メイン コンテンツをスキップする 補完的コンテンツへスキップ

署名および暗号化された ID トークンのキー ペアの管理

OpenID Connect (OIDC) ID プロバイダーでは、ユーザーの認証と承認に JSON Web Token (JWT) が使用されます。これらのトークンは、信頼性を検証するために署名され、内容を保護するために暗号化されます。

Qlik Cloud は、プラットフォームと互換性のあるすべての OIDC ID プロバイダーのトークン署名の検証と復号化をサポートします。

キー ペアを理解する

パブリック キーとプライベート キーで構成されるキー ペアが、このプロセスの中心となります。

  • パブリック キー: ID プロバイダーがトークンを暗号化するために使用します。

  • プライベート キー: Qlik Cloud がトークンを解読し、トークンが含む情報にアクセスするために使用します。

仕組み:

  1. ユーザーが Qlik Cloud にログインすると、外部 ID プロバイダーは Qlik Cloud との OIDC 認証フローを開始します。

  2. ID プロバイダーは、ユーザーの ID トークンを返します。このトークンには、ユーザーの ID などのユーザー固有の情報が含まれます。

    • トークンは、その信頼性と整合性を確認するために、ID プロバイダーのプライベート キーで署名されます。

    • トークンは Qlik Cloud パブリック キーを使用して暗号化され、Qlik Cloud だけが復号化して含まれる情報にアクセスできるようになります。

  3. Qlik Cloud は、ID プロバイダーのパブリック キーを使用して ID トークンの署名を検証します。次に、独自のプライベート キーを使用してトークンを復号化し、ユーザーの詳細を取得します。

このプロセスにより、許可された当事者だけがトークンの情報にアクセスして使用できるようになります。

キー ペアの生成

OIDC IdP 構成のトークン署名検証と復号化用のキー ペアを生成できます。

次の手順を実行します。

  1. Administration アクティビティ センターで、 [ID プロバイダー] に移動します。

  2. 新しい IdP 構成を作成します。

    IdP を構成する詳しいステップについては、「新しい ID プロバイダー構成の作成」を参照してください。

  3. [詳細オプション] のセクションを展開します。

  4. [トークン署名の検証と復号化] で、キーの種類として RSA 2048 または RSA 4096 を選択します。

  5. [作成] をクリックします。

  6. 確認ダイアログで:

    • コピー をクリックしてパブリック キーをコピーします。

    • ダウンロード をクリックし、キーを証明書としてダウンロードします。

    確認ダイアログ。

    コピー オプションと、[後で] および [検証] の 2 つのアクション ボタンを含む確認ダイアログ。
    情報メモパブリック キーまたは証明書が必要かどうかは、ID プロバイダーの要件に応じて異なります。どちらも PEM 形式でダウンロードされます。ID プロバイダーで異なる形式が必要な場合は、OpenSSL などのツールを使用して PEM ファイルを変換します。
  7. 検証する前に、ID プロバイダーにパブリック キーを提供する必要があります。構成プロセスを一時的に終了するには、 [後で] をクリックします。

  8. パブリック キーまたは証明書を ID プロバイダーと共有します。

    • ID プロバイダーのセットアップ インターフェイスに移動し、指示に従ってパブリック キーをアップロードまたは入力します。詳細な手順については、ドキュメントを参照してください。

  9. ID プロバイダーでの設定が完了したら、管理アクティビティ センターに戻って検証を完了します。

    1. IdP 構成で 詳細 をクリックして、 [検証] を選択します。

    2. 検証プロセスを開始するには、 [検証] をクリックします。

    3. 画面の指示に従ってログインし、キー ペアが正しく設定および認識されていることを確認します。

キー ペアが正常に検証されると、ID プロバイダーを使用して安全なトークン署名の検証と復号化を実行できます。

キー ペアのローテーション

キー ローテーションでは、セキュリティ リスクを最小限に抑えるために、暗号化キーを定期的に交換します。Qlik Cloud では、同じ強度または異なる強度のキー ペアを再生成できます。検証が成功すると、新しいキー ペアが古いキー ペアに置き換えられます。

情報メモキー ペアを再生成しても、古いキー ペアはすぐには置き換えられません。新しい IdP 構成が検証されるまで、古いキー ペアはアクティブなままになります。新しいパブリック キーまたは証明書を ID プロバイダーにアップロードし、検証プロセスを完了して新しいキーをアクティブ化する必要があります。

キー ペアの再生成

次の手順を実行します。

  1. Administration アクティビティ センターで、 [ID プロバイダー] に移動します。

  2. IdP 構成を見つけ、詳細 をクリックして、 [編集] を選択します。

  3. [詳細オプション] のセクションを展開します。

  4. [トークン署名の検証と復号化] の [キーを再生成] で、必要なキーの強度を選択します。

    前のキーと同じ強度または異なる強度を選択できます。

    キーを再生成するための設定。

    生成されたキーと再生成のオプションを表示する構成設定。
  5. [キーを再生成] 再生成 をクリックします。

  6. 確認ダイアログで:

    • コピー をクリックしてパブリック キーをコピーします。

    • ダウンロード をクリックし、キーを証明書としてダウンロードします。

    情報メモパブリック キーまたは証明書が必要かどうかは、ID プロバイダーの要件に応じて異なります。どちらも PEM 形式でダウンロードされます。ID プロバイダーで異なる形式が必要な場合は、OpenSSL などのツールを使用して PEM ファイルを変換します。
  7. 検証する前に、ID プロバイダーの設定を更新する必要があります。構成プロセスを一時的に終了するには、 [後で] をクリックします。

  8. 新しいパブリック キーまたは証明書を ID プロバイダーと共有します。

    • ID プロバイダーのセットアップ インターフェイスに移動し、指示に従ってパブリック キーをアップロードまたは入力します。詳細な手順については、ドキュメントを参照してください。

  9. ID プロバイダーでの設定が完了したら、管理アクティビティ センターに戻って検証を完了します。

    1. IdP 構成で 詳細 をクリックして、 [検証] を選択します。

    2. 検証プロセスを開始するには、 [検証] をクリックします。

    3. 画面の指示に従ってログインし、キー ペアが正しく設定および認識されていることを確認します。

検証が成功すると、今後のすべてのログインで新しいキー ペアが以前のキー ペアに置き換えられます。検証に失敗した場合、新しく生成されたキー ペアは無視され、以前のキー ペアが引き続き使用されます。

キー ペアの削除

次の手順を実行します。

  1. Administration アクティビティ センターで、 [ID プロバイダー] に移動します。

  2. IdP 構成で 詳細 をクリックして、 [編集] を選択します。

  3. [詳細オプション] のセクションを展開します。

  4. [トークン署名の検証と復号化] で、生成されたキーの横にある 削除 をクリックします。

  5. 削除を確定します。

ログインの問題を避けるため、ID プロバイダーからもパブリック キーが削除されていることを確認してください。

このページは役に立ちましたか?

このページまたはコンテンツに、タイポ、ステップの省略、技術的エラーなどの問題が見つかった場合は、お知らせください。改善に役立たせていただきます。