署名および暗号化された ID トークンのキー ペアの管理
OpenID Connect (OIDC) ID プロバイダーでは、ユーザーの認証と承認に JSON Web Token (JWT) が使用されます。これらのトークンは、信頼性を検証するために署名され、内容を保護するために暗号化されます。
Qlik Cloud は、プラットフォームと互換性のあるすべての OIDC ID プロバイダーのトークン署名の検証と復号化をサポートします。
キー ペアを理解する
パブリック キーとプライベート キーで構成されるキー ペアが、このプロセスの中心となります。
-
パブリック キー: ID プロバイダーがトークンを暗号化するために使用します。
-
プライベート キー: Qlik Cloud がトークンを解読し、トークンが含む情報にアクセスするために使用します。
仕組み:
-
ユーザーが Qlik Cloud にログインすると、外部 ID プロバイダーは Qlik Cloud との OIDC 認証フローを開始します。
-
ID プロバイダーは、ユーザーの ID トークンを返します。このトークンには、ユーザーの ID などのユーザー固有の情報が含まれます。
-
トークンは、その信頼性と整合性を確認するために、ID プロバイダーのプライベート キーで署名されます。
-
トークンは Qlik Cloud パブリック キーを使用して暗号化され、Qlik Cloud だけが復号化して含まれる情報にアクセスできるようになります。
-
-
Qlik Cloud は、ID プロバイダーのパブリック キーを使用して ID トークンの署名を検証します。次に、独自のプライベート キーを使用してトークンを復号化し、ユーザーの詳細を取得します。
このプロセスにより、許可された当事者だけがトークンの情報にアクセスして使用できるようになります。
キー ペアの生成
OIDC IdP 構成のトークン署名検証と復号化用のキー ペアを生成できます。
次の手順を実行します。
-
Administration アクティビティ センターで、 [ID プロバイダー] に移動します。
-
新しい IdP 構成を作成します。
IdP を構成する詳しいステップについては、「新しい ID プロバイダー構成の作成」を参照してください。
-
[詳細オプション] のセクションを展開します。
-
[トークン署名の検証と復号化] で、キーの種類として RSA 2048 または RSA 4096 を選択します。
-
[作成] をクリックします。
-
確認ダイアログで:
-
をクリックしてパブリック キーをコピーします。
-
をクリックし、キーを証明書としてダウンロードします。
情報メモパブリック キーまたは証明書が必要かどうかは、ID プロバイダーの要件に応じて異なります。どちらも PEM 形式でダウンロードされます。ID プロバイダーで異なる形式が必要な場合は、OpenSSL などのツールを使用して PEM ファイルを変換します。 -
-
検証する前に、ID プロバイダーにパブリック キーを提供する必要があります。構成プロセスを一時的に終了するには、 [後で] をクリックします。
-
パブリック キーまたは証明書を ID プロバイダーと共有します。
-
ID プロバイダーのセットアップ インターフェイスに移動し、指示に従ってパブリック キーをアップロードまたは入力します。詳細な手順については、ドキュメントを参照してください。
-
-
ID プロバイダーでの設定が完了したら、管理アクティビティ センターに戻って検証を完了します。
-
IdP 構成で をクリックして、 [検証] を選択します。
-
検証プロセスを開始するには、 [検証] をクリックします。
-
画面の指示に従ってログインし、キー ペアが正しく設定および認識されていることを確認します。
-
キー ペアが正常に検証されると、ID プロバイダーを使用して安全なトークン署名の検証と復号化を実行できます。
キー ペアのローテーション
キー ローテーションでは、セキュリティ リスクを最小限に抑えるために、暗号化キーを定期的に交換します。Qlik Cloud では、同じ強度または異なる強度のキー ペアを再生成できます。検証が成功すると、新しいキー ペアが古いキー ペアに置き換えられます。
キー ペアの再生成
次の手順を実行します。
-
Administration アクティビティ センターで、 [ID プロバイダー] に移動します。
-
IdP 構成を見つけ、 をクリックして、 [編集] を選択します。
-
[詳細オプション] のセクションを展開します。
-
[トークン署名の検証と復号化] の [キーを再生成] で、必要なキーの強度を選択します。
前のキーと同じ強度または異なる強度を選択できます。
-
[キーを再生成] をクリックします。
-
確認ダイアログで:
-
をクリックしてパブリック キーをコピーします。
-
をクリックし、キーを証明書としてダウンロードします。
情報メモパブリック キーまたは証明書が必要かどうかは、ID プロバイダーの要件に応じて異なります。どちらも PEM 形式でダウンロードされます。ID プロバイダーで異なる形式が必要な場合は、OpenSSL などのツールを使用して PEM ファイルを変換します。 -
-
検証する前に、ID プロバイダーの設定を更新する必要があります。構成プロセスを一時的に終了するには、 [後で] をクリックします。
-
新しいパブリック キーまたは証明書を ID プロバイダーと共有します。
-
ID プロバイダーのセットアップ インターフェイスに移動し、指示に従ってパブリック キーをアップロードまたは入力します。詳細な手順については、ドキュメントを参照してください。
-
-
ID プロバイダーでの設定が完了したら、管理アクティビティ センターに戻って検証を完了します。
-
IdP 構成で をクリックして、 [検証] を選択します。
-
検証プロセスを開始するには、 [検証] をクリックします。
-
画面の指示に従ってログインし、キー ペアが正しく設定および認識されていることを確認します。
-
検証が成功すると、今後のすべてのログインで新しいキー ペアが以前のキー ペアに置き換えられます。検証に失敗した場合、新しく生成されたキー ペアは無視され、以前のキー ペアが引き続き使用されます。
キー ペアの削除
次の手順を実行します。
-
Administration アクティビティ センターで、 [ID プロバイダー] に移動します。
-
IdP 構成で をクリックして、 [編集] を選択します。
-
[詳細オプション] のセクションを展開します。
-
[トークン署名の検証と復号化] で、生成されたキーの横にある をクリックします。
-
削除を確定します。
ログインの問題を避けるため、ID プロバイダーからもパブリック キーが削除されていることを確認してください。