Accéder au contenu principal Passer au contenu complémentaire
Ressources Qlik

Gestion des paires de clés pour les jetons d'ID signés et chiffrés

Avec les fournisseurs d'identité OpenID Connect (OIDC), les jetons JWT (JSON Web Tokens) sont utilisés pour authentifier et autoriser les utilisateurs. Ces jetons peuvent être signés pour vérifier leur authentification et chiffrés pour protéger leur contenu.

Qlik Cloud supporte la vérification et le déchiffrement de la signature des jetons pour tous les fournisseurs d'identité OIDC compatibles avec la plateforme.

Comprendre les paires de clés

Une paire de clés, composée d'une clé publique et d'une clé privée, est essentielle à ce processus :

  • Clé Publique : utilisée par le fournisseur d'identité pour chiffrer les jetons.

  • Clé privée : utilisée par Qlik Cloud pour déchiffrer les jetons et accéder aux informations qu'ils contiennent.

Principe de fonctionnement :

  1. Lorsqu'un utilisateur se connecte à Qlik Cloud, le fournisseur d'identité externe lance le flux d'authentification OIDC auprès de Qlik Cloud.

  2. Le fournisseur d'identité renvoie le jeton d'ID de l'utilisateur, qui inclut des informations spécifiques à l'utilisateur telles que son identité :

    • Le jeton est signé à l'aide de la clé privée du fournisseur d'identité pour confirmer son authenticité et son intégrité.

    • Le jeton est chiffré à l'aide de la clé publique Qlik Cloud afin de garantir que seul Qlik Cloud peut déchiffrer les informations contenues et y accéder.

  3. Qlik Cloud vérifie la signature du jeton d'ID via la clé publique du fournisseur d'identité. Il déchiffre ensuite le jeton via sa propre clé privée pour récupérer les détails de l'utilisateur.

Ce processus permet de s'assurer que seules les parties autorisées peuvent accéder aux informations du jeton et les utiliser.

Génération de paires de clés

Vous pouvez générer des paires de clés pour la vérification et le déchiffrement de la signature des jetons pour les configurations IdP OIDC.

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Fournisseur d'identité.

  2. Créez une configuration IdP.

    Pour connaître les étapes détaillées de la configuration des IdP, consultez Création d'une configuration de fournisseur d'identité.

  3. Développez la section Options avancées.

  4. Sous Vérification et déchiffrement de signature de jeton, sélectionnez le type de clé : RSA 2048 ou RSA 4096.

  5. Cliquez sur Créer.

  6. Dans la boîte de dialogue de confirmation :

    • Cliquez sur Copier pour copier la clé publique.

    • Cliquez sur Télécharger pour télécharger la clé sous forme de certificat.

    Boîte de dialogue de confirmation.

    Boîte de dialogue de confirmation avec l'option Copier et les deux boutons d'action Plus tard et Valider.
    Note InformationsL'utilisation de la clé publique ou du certificat dépend des exigences de votre fournisseur d'identité. Les deux sont téléchargés au format PEM. Si votre fournisseur d'identité nécessite un format différent, utilisez un outil comme OpenSSL pour convertir le fichier PEM.

  7. Avant de pouvoir valider, vous devez fournir la clé publique à votre fournisseur d'identité. Cliquez sur Plus tard pour quitter temporairement le processus de configuration.

  8. Partagez la clé publique ou le certificat avec votre fournisseur d'identité :

    • Accédez à l'interface de configuration de votre fournisseur d'identité et suivez ses instructions pour charger ou saisir la clé publique. Pour connaître les étapes détaillées, consultez la documentation correspondante.

  9. Après avoir terminé la configuration dans votre fournisseur d'identité, revenez au centre d'activités Administration pour terminer la validation :

    1. Dans votre configuration IdP, cliquez sur Plus et sélectionnez Valider.

    2. Cliquez sur Valider pour démarrer le processus de validation.

    3. Suivez les instructions à l'écran pour vous connecter et confirmer que la paire de clés est correctement configurée et reconnue.

Une fois la paire de clés validée, le fournisseur d'identité peut être utilisé pour la vérification et le déchiffrement sécurisés de la signature des jetons.

Rotation de paires de clés

La rotation de clés consiste à remplacer périodiquement les clés de chiffrement pour minimiser les risques de sécurité. Dans Qlik Cloud, vous pouvez regénérer des paires de clés présentant la même force ou une force différente. Une fois validée, la nouvelle paire de clés remplacera l'ancienne.

Note InformationsLa regénération de la paire de clés ne remplace pas immédiatement l'ancienne. L'ancienne paire de clés reste active jusqu'à ce que la nouvelle configuration IdP soit validée. Vous devez charger la nouvelle clé publique ou le nouveau certificat dans votre fournisseur d'identité et effectuer le processus de validation pour activer la nouvelle clé.

Regénération de paires de clés

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Fournisseur d'identité.

  2. Recherchez votre configuration IdP, cliquez sur Plus et sélectionnez Modifier.

  3. Développez la section Options avancées.

  4. Sous Vérification et déchiffrement de signature de jeton, sélectionnez la force de clé souhaitée sous Regénérer la clé.

    Vous pouvez sélectionner la même force que celle de la clé précédente ou une force différente.

    Paramètres pour la regénération de clés.

    Paramètres de configuration affichant la clé générée et l'option de regénération.

  5. Cliquez sur Regénérer la clé Regénérer.

  6. Dans la boîte de dialogue de confirmation :

    • Cliquez sur Copier pour copier la clé publique.

    • Cliquez sur Télécharger pour télécharger la clé sous forme de certificat.

    Note InformationsL'utilisation de la clé publique ou du certificat dépend des exigences de votre fournisseur d'identité. Les deux sont téléchargés au format PEM. Si votre fournisseur d'identité nécessite un format différent, utilisez un outil comme OpenSSL pour convertir le fichier PEM.

  7. Avant de pouvoir valider, vous devez mettre à jour la configuration dans votre fournisseur d'identité. Cliquez sur Plus tard pour quitter temporairement le processus de configuration.

  8. Partagez la nouvelle clé publique ou le nouveau certificat avec le fournisseur d'identité :

    • Accédez à l'interface de configuration de votre fournisseur d'identité et suivez ses instructions pour charger ou saisir la clé publique. Pour connaître les étapes détaillées, consultez la documentation correspondante.

  9. Après avoir terminé la configuration dans votre fournisseur d'identité, revenez au centre d'activités Administration pour terminer la validation :

    1. Dans votre configuration IdP, cliquez sur Plus et sélectionnez Valider.

    2. Cliquez sur Valider pour démarrer le processus de validation.

    3. Suivez les instructions à l'écran pour vous connecter et confirmer que la paire de clés est correctement configurée et reconnue.

Une fois validée, la nouvelle paire de clés remplacera la précédente pour toutes les connexions ultérieures. En cas d'échec de la validation, la paire de clés qui vient d'être générée sera ignorée et la paire de clés précédente continuera d'être utilisée.

Suppression de paires de clés

Procédez comme suit :

  1. Dans le centre d'activités Administration, accédez à Fournisseur d'identité.

  2. Dans votre configuration IdP, cliquez sur Plus et sélectionnez Modifier.

  3. Développez la section Options avancées.

  4. Sous Vérification et déchiffrement de signature de jeton, cliquez sur Supprimer à côté de la clé générée.

  5. Confirmez la suppression.

Veillez à ce que la clé publique soit également supprimée de votre fournisseur d'identité afin d'éviter tout problème de connexion.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – dites-nous comment nous améliorer !

Laissez vos commentaires ici