Przeskocz do zawartości głównej Przejdź do treści uzupełniającej

Zarządzanie parami kluczy dla podpisanych i zaszyfrowanych tokenów identyfikatorów.

W przypadku dostawców tożsamości OpenID Connect (OIDC) tokeny JSON Web Token (JWT) są używane do uwierzytelniania i autoryzacji użytkowników. Tokeny te mogą być podpisywane w celu zweryfikowania ich autentyczności oraz szyfrowane w celu ochrony ich zawartości.

Qlik Cloud wspiera weryfikację podpisu tokenów oraz odszyfrowywanie dla wszystkich dostawców tożsamości OIDC kompatybilnych z platformą.

Pary kluczy

Para kluczy, składająca się z klucza publicznego oraz klucza prywatnego, ma kluczowe znaczenie dla tego procesu:

  • Klucz publiczny: używany przez dostawcę tożsamości do szyfrowania tokenów.

  • Klucz prywatny: używany przez Qlik Cloud do odszyfrowywania tokenów oraz uzyskiwania dostępu do informacji, które zawierają.

Jak to działa:

  1. Gdy użytkownik zaloguje się do Qlik Cloud, zewnętrzny dostawca tożsamości inicjuje przepływ uwierzytelnienia OIDC w Qlik Cloud.

  2. Dostawca tożsamości odsyła token Identyfikator użytkownika, który zawiera informacje specyficzne dla użytkownika, takie jak jego tożsamość:

    • Token jest podpisywany kluczem prywatnym dostawcy tożsamości w celu potwierdzenia jego autentyczności oraz integralności.

    • Token jest zaszyfrowany przy użyciu klucza publicznego Qlik Cloud, aby tylko platforma Qlik Cloud mogła go odszyfrować oraz uzyskać dostęp do zawartych w nim informacji.

  3. Qlik Cloud weryfikuje podpis tokena identyfikatora przy użyciu klucza publicznego dostawcy tożsamości. Następnie odszyfrowuje token przy użyciu własnego klucza prywatnego, aby pobrać dane użytkownika.

Proces ten zapewnia, że tylko autoryzowane podmioty mogą uzyskać dostęp do tokena oraz korzystać z jego informacji.

Generowanie par kluczy

Można generować pary kluczy do weryfikacji i odszyfrowywania podpisu tokenów dla konfiguracji dostawców tożsamości OIDC.

Wykonaj następujące czynności:

  1. W centrum aktywności Administracja wybierz pozycję Dostawca tożsamości.

  2. Utwórz nową konfigurację dostawcy tożsamości.

    Szczegółowe kroki dotyczące konfiguracji dostawców tożsamości zawiera temat Tworzenie konfiguracji dostawcy tożsamości.

  3. Rozwiń sekcję Opcje zaawