서명 및 암호화된 ID 토큰에 대한 키 쌍 관리
OpenID 연결(OIDC) ID 공급자를 사용하면 JSON Web Token(JWT)을 사용하여 사용자를 인증하고 권한을 부여할 수 있습니다. 이러한 토큰은 진위 여부를 확인하기 위해 서명할 수 있으며, 콘텐츠를 보호하기 위해 암호화할 수 있습니다.
Qlik Cloud은 플랫폼과 호환되는 모든 OIDC ID 공급자에 대한 토큰 서명 검증 및 복호화를 지원합니다.
키 쌍 이해
공개 키와 개인 키로 구성된 키 쌍은 이 프로세스의 핵심입니다.
-
공개 키: ID 공급자가 토큰을 암호화하는 데 사용합니다.
-
개인 키: Qlik Cloud에서 토큰을 해독하고 토큰에 포함된 정보에 액세스하는 데 사용됩니다.
작동 방식:
-
사용자가 Qlik Cloud에 로그인하면 외부 ID 공급자가 Qlik Cloud를 사용하여 OIDC 인증 흐름을 시작합니다.
-
ID 공급자는 사용자의 ID 토큰을 다시 전송합니다. 여기에는 사용자의 ID와 같은 사용자별 정보가 포함됩니다.
-
토큰은 ID 공급자의 개인 키로 서명되어 ID 공급자의 진위성과 무결성을 확인합니다.
-
토큰은 Qlik Cloud 공개 키를 사용하여 암호화되어 Qlik Cloud만이 포함된 정보를 해독하고 액세스할 수 있도록 합니다.
-
-
Qlik Cloud는 ID 공급자의 공개 키를 사용하여 ID 토큰의 서명을 확인합니다. 그런 다음 자체 개인 키를 사용하여 토큰을 해독하고 사용자의 세부 정보를 검색합니다.
이 프로세스를 통해 권한이 있는 당사자만 토큰 정보에 액세스하고 사용할 수 있습니다.
키 쌍 생성
OIDC IdP 구성을 위한 토큰 서명 검증 및 암호 해독을 위해 키 쌍을 생성할 수 있습니다.
다음과 같이 하십시오.
-
관리 활동 센터에서 ID 공급자로 이동합니다.
-
새로운 IdP 구성을 만듭니다.
IdP 구성에 대한 자세한 단계는 IdP 구성 만들기를 참조하십시오.
-
고급 옵션 섹션을 확장합니다.
-
토큰 서명 확인 및 암호 해독에서 RSA 2048 또는 RSA 4096 중 키 유형을 선택합니다.
-
만들기를 클릭합니다.
-
확인 대화 상자에서:
-
을 클릭하여 공개 키를 복사합니다.
-
을 클릭하여 키를 인증서로 다운로드합니다.
정보 메모공개 키나 인증서가 필요한지는 ID 공급자의 요구 사항에 따라 다릅니다. 둘 다 PEM 형식으로 다운로드됩니다. ID 공급자가 다른 형식을 요구하는 경우 OpenSSL과 같은 도구를 사용하여 PEM 파일을 변환합니다. -
-
유효성 검사를 위해서는 먼저 ID 공급자에게 공개 키를 제공해야 합니다. 구성 프로세스를 일시적으로 종료하려면 나중에를 클릭합니다.
-
공개 키 또는 인증서를 ID 공급자와 공유합니다.
-
ID 공급자의 설정 인터페이스로 이동하여 해당 지침에 따라 공개 키를 업로드하거나 입력합니다. 자세한 단계는 해당 설명서를 참조하십시오.
-
-
ID 공급자에서 설정을 완료한 후 관리 활동 센터로 돌아가서 유효성 검사를 완료합니다.
-
IdP 구성에서 을 클릭하고 유효성 검사를 선택합니다.
-
유효성 검사를 클릭하여 유효성 검사 프로세스를 시작합니다.
-
화면의 지시에 따라 로그인하고 키 쌍가 올바르게 설정되고 인식되는지 확인합니다.
-
키 쌍이 성공적으로 유효성 검사되면 ID 공급자는 안전한 토큰 서명 확인 및 암호 해독에 사용할 수 있습니다.
키 쌍 회전
키 회전은 보안 위험을 최소화하기 위해 암호화 키를 주기적으로 바꾸는 것을 의미합니다. Qlik Cloud에서 강도가 같은 키 쌍 또는 강도가 다른 키 쌍을 다시 생성할 수 있습니다. 성공적인 유효성 검사 후 이전 키 쌍이 새 키 쌍으로 바뀝니다.
키 쌍 다시 생성
다음과 같이 하십시오.
-
관리 활동 센터에서 ID 공급자로 이동합니다.
-
IdP 구성을 찾고 을 클릭한 다음 편집을 선택합니다.
-
고급 옵션 섹션을 확장합니다.
-
토큰 서명 확인 및 암호 해독에서 키 다시 생성에서 원하는 키 강도를 선택합니다.
이전 키의 강도와 같거나 다른 강도를 선택할 수 있습니다.
-
키 다시 생성 을 클릭합니다.
-
확인 대화 상자에서:
-
을 클릭하여 공개 키를 복사합니다.
-
을 클릭하여 키를 인증서로 다운로드합니다.
정보 메모공개 키나 인증서가 필요한지는 ID 공급자의 요구 사항에 따라 다릅니다. 둘 다 PEM 형식으로 다운로드됩니다. ID 공급자가 다른 형식을 요구하는 경우 OpenSSL과 같은 도구를 사용하여 PEM 파일을 변환합니다. -
-
유효성 검사를 시작하기 전에 ID 공급자의 설정을 업데이트해야 합니다. 구성 프로세스를 일시적으로 종료하려면 나중에를 클릭합니다.
-
새 공개 키 또는 인증서를 ID 공급자와 공유합니다.
-
ID 공급자의 설정 인터페이스로 이동하여 해당 지침에 따라 공개 키를 업로드하거나 입력합니다. 자세한 단계는 해당 설명서를 참조하십시오.
-
-
ID 공급자에서 설정을 완료한 후 관리 활동 센터로 돌아가서 유효성 검사를 완료합니다.
-
IdP 구성에서 을 클릭하고 유효성 검사를 선택합니다.
-
유효성 검사를 클릭하여 유효성 검사 프로세스를 시작합니다.
-
화면의 지시에 따라 로그인하고 키 쌍가 올바르게 설정되고 인식되는지 확인합니다.
-
유효성 검사에 성공하면 새 키 쌍이 이후 모든 로그인에서 이전 키 쌍을 바꿉니다. 유효성 검사에 실패하면 새로 생성된 키 쌍은 무시되고 이전 키 쌍은 계속 사용됩니다.
키 쌍 삭제
다음과 같이 하십시오.
-
관리 활동 센터에서 ID 공급자로 이동합니다.
-
IdP 구성에서 을 클릭하고 편집을 선택합니다.
-
고급 옵션 섹션을 확장합니다.
-
토큰 서명 확인 및 암호 해독에서 생성된 키 옆에 있는 을 클릭합니다.
-
삭제를 확인합니다.
로그인 문제를 방지하려면 ID 공급자에서도 공개 키를 제거해야 합니다.