기본 콘텐츠로 건너뛰기 보완적인 콘텐츠로 건너뛰기

서명 및 암호화된 ID 토큰에 대한 키 쌍 관리

OpenID 연결(OIDC) ID 공급자를 사용하면 JSON Web Token(JWT)을 사용하여 사용자를 인증하고 권한을 부여할 수 있습니다. 이러한 토큰은 진위 여부를 확인하기 위해 서명할 수 있으며, 콘텐츠를 보호하기 위해 암호화할 수 있습니다.

Qlik Cloud은 플랫폼과 호환되는 모든 OIDC ID 공급자에 대한 토큰 서명 검증 및 복호화를 지원합니다.

키 쌍 이해

공개 키와 개인 키로 구성된 키 쌍은 이 프로세스의 핵심입니다.

  • 공개 키: ID 공급자가 토큰을 암호화하는 데 사용합니다.

  • 개인 키: Qlik Cloud에서 토큰을 해독하고 토큰에 포함된 정보에 액세스하는 데 사용됩니다.

작동 방식:

  1. 사용자가 Qlik Cloud에 로그인하면 외부 ID 공급자가 Qlik Cloud를 사용하여 OIDC 인증 흐름을 시작합니다.

  2. ID 공급자는 사용자의 ID 토큰을 다시 전송합니다. 여기에는 사용자의 ID와 같은 사용자별 정보가 포함됩니다.

    • 토큰은 ID 공급자의 개인 키로 서명되어 ID 공급자의 진위성과 무결성을 확인합니다.

    • 토큰은 Qlik Cloud 공개 키를 사용하여 암호화되어 Qlik Cloud만이 포함된 정보를 해독하고 액세스할 수 있도록 합니다.

  3. Qlik Cloud는 ID 공급자의 공개 키를 사용하여 ID 토큰의 서명을 확인합니다. 그런 다음 자체 개인 키를 사용하여 토큰을 해독하고 사용자의 세부 정보를 검색합니다.

이 프로세스를 통해 권한이 있는 당사자만 토큰 정보에 액세스하고 사용할 수 있습니다.

키 쌍 생성

OIDC IdP 구성을 위한 토큰 서명 검증 및 암호 해독을 위해 키 쌍을 생성할 수 있습니다.

다음과 같이 하십시오.

  1. 관리 활동 센터에서 ID 공급자로 이동합니다.

  2. 새로운 IdP 구성을 만듭니다.

    IdP 구성에 대한 자세한 단계는 IdP 구성 만들기를 참조하십시오.

  3. 고급 옵션 섹션을 확장합니다.

  4. 토큰 서명 확인 및 암호 해독에서 RSA 2048 또는 RSA 4096 중 키 유형을 선택합니다.

  5. 만들기를 클릭합니다.

  6. 확인 대화 상자에서:

    • 복사을 클릭하여 공개 키를 복사합니다.

    • 다운로드을 클릭하여 키를 인증서로 다운로드합니다.

    확인 대화 상자.

    복사 옵션이 있는 유효성 검사 대화 상자와 나중에, 유효성 검사라는 두 가지 작업 버튼이 있습니다.
    정보 메모공개 키나 인증서가 필요한지는 ID 공급자의 요구 사항에 따라 다릅니다. 둘 다 PEM 형식으로 다운로드됩니다. ID 공급자가 다른 형식을 요구하는 경우 OpenSSL과 같은 도구를 사용하여 PEM 파일을 변환합니다.
  7. 유효성 검사를 위해서는 먼저 ID 공급자에게 공개 키를 제공해야 합니다. 구성 프로세스를 일시적으로 종료하려면 나중에를 클릭합니다.

  8. 공개 키 또는 인증서를 ID 공급자와 공유합니다.

    • ID 공급자의 설정 인터페이스로 이동하여 해당 지침에 따라 공개 키를 업로드하거나 입력합니다. 자세한 단계는 해당 설명서를 참조하십시오.

  9. ID 공급자에서 설정을 완료한 후 관리 활동 센터로 돌아가서 유효성 검사를 완료합니다.

    1. IdP 구성에서 자세히을 클릭하고 유효성 검사를 선택합니다.

    2. 유효성 검사를 클릭하여 유효성 검사 프로세스를 시작합니다.

