Gestione delle coppie di chiavi per i token ID firmati e crittografati
Con i provider di identità OpenID Connect (OIDC), i token JSON Web (JWT) vengono utilizzati per autenticare e autorizzare gli utenti. Questi token possono essere firmati per verificarne l'autenticità e crittografati per proteggerne il contenuto.
Qlik Cloud supporta la verifica e la decrittografia della firma dei token per tutti i provider di identità OIDC compatibili con la piattaforma.
Comprendere le coppie di chiavi
Una coppia di chiavi, composta da una chiave pubblica e da una chiave privata, è fondamentale per questo processo:
-
Chiave pubblica: è utilizzata dal provider di identità per crittografare i token.
-
Chiave privata: è utilizzata da Qlik Cloud per decrittografare i token e accedere alle informazioni in essi contenute.
Come funziona:
-
Quando un utente accede a Qlik Cloud, il provider di identità esterno avvia il flusso di autenticazione OIDC con Qlik Cloud.
-
Il provider di identità invia il token ID dell'utente, che include informazioni specifiche dell'utente, come la sua identità:
-
Il token viene firmato con la chiave privata del provider di identità per confermarne l'autenticità e l'integrità.
-
Il token viene crittografato utilizzando la chiave pubblica di Qlik Cloud per garantire che solo Qlik Cloud possa decrittografare e accedere alle informazioni contenute.
-
-
Qlik Cloud verifica la firma del token ID utilizzando la chiave pubblica del provider di identità. Quindi, decrittografa il token utilizzando la propria chiave privata per recuperare i dettagli dell'utente.
Questo processo garantisce che solo le parti autorizzate possano accedere e utilizzare le informazioni del token.
Generazione di coppie di chiavi
È possibile generare coppie di chiavi per la verifica e la decrittografia della firma dei token per le configurazioni IdP OIDC.
Procedere come indicato di seguito:
-
Nel centro attività Amministrazione, andare a Provider di identità.
-
Creare una configurazione IdP.
Per informazioni dettagliate sulla configurazione degli IdP, vedere Creazione di una configurazione IdP.
-
Espandere la sezione Opzioni avanzate.
-
In Verifica della firma del token e decrittografia, scegliere il tipo di chiave: RSA 2048 oppure RSA 4096.
-
Fare clic su Crea.
-
Nella finestra di dialogo di conferma, fare quanto segue:
-
Fare clic su per copiare la chiave pubblica.
-
Fare clic su per scaricare la chiave come certificato.
Nota informaticaLa necessità della chiave pubblica o del certificato dipende dai requisiti del provider di identità. Le immagini vengono scaricate in formato PEM. Se il provider di identità richiede un formato diverso, utilizzare uno strumento come OpenSSL per convertire il file PEM. -
-
Prima di poter eseguire la convalida, è necessario fornire la chiave pubblica al provider di identità. Fare clic su In seguito per uscire temporaneamente dal processo di configurazione.
-
Condividere la chiave pubblica o il certificato con il provider di identità:
-
Andare all'interfaccia di configurazione del provider di identità e seguire le istruzioni per caricare oppure inserire la chiave pubblica. Per i passaggi dettagliati, consultare la documentazione relativa.
-
-
Dopo aver completato la configurazione nel provider di identità, tornare al centro attività Amministrazione per completare la convalida:
-
Nell'opzione di configurazione IdP, fare clic su e selezionare Convalida.
-
Fare clic su Convalida per avviare il processo di convalida.
-
Seguire le istruzioni sullo schermo per accedere e confermare che la coppia di chiavi è stata impostata e riconosciuta correttamente.
-
Una volta convalidata la coppia di chiavi, il provider di identità può essere utilizzato per la eseguire in modo sicuro la verifica e la decrittografia della firma del token.
Rotazione delle coppie di chiavi
La rotazione delle chiavi prevede la sostituzione periodica delle chiavi crittografiche per ridurre al minimo i rischi per la sicurezza. In Qlik Cloud, è possibile rigenerare le coppie di chiavi con lo stesso grado di sicurezza o con uno differente. La nuova coppia di chiavi sostituirà quella precedente una volta completata la convalida.
Rigenerazione delle coppie di chiavi
Procedere come indicato di seguito:
-
Nel centro attività Amministrazione, andare a Provider di identità.
-
Nell'opzione di configurazione IdP, fare clic su e selezionare Modifica.
-
Espandere la sezione Opzioni avanzate.
-
In Verifica della firma del token e decrittografia, scegliere il grado di sicurezza desiderato della chiave in Rigenera chiave.
È possibile selezionare lo stesso grado di sicurezza o uno differente da quello del tasto precedente.
-
Fare clic su Rigenera chiave .
-
Nella finestra di dialogo di conferma, fare quanto segue:
-
Fare clic su per copiare la chiave pubblica.
-
Fare clic su per scaricare la chiave come certificato.
Nota informaticaLa necessità della chiave pubblica o del certificato dipende dai requisiti del provider di identità. Le immagini vengono scaricate in formato PEM. Se il provider di identità richiede un formato diverso, utilizzare uno strumento come OpenSSL per convertire il file PEM. -
-
Prima di poter eseguire la convalida, è necessario aggiornare la configurazione del provider di identità. Fare clic su In seguito per uscire temporaneamente dal processo di configurazione.
-
Condividere la nuova chiave pubblica o il certificato con il provider di identità:
-
Andare all'interfaccia di configurazione del provider di identità e seguire le istruzioni per caricare oppure inserire la chiave pubblica. Per i passaggi dettagliati, consultare la documentazione relativa.
-
-
Dopo aver completato la configurazione nel provider di identità, tornare al centro attività Amministrazione per completare la convalida:
-
Nell'opzione di configurazione IdP, fare clic su e selezionare Convalida.
-
Fare clic su Convalida per avviare il processo di convalida.
-
Seguire le istruzioni sullo schermo per accedere e confermare che la coppia di chiavi è stata impostata e riconosciuta correttamente.
-
In caso di convalida riuscita, la nuova coppia di chiavi sostituirà quella precedente per tutti gli accessi futuri. Se la convalida non riesce, la nuova coppia di chiavi generata verrà ignorata e rimarrà in uso la coppia di chiavi precedente.
Eliminazione delle coppie di chiavi
Procedere come indicato di seguito:
-
Nel centro attività Amministrazione, andare a Provider di identità.
-
Nell'opzione di configurazione IdP, fare clic su e selezionare Modifica.
-
Espandere la sezione Opzioni avanzate.
-
In Verifica della firma del token e decrittografia, fare clic su accanto alla chiave generata.
-
Confermare l'eliminazione.
Assicurarsi che la chiave pubblica venga rimossa anche dal provider di identità per evitare problemi di accesso.