Gestion des paires de clés pour les jetons d'ID signés et chiffrés
Avec les fournisseurs d'identité OpenID Connect (OIDC), les jetons JWT (JSON Web Tokens) sont utilisés pour authentifier et autoriser les utilisateurs. Ces jetons peuvent être signés pour vérifier leur authentification et chiffrés pour protéger leur contenu.
Qlik Cloud supporte la vérification et le déchiffrement de la signature des jetons pour tous les fournisseurs d'identité OIDC compatibles avec la plateforme.
Comprendre les paires de clés
Une paire de clés, composée d'une clé publique et d'une clé privée, est essentielle à ce processus :
-
Clé Publique : utilisée par le fournisseur d'identité pour chiffrer les jetons.
-
Clé privée : utilisée par Qlik Cloud pour déchiffrer les jetons et accéder aux informations qu'ils contiennent.
Principe de fonctionnement :
-
Lorsqu'un utilisateur se connecte à Qlik Cloud, le fournisseur d'identité externe lance le flux d'authentification OIDC auprès de Qlik Cloud.
-
Le fournisseur d'identité renvoie le jeton d'ID de l'utilisateur, qui inclut des informations spécifiques à l'utilisateur telles que son identité :
-
Le jeton est signé à l'aide de la clé privée du fournisseur d'identité pour confirmer son authenticité et son intégrité.
-
Le jeton est chiffré à l'aide de la clé publique Qlik Cloud afin de garantir que seul Qlik Cloud peut déchiffrer les informations contenues et y accéder.
-
-
Qlik Cloud vérifie la signature du jeton d'ID via la clé publique du fournisseur d'identité. Il déchiffre ensuite le jeton via sa propre clé privée pour récupérer les détails de l'utilisateur.
Ce processus permet de s'assurer que seules les parties autorisées peuvent accéder aux informations du jeton et les utiliser.
Génération de paires de clés
Vous pouvez générer des paires de clés pour la vérification et le déchiffrement de la signature des jetons pour les configurations IdP OIDC.
Procédez comme suit :
-
Dans le centre d'activités Administration, accédez à Fournisseur d'identité.
-
Créez une configuration IdP.
Pour connaître les étapes détaillées de la configuration des IdP, consultez Création d'une configuration IdP.
-
Développez la section Options avancées.
-
Sous Vérification et déchiffrement de signature de jeton, sélectionnez le type de clé : RSA 2048 ou RSA 4096.
-
Cliquez sur Créer.
-
Dans la boîte de dialogue de confirmation :
-
Cliquez sur pour copier la clé publique.
-
Cliquez sur pour télécharger la clé sous forme de certificat.
Note InformationsL'utilisation de la clé publique ou du certificat dépend des exigences de votre fournisseur d'identité. Les deux sont téléchargés au format PEM. Si votre fournisseur d'identité nécessite un format différent, utilisez un outil comme OpenSSL pour convertir le fichier PEM. -
-
Avant de pouvoir valider, vous devez fournir la clé publique à votre fournisseur d'identité. Cliquez sur Plus tard pour quitter temporairement le processus de configuration.
-
Partagez la clé publique ou le certificat avec votre fournisseur d'identité :
-
Accédez à l'interface de configuration de votre fournisseur d'identité et suivez ses instructions pour charger ou saisir la clé publique. Pour connaître les étapes détaillées, consultez la documentation correspondante.
-
-
Après avoir terminé la configuration dans votre fournisseur d'identité, revenez au centre d'activités Administration pour terminer la validation :
-
Dans votre configuration IdP, cliquez sur et sélectionnez Valider.
-
Cliquez sur Valider pour démarrer le processus de validation.
-
Suivez les instructions à l'écran pour vous connecter et confirmer que la paire de clés est correctement configurée et reconnue.
-
Une fois la paire de clés validée, le fournisseur d'identité peut être utilisé pour la vérification et le déchiffrement sécurisés de la signature des jetons.
Rotation de paires de clés
La rotation de clés consiste à remplacer périodiquement les clés de chiffrement pour minimiser les risques de sécurité. Dans Qlik Cloud, vous pouvez regénérer des paires de clés présentant la même force ou une force différente. Une fois validée, la nouvelle paire de clés remplacera l'ancienne.
Regénération de paires de clés
Procédez comme suit :
-
Dans le centre d'activités Administration, accédez à Fournisseur d'identité.
-
Recherchez votre configuration IdP, cliquez sur et sélectionnez Modifier.
-
Développez la section Options avancées.
-
Sous Vérification et déchiffrement de signature de jeton, sélectionnez la force de clé souhaitée sous Regénérer la clé.
Vous pouvez sélectionner la même force que celle de la clé précédente ou une force différente.
-
Cliquez sur Regénérer la clé .
-
Dans la boîte de dialogue de confirmation :
-
Cliquez sur pour copier la clé publique.
-
Cliquez sur pour télécharger la clé sous forme de certificat.
Note InformationsL'utilisation de la clé publique ou du certificat dépend des exigences de votre fournisseur d'identité. Les deux sont téléchargés au format PEM. Si votre fournisseur d'identité nécessite un format différent, utilisez un outil comme OpenSSL pour convertir le fichier PEM. -
-
Avant de pouvoir valider, vous devez mettre à jour la configuration dans votre fournisseur d'identité. Cliquez sur Plus tard pour quitter temporairement le processus de configuration.
-
Partagez la nouvelle clé publique ou le nouveau certificat avec le fournisseur d'identité :
-
Accédez à l'interface de configuration de votre fournisseur d'identité et suivez ses instructions pour charger ou saisir la clé publique. Pour connaître les étapes détaillées, consultez la documentation correspondante.
-
-
Après avoir terminé la configuration dans votre fournisseur d'identité, revenez au centre d'activités Administration pour terminer la validation :
-
Dans votre configuration IdP, cliquez sur et sélectionnez Valider.
-
Cliquez sur Valider pour démarrer le processus de validation.
-
Suivez les instructions à l'écran pour vous connecter et confirmer que la paire de clés est correctement configurée et reconnue.
-
Une fois validée, la nouvelle paire de clés remplacera la précédente pour toutes les connexions ultérieures. En cas d'échec de la validation, la paire de clés qui vient d'être générée sera ignorée et la paire de clés précédente continuera d'être utilisée.
Suppression de paires de clés
Procédez comme suit :
-
Dans le centre d'activités Administration, accédez à Fournisseur d'identité.
-
Dans votre configuration IdP, cliquez sur et sélectionnez Modifier.
-
Développez la section Options avancées.
-
Sous Vérification et déchiffrement de signature de jeton, cliquez sur à côté de la clé générée.
-
Confirmez la suppression.
Veillez à ce que la clé publique soit également supprimée de votre fournisseur d'identité afin d'éviter tout problème de connexion.