    3. 화면의 지시에 따라 로그인하고 키 쌍가 올바르게 설정되고 인식되는지 확인합니다.

키 쌍이 성공적으로 유효성 검사되면 ID 공급자는 안전한 토큰 서명 확인 및 암호 해독에 사용할 수 있습니다.

키 쌍 회전

키 회전은 보안 위험을 최소화하기 위해 암호화 키를 주기적으로 바꾸는 것을 의미합니다. Qlik Cloud에서 강도가 같은 키 쌍 또는 강도가 다른 키 쌍을 다시 생성할 수 있습니다. 성공적인 유효성 검사 후 이전 키 쌍이 새 키 쌍으로 바뀝니다.

정보 메모키 쌍을 다시 생성해도 이전 키 쌍이 즉시 바뀌지는 않습니다. 새 IdP 구성의 유효성이 검사될 때까지 이전 키 쌍은 활성 상태로 유지됩니다. 새 공개 키 또는 인증서를 ID 공급자에 업로드하고 유효성 검사 프로세스를 완료하여 새 키를 활성화해야 합니다.

키 쌍 다시 생성

다음과 같이 하십시오.

  1. 관리 활동 센터에서 ID 공급자로 이동합니다.

  2. IdP 구성을 찾고 자세히을 클릭한 다음 편집을 선택합니다.

  3. 고급 옵션 섹션을 확장합니다.

  4. 토큰 서명 확인 및 암호 해독에서 키 다시 생성에서 원하는 키 강도를 선택합니다.

    이전 키의 강도와 같거나 다른 강도를 선택할 수 있습니다.

    키 다시 생성을 위한 설정.

    생성된 키와 다시 생성 옵션을 보여 주는 구성 설정.
  5. 키 다시 생성 다시 생성을 클릭합니다.

  6. 확인 대화 상자에서:

    • 복사을 클릭하여 공개 키를 복사합니다.

    • 다운로드을 클릭하여 키를 인증서로 다운로드합니다.

    정보 메모공개 키나 인증서가 필요한지는 ID 공급자의 요구 사항에 따라 다릅니다. 둘 다 PEM 형식으로 다운로드됩니다. ID 공급자가 다른 형식을 요구하는 경우 OpenSSL과 같은 도구를 사용하여 PEM 파일을 변환합니다.
  7. 유효성 검사를 시작하기 전에 ID 공급자의 설정을 업데이트해야 합니다. 구성 프로세스를 일시적으로 종료하려면 나중에를 클릭합니다.

  8. 새 공개 키 또는 인증서를 ID 공급자와 공유합니다.

    • ID 공급자의 설정 인터페이스로 이동하여 해당 지침에 따라 공개 키를 업로드하거나 입력합니다. 자세한 단계는 해당 설명서를 참조하십시오.

  9. ID 공급자에서 설정을 완료한 후 관리 활동 센터로 돌아가서 유효성 검사를 완료합니다.

    1. IdP 구성에서 자세히을 클릭하고 유효성 검사를 선택합니다.

    2. 유효성 검사를 클릭하여 유효성 검사 프로세스를 시작합니다.

    3. 화면의 지시에 따라 로그인하고 키 쌍가 올바르게 설정되고 인식되는지 확인합니다.

유효성 검사에 성공하면 새 키 쌍이 이후 모든 로그인에서 이전 키 쌍을 바꿉니다. 유효성 검사에 실패하면 새로 생성된 키 쌍은 무시되고 이전 키 쌍은 계속 사용됩니다.

키 쌍 삭제

다음과 같이 하십시오.

  1. 관리 활동 센터에서 ID 공급자로 이동합니다.

  2. IdP 구성에서 자세히을 클릭하고 편집을 선택합니다.

  3. 고급 옵션 섹션을 확장합니다.

  4. 토큰 서명 확인 및 암호 해독에서 생성된 키 옆에 있는 삭제을 클릭합니다.

  5. 삭제를 확인합니다.

로그인 문제를 방지하려면 ID 공급자에서도 공개 키를 제거해야 합니다.

이 페이지가 도움이 되었습니까?

이 페이지 또는 해당 콘텐츠에서 오타, 누락된 단계 또는 기술적 오류와 같은 문제를 발견하면 개선 방법을 알려 주십시오!