Administrar pares de claves para tokens de ID firmados y cifrados.
Con los proveedores de identidad OpenID Connect (OIDC), se utilizan tokens web JSON (JWT) para autenticar y autorizar a los usuarios. Estos tokens pueden firmarse para verificar su autenticidad y cifrarse para proteger su contenido.
Qlik Cloud admite la verificación de firma del token y el descifrado para todos los proveedores de identidad OIDC compatibles con la plataforma.
Entender los pares de claves
Un par de claves, formado por una clave pública y una clave privada, es fundamental en este proceso:
-
Clave pública: la usa el proveedor de identidad para encriptar tokens.
-
Clave privada: la usa Qlik Cloud para descifrar tokens y acceder a la información que contienen.
Cómo funciona:
-
Cuando un usuario inicia sesión en Qlik Cloud, el proveedor de identidad externo inicia el flujo de autenticación de OIDC con Qlik Cloud.
-
El proveedor de identidad envía de vuelta el token de ID del usuario, que incluye información específica del usuario, como su identidad:
-
El token se firma con la clave privada del proveedor de identidad para confirmar su autenticidad e integridad.
-
El token se encripta utilizando la clave pública Qlik Cloud para garantizar que solo Qlik Cloud pueda desencriptar y acceder a la información que contiene.
-
-
Qlik Cloud verifica la firma del token de ID utilizando la clave pública del proveedor de identidad. A continuación descifra el token utilizando su propia clave privada para recuperar los detalles del usuario.
Este proceso garantiza que únicamente las partes autorizadas puedan acceder y utilizar la información del token.
Generar pares de claves
Puede generar pares de claves para la verificación de la firma del token y el descifrado para las configuraciones de IdP de OIDC.
Haga lo siguiente:
-
En el centro de actividades Administración, vaya a Proveedor de identidad.
-
Crear nueva configuración de IdP.
Si desea conocer los pasos detallados para configurar IdP, consulte Crear una configuración de IdP.
-
Expanda la sección Opciones avanzadas.
-
En Verificación de firma y descifrado de token, elija el tipo de clave: RSA 2048 o RSA 4096.
-
Haga clic en Crear.
-
En el cuadro de diálogo de confirmación:
-
Haga clic en para copiar la clave pública.
-
Haga clic en para descargar la clave como certificado.
Nota informativaQue necesite la clave pública o el certificado depende de los requisitos de su proveedor de identidad. Ambos se descargan en formato PEM. Si su proveedor de identidad requiere un formato diferente, utilice una herramienta como OpenSSL para convertir el Archivo PEM. -
-
Antes de validarlo, debe proporcionar la clave pública a su proveedor de identidad. Haga clic en Más tarde para salir temporalmente del proceso de configuración.
-
Comparta la clave pública o el certificado con su proveedor de identidad:
-
Vaya a la interfaz de configuración de su proveedor de identidad y siga sus instrucciones para cargar o introducir la clave pública. Consulte su documentación para conocer los pasos detallados.
-
-
Tras completar la configuración en su proveedor de identidad, vuelva al centro de actividad Administración para finalizar la validación:
-
En su configuración de IdP, haga clic en y seleccione Validar.
-
Haga clic en Validar para comenzar el proceso de validación.
-
Siga las instrucciones que aparecen en pantalla para iniciar sesión y confirmar que el par de claves está correctamente configurado y reconocido.
-
Una vez validado correctamente el par de claves, el proveedor de identidad puede utilizarse para verificar y descifrar de forma segura la firma del token.
Rotación de pares de claves
La rotación de claves consiste en sustituir periódicamente las claves criptográficas para minimizar los riesgos de seguridad. En: Qlik Cloud puede regenerar pares de claves con la misma o distinta fortaleza. El nuevo par de claves sustituirá al antiguo tras una validación correcta.
Volver a generar pares de claves
Haga lo siguiente:
-
En el centro de actividades Administración, vaya a Proveedor de identidad.
-
Busque la configuración de su IdP, haga clic en y seleccione Editar.
-
Expanda la sección Opciones avanzadas.
-
En Verificación de firma y descifrado de token, elija la intensidad de clave deseada en Volver a generar la clave.
Puede seleccionar la misma intensidad o una distinta a la de la clave anterior.
-
Haga clic en Volver a generar la clave .
-
En el cuadro de diálogo de confirmación:
-
Haga clic en para copiar la clave pública.
-
Haga clic en para descargar la clave como certificado.
Nota informativaQue necesite la clave pública o el certificado depende de los requisitos de su proveedor de identidad. Ambos se descargan en formato PEM. Si su proveedor de identidad requiere un formato diferente, utilice una herramienta como OpenSSL para convertir el archivo PEM. -
-
Antes de poder validarlo, debe actualizar la configuración de su proveedor de identidad. Haga clic en Más tarde para salir temporalmente del proceso de configuración.
-
Comparta la nueva clave pública o certificado con el proveedor de identidad:
-
Vaya a la interfaz de configuración de su proveedor de identidad y siga sus instrucciones para cargar o introducir la clave pública. Consulte su documentación para conocer los pasos detallados.
-
-
Tras completar la configuración en su proveedor de identidad, vuelva al centro de actividades Administración para finalizar la validación:
-
En su configuración de IdP, haga clic en y seleccione Validar.
-
Haga clic en Validar para comenzar el proceso de validación.
-
Siga las instrucciones que aparecen en pantalla para iniciar sesión y confirmar que el par de claves está correctamente configurado y reconocido.
-
Una vez validado correctamente, el nuevo par de claves reemplazará al anterior para todos los inicios de sesión futuros. Si la validación falla, el par de claves recién generado se ignorará y el par de claves anterior permanecerá en uso.
Eliminar pares de claves
Haga lo siguiente:
-
En el centro de actividades Administración, vaya a Proveedor de identidad.
-
En su configuración de IdP, haga clic en y seleccione Editar.
-
Expanda la sección Opciones avanzadas.
-
En Verificación de firma y descifrado de token, haga clic en junto a la clave generada.
-
Confirme la eliminación.
Asegúrese de eliminar también la clave pública de su proveedor de identidad para evitar problemas de inicio de sesión.