt wird, um Probleme bei der Anmeldung zu vermeiden.

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!