Saltar al contenido principal Saltar al contenido complementario

Administrar pares de claves para tokens de ID firmados y cifrados.

Con los proveedores de identidad OpenID Connect (OIDC), se utilizan tokens web JSON (JWT) para autenticar y autorizar a los usuarios. Estos tokens pueden firmarse para verificar su autenticidad y cifrarse para proteger su contenido.

Qlik Cloud admite la verificación de firma del token y el descifrado para todos los proveedores de identidad OIDC compatibles con la plataforma.

Entender los pares de claves

Un par de claves, formado por una clave pública y una clave privada, es fundamental en este proceso:

  • Clave pública: la usa el proveedor de identidad para encriptar tokens.

  • Clave privada: la usa Qlik Cloud para descifrar tokens y acceder a la información que contienen.

Cómo funciona:

  1. Cuando un usuario inicia sesión en Qlik Cloud, el proveedor de identidad externo inicia el flujo de autenticación de OIDC con Qlik Cloud.

  2. El proveedor de identidad envía de vuelta el token de ID del usuario, que incluye información específica del usuario, como su identidad:

    • El token se firma con la clave privada del proveedor de identidad para confirmar su autenticidad e integridad.

    • El token se encripta utilizando la clave pública Qlik Cloud para garantizar que solo Qlik Cloud pueda desencriptar y acceder a la información que contiene.

  3. Qlik Cloud verifica la firma del token de ID utilizando la clave pública del proveedor de identidad. A continuación descifra el token utilizando su propia clave privada para recuperar los detalles del usuario.

Este proceso garantiza que únicamente las partes autorizadas puedan acceder y utilizar la información del token.

Generar pares de claves

Puede generar pares de claves para la verificación de la firma del token y el descifrado para las configuraciones de IdP de OIDC.

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Proveedor de identidad.

  2. Crear nueva configuración de IdP.

    Si desea conocer los pasos detallados para configurar IdP, consulte Crear una configuración de IdP.

  3. Expanda la sección Opciones avanzadas.

  4. En Verificación de firma y descifrado de token, elija el tipo de clave: RSA 2048 o RSA 4096.

  5. Haga clic en Crear.

  6. En el cuadro de diálogo de confirmación:

    • Haga clic en Copiar para copiar la clave pública.

    • Haga clic en Descargar para descargar la clave como certificado.

    Diálogo de confirmación.

    El diálogo de confirmación con la opción de copiado y los dos botones de acción Después y Validar.
    Nota informativaQue necesite la clave pública o el certificado depende de los requisitos de su proveedor de identidad. Ambos se descargan en formato PEM. Si su proveedor de identidad requiere un formato diferente, utilice una herramienta como OpenSSL para convertir el Archivo PEM.
  7. Antes de validarlo, debe proporcionar la clave pública a su proveedor de identidad. Haga clic en Más tarde para salir temporalmente del proceso de configuración.

  8. Comparta la clave pública o el certificado con su proveedor de identidad:

    • Vaya a la interfaz de configuración de su proveedor de identidad y siga sus instrucciones para cargar o introducir la clave pública. Consulte su documentación para conocer los pasos detallados.

  9. Tras completar la configuración en su proveedor de identidad, vuelva al centro de actividad Administración para finalizar la validación:

    1. En su configuración de IdP, haga clic en Más y seleccione Validar.

    2. Haga clic en Validar para comenzar el proceso de validación.

    3. Siga las instrucciones que aparecen en pantalla para iniciar sesión y confirmar que el par de claves está correctamente configurado y reconocido.

Una vez validado correctamente el par de claves, el proveedor de identidad puede utilizarse para verificar y descifrar de forma segura la firma del token.

Rotación de pares de claves

La rotación de claves consiste en sustituir periódicamente las claves criptográficas para minimizar los riesgos de seguridad. En: Qlik Cloud puede regenerar pares de claves con la misma o distinta fortaleza. El nuevo par de claves sustituirá al antiguo tras una validación correcta.

Nota informativaLa regeneración del par de claves no reemplaza inmediatamente al antiguo. El antiguo par de claves permanece activo hasta que se valida la nueva configuración del IdP. Debe cargar la nueva clave pública o el certificado en su proveedor de identidad y completar el proceso de validación para activar la nueva clave.

Volver a generar pares de claves

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Proveedor de identidad.

  2. Busque la configuración de su IdP, haga clic en Más y seleccione Editar.

  3. Expanda la sección Opciones avanzadas.

  4. En Verificación de firma y descifrado de token, elija la intensidad de clave deseada en Volver a generar la clave.

    Puede seleccionar la misma intensidad o una distinta a la de la clave anterior.

    Opciones de configuración para volver a generar claves.

    Las opciones de configuración muestran la clave generada y la opción de volver a generarlas.
  5. Haga clic en Volver a generar la clave Volver a generar.

  6. En el cuadro de diálogo de confirmación:

    • Haga clic en Copiar para copiar la clave pública.

    • Haga clic en Descargar para descargar la clave como certificado.

    Nota informativaQue necesite la clave pública o el certificado depende de los requisitos de su proveedor de identidad. Ambos se descargan en formato PEM. Si su proveedor de identidad requiere un formato diferente, utilice una herramienta como OpenSSL para convertir el archivo PEM.
  7. Antes de poder validarlo, debe actualizar la configuración de su proveedor de identidad. Haga clic en Más tarde para salir temporalmente del proceso de configuración.

  8. Comparta la nueva clave pública o certificado con el proveedor de identidad:

    • Vaya a la interfaz de configuración de su proveedor de identidad y siga sus instrucciones para cargar o introducir la clave pública. Consulte su documentación para conocer los pasos detallados.

  9. Tras completar la configuración en su proveedor de identidad, vuelva al centro de actividades Administración para finalizar la validación:

    1. En su configuración de IdP, haga clic en Más y seleccione Validar.

    2. Haga clic en Validar para comenzar el proceso de validación.

    3. Siga las instrucciones que aparecen en pantalla para iniciar sesión y confirmar que el par de claves está correctamente configurado y reconocido.

Una vez validado correctamente, el nuevo par de claves reemplazará al anterior para todos los inicios de sesión futuros. Si la validación falla, el par de claves recién generado se ignorará y el par de claves anterior permanecerá en uso.

Eliminar pares de claves

Haga lo siguiente:

  1. En el centro de actividades Administración, vaya a Proveedor de identidad.

  2. En su configuración de IdP, haga clic en Más y seleccione Editar.

  3. Expanda la sección Opciones avanzadas.

  4. En Verificación de firma y descifrado de token, haga clic en Eliminar junto a la clave generada.

  5. Confirme la eliminación.

Asegúrese de eliminar también la clave pública de su proveedor de identidad para evitar problemas de inicio de sesión.

¿Esta página le ha sido útil?

No dude en indicarnos en qué podemos mejorar si encuentra algún problema en esta página o su contenido, como, por ejemplo, errores tipográficos, pasos que falta o errores técnicos.