Ga naar hoofdinhoud Ga naar aanvullende inhoud
Qlik-bronnen

Sleutelparen beheren voor ondertekende en versleutelde id-tokens

Met identiteitsproviders van OpenID Connect (OIDC) worden JSON Web Tokens (JWT) gebruikt om gebruikers te verifiëren en autoriseren. Deze tokens kunnen worden ondertekend om hun authenticiteit te verifiëren en kunnen worden versleuteld om hun inhoud te beschermen.

Qlik Cloud ondersteunt verificatie en ontsleuteling van tokenhandtekeningen voor alle OIDC-identiteitsproviders die compatibel zijn met het platform.

Sleutelparen begrijpen

Een sleutelpaar, bestaande uit een openbare sleutel en een persoonlijke sleutel, staat centraal in dit proces:

  • Openbare sleutel: wordt gebruikt door de identiteitsprovider om tokens te versleutelen.

  • Persoonlijke sleutel: wordt gebruikt door Qlik Cloud om tokens te ontsleutelen en toegang te krijgen tot de informatie die ze bevatten.

Zo werkt het:

  1. Wanneer een gebruiker zich aanmeldt bij Qlik Cloud, start de externe identiteitsprovider de OIDC-verificatiestroom met Qlik Cloud.

  2. De identiteitsprovider stuurt het id-token van de gebruiker terug, inclusief gebruikersspecifieke informatie zoals zijn identiteit:

    • Het token wordt ondertekend door de persoonlijke sleutel van de identiteitsprovider om de authenticiteit en integriteit te bevestigen.

    • Het token wordt versleuteld met de openbare sleutel van Qlik Cloud om ervoor te zorgen dat alleen Qlik Cloud de informatie kan ontsleutelen en toegang kan krijgen tot de opgenomen informatie.

  3. Qlik Cloud verifieert de handtekening van het id-token met behulp van de openbare sleutel van de identiteitsprovider. Het token wordt dan ontsleuteld met behulp van de persoonlijke sleutel om de details van de gebruiker te achterhalen.

Dit proces zorgt ervoor dat alleen bevoegde partijen toegang hebben tot de informatie van het token en deze kunnen gebruiken.

Sleutelparen genereren

U kunt sleutelparen genereren voor verificatie en ontsleuteling van tokenhandtekeningen voor OIDC IdP-configuraties.

Doe het volgende:

  1. In het Beheer-activiteitencentrum gaat u naar Identiteitsprovider.

  2. Een nieuwe IdP-configuratie maken

    Zie Een nieuwe configuratie voor de identiteitsprovider maken voor gedetailleerde stappen voor het configureren van IdP's.

  3. Vouw de sectie Geavanceerde opties uit.

  4. Kies onder Verificatie en ontsleuteling van tokenhandtekening het type sleutel: RSA 2048 of RSA 4096.

  5. Klik op Maken.

  6. In het bevestigingsdialoogvenster:

    • Klik op Kopiëren om de openbare sleutel te kopiëren.

    • Klik op Downloaden om de sleutel te downloaden als een certificaat.

    Bevestigingsdialoogvenster.

    Bevestigingsdialoogvenster met de optie Kopiëren en de twee actieknoppen Later en Valideren.
    InformatieOf u de openbare sleutel of het certificaat nodig hebt, hangt af van de vereisten van uw identiteitsprovider. Beide worden gedownload in de PEM-indeling. Als uw identiteitsprovider een andere indeling vereist, gebruik dan een tool zoals OpenSSL om het PEM-bestand te converteren.

  7. Voordat u kunt valideren, moet u de openbare sleutel ter beschikking stellen aan uw identiteitsprovider. Klik op Later om het configuratieproces tijdelijk af te sluiten.

  8. Deel de openbare sleutel of het certificaat met uw identiteitsprovider:

    • Ga naar de instellingsinterface van uw identiteitsprovider en volg diens instructies om de openbare sleutel te uploaden of in te voeren. Raadpleeg de documentatie voor gedetailleerde stappen.

  9. Na het voltooien van de instellingen in uw identiteitsprovider, gaat u terug naar het Beheer-activiteitencentrum om de validatie te voltooien:

    1. Klik in uw IdP-configuratie op Meer en selecteer Valideren.

    2. Klik op Valideren om het validatieproces te starten.

    3. Volg de instructies op het scherm om u aan te melden en bevestig dat het sleutelpaar correct is ingesteld en herkend.

Nadat het sleutelpaar succesvol is gevalideerd, kan de identiteitsprovider worden gebruikt voor veilige verificatie en ontsleuteling van tokenhandtekeningen.

Sleutelparen roteren

Sleutelrotatie houdt in dat cryptografische sleutels periodiek worden vervangen om veiligheidsrisico's te minimaliseren. In Qlik Cloud kunt u sleutelparen opnieuw genereren door dezelfde of een andere sterkte te gebruiken. Het nieuwe sleutelpaar vervangt de oude na succesvolle validatie.

InformatieDoor het opnieuw genereren van het sleutelpaar wordt het oude sleutelpaar niet onmiddellijk vervangen. Het oude sleutelpaar blijft actief totdat de nieuwe IdP-configuratie is gevalideerd. U moet de nieuwe openbare sleutel of het nieuwe certificaat uploaden naar uw identiteitsprovider en het validatieproces voltooien om de nieuwe sleutel te activeren.

Sleutelparen opnieuw genereren

Doe het volgende:

  1. In het Beheer-activiteitencentrum gaat u naar Identiteitsprovider.

  2. Zoek uw IdP-configuratie, klik op Meer en selecteer Bewerken.

  3. Vouw de sectie Geavanceerde opties uit.

  4. Kies onder Verificatie en ontsleuteling van tokenhandtekening de gewenste sleutelsterkte onder Sleutel opnieuw genereren.

    U kunt dezelfde of een andere sterkte selecteren dan de vorige sleutel.

    Instellingen voor het opnieuw genereren van sleutels.

    De configuratie-instellingen tonen de gegenereerde sleutel en de optie voor opnieuw genereren.

  5. Klik op Sleutel opnieuw genereren Opnieuw genereren.

  6. In het bevestigingsdialoogvenster:

    • Klik op Kopiëren om de openbare sleutel te kopiëren.

    • Klik op Downloaden om de sleutel te downloaden als een certificaat.

    InformatieOf u de openbare sleutel of het certificaat nodig hebt, hangt af van de vereisten van uw identiteitsprovider. Beide worden gedownload in de PEM-indeling. Als uw identiteitsprovider een andere indeling vereist, gebruik dan een tool zoals OpenSSL om het PEM-bestand te converteren.

  7. Voordat u kunt valideren, moet u de instellingen bijwerken in uw identiteitsprovider. Klik op Later om het configuratieproces tijdelijk af te sluiten.

  8. Deel de nieuwe openbare sleutel of het certificaat met uw identiteitsprovider:

    • Ga naar de instellingsinterface van uw identiteitsprovider en volg diens instructies om de openbare sleutel te uploaden of in te voeren. Raadpleeg de documentatie voor gedetailleerde stappen.

  9. Na het voltooien van de instellingen in uw identiteitsprovider, gaat u terug naar het Beheer-activiteitencentrum om de validatie te voltooien:

    1. Klik in uw IdP-configuratie op Meer en selecteer Valideren.

    2. Klik op Valideren om het validatieproces te starten.

    3. Volg de instructies op het scherm om u aan te melden en bevestig dat het sleutelpaar correct is ingesteld en herkend.

Na een succesvolle validatie zal het nieuwe sleutelpaar het vorige sleutelpaar vervangen voor alle toekomstige aanmeldingen. Als de validatie mislukt, wordt het nieuw gegenereerde sleutelpaar genegeerd en blijft het vorige sleutelpaar in gebruik.

Sleutelparen verwijderen

Doe het volgende:

  1. In het Beheer-activiteitencentrum gaat u naar Identiteitsprovider.

  2. Klik in uw IdP-configuratie op Meer en selecteer Bewerken.

  3. Vouw de sectie Geavanceerde opties uit.

  4. Klik onder Verificatie en ontsleuteling van tokenhandtekening op Verwijderen naast de gegenereerde sleutel.

  5. Bevestig de verwijdering.

Zorg ervoor dat de openbare sleutel ook is verwijderd bij uw identiteitsprovider om aanmeldproblemen te voorkomen.

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een typfout, een ontbrekende stap of een technische fout – laat het ons weten zodat we dit kunnen verbeteren!

Geef hier uw feedback