Sleutelparen beheren voor ondertekende en versleutelde id-tokens
Met identiteitsproviders van OpenID Connect (OIDC) worden JSON Web Tokens (JWT) gebruikt om gebruikers te verifiëren en autoriseren. Deze tokens kunnen worden ondertekend om hun authenticiteit te verifiëren en kunnen worden versleuteld om hun inhoud te beschermen.
Qlik Cloud ondersteunt verificatie en ontsleuteling van tokenhandtekeningen voor alle OIDC-identiteitsproviders die compatibel zijn met het platform.
Sleutelparen begrijpen
Een sleutelpaar, bestaande uit een openbare sleutel en een persoonlijke sleutel, staat centraal in dit proces:
-
Openbare sleutel: wordt gebruikt door de identiteitsprovider om tokens te versleutelen.
-
Persoonlijke sleutel: wordt gebruikt door Qlik Cloud om tokens te ontsleutelen en toegang te krijgen tot de informatie die ze bevatten.
Zo werkt het:
-
Wanneer een gebruiker zich aanmeldt bij Qlik Cloud, start de externe identiteitsprovider de OIDC-verificatiestroom met Qlik Cloud.
-
De identiteitsprovider stuurt het id-token van de gebruiker terug, inclusief gebruikersspecifieke informatie zoals zijn identiteit:
-
Het token wordt ondertekend door de persoonlijke sleutel van de identiteitsprovider om de authenticiteit en integriteit te bevestigen.
-
Het token wordt versleuteld met de openbare sleutel van Qlik Cloud om ervoor te zorgen dat alleen Qlik Cloud de informatie kan ontsleutelen en toegang kan krijgen tot de opgenomen informatie.
-
-
Qlik Cloud verifieert de handtekening van het id-token met behulp van de openbare sleutel van de identiteitsprovider. Het token wordt dan ontsleuteld met behulp van de persoonlijke sleutel om de details van de gebruiker te achterhalen.
Dit proces zorgt ervoor dat alleen bevoegde partijen toegang hebben tot de informatie van het token en deze kunnen gebruiken.
Sleutelparen genereren
U kunt sleutelparen genereren voor verificatie en ontsleuteling van tokenhandtekeningen voor OIDC IdP-configuraties.
Doe het volgende:
-
In het Beheer-activiteitencentrum gaat u naar Identiteitsprovider.
-
Een nieuwe IdP-configuratie maken
Zie Een IdP-configuratie maken voor gedetailleerde stappen voor het configureren van IdP's.
-
Vouw de sectie Geavanceerde opties uit.
-
Kies onder Verificatie en ontsleuteling van tokenhandtekening het type sleutel: RSA 2048 of RSA 4096.
-
Klik op Maken.
-
In het bevestigingsdialoogvenster:
-
Klik op om de openbare sleutel te kopiëren.
-
Klik op om de sleutel te downloaden als een certificaat.
InformatieOf u de openbare sleutel of het certificaat nodig hebt, hangt af van de vereisten van uw identiteitsprovider. Beide worden gedownload in de PEM-indeling. Als uw identiteitsprovider een andere indeling vereist, gebruik dan een tool zoals OpenSSL om het PEM-bestand te converteren. -
-
Voordat u kunt valideren, moet u de openbare sleutel ter beschikking stellen aan uw identiteitsprovider. Klik op Later om het configuratieproces tijdelijk af te sluiten.
-
Deel de openbare sleutel of het certificaat met uw identiteitsprovider:
-
Ga naar de instellingsinterface van uw identiteitsprovider en volg diens instructies om de openbare sleutel te uploaden of in te voeren. Raadpleeg de documentatie voor gedetailleerde stappen.
-
-
Na het voltooien van de instellingen in uw identiteitsprovider, gaat u terug naar het Beheer-activiteitencentrum om de validatie te voltooien:
-
Klik in uw IdP-configuratie op en selecteer Valideren.
-
Klik op Valideren om het validatieproces te starten.
-
Volg de instructies op het scherm om u aan te melden en bevestig dat het sleutelpaar correct is ingesteld en herkend.
-
Nadat het sleutelpaar succesvol is gevalideerd, kan de identiteitsprovider worden gebruikt voor veilige verificatie en ontsleuteling van tokenhandtekeningen.
Sleutelparen roteren
Sleutelrotatie houdt in dat cryptografische sleutels periodiek worden vervangen om veiligheidsrisico's te minimaliseren. In Qlik Cloud kunt u sleutelparen opnieuw genereren door dezelfde of een andere sterkte te gebruiken. Het nieuwe sleutelpaar vervangt de oude na succesvolle validatie.
Sleutelparen opnieuw genereren
Doe het volgende:
-
In het Beheer-activiteitencentrum gaat u naar Identiteitsprovider.
-
Zoek uw IdP-configuratie, klik op en selecteer Bewerken.
-
Vouw de sectie Geavanceerde opties uit.
-
Kies onder Verificatie en ontsleuteling van tokenhandtekening de gewenste sleutelsterkte onder Sleutel opnieuw genereren.
U kunt dezelfde of een andere sterkte selecteren dan de vorige sleutel.
-
Klik op Sleutel opnieuw genereren .
-
In het bevestigingsdialoogvenster:
-
Klik op om de openbare sleutel te kopiëren.
-
Klik op om de sleutel te downloaden als een certificaat.
InformatieOf u de openbare sleutel of het certificaat nodig hebt, hangt af van de vereisten van uw identiteitsprovider. Beide worden gedownload in de PEM-indeling. Als uw identiteitsprovider een andere indeling vereist, gebruik dan een tool zoals OpenSSL om het PEM-bestand te converteren. -
-
Voordat u kunt valideren, moet u de instellingen bijwerken in uw identiteitsprovider. Klik op Later om het configuratieproces tijdelijk af te sluiten.
-
Deel de nieuwe openbare sleutel of het certificaat met uw identiteitsprovider:
-
Ga naar de instellingsinterface van uw identiteitsprovider en volg diens instructies om de openbare sleutel te uploaden of in te voeren. Raadpleeg de documentatie voor gedetailleerde stappen.
-
-
Na het voltooien van de instellingen in uw identiteitsprovider, gaat u terug naar het Beheer-activiteitencentrum om de validatie te voltooien:
-
Klik in uw IdP-configuratie op en selecteer Valideren.
-
Klik op Valideren om het validatieproces te starten.
-
Volg de instructies op het scherm om u aan te melden en bevestig dat het sleutelpaar correct is ingesteld en herkend.
-
Na een succesvolle validatie zal het nieuwe sleutelpaar het vorige sleutelpaar vervangen voor alle toekomstige aanmeldingen. Als de validatie mislukt, wordt het nieuw gegenereerde sleutelpaar genegeerd en blijft het vorige sleutelpaar in gebruik.
Sleutelparen verwijderen
Doe het volgende:
-
In het Beheer-activiteitencentrum gaat u naar Identiteitsprovider.
-
Klik in uw IdP-configuratie op en selecteer Bewerken.
-
Vouw de sectie Geavanceerde opties uit.
-
Klik onder Verificatie en ontsleuteling van tokenhandtekening op naast de gegenereerde sleutel.
-
Bevestig de verwijdering.
Zorg ervoor dat de openbare sleutel ook is verwijderd bij uw identiteitsprovider om aanmeldproblemen te voorkomen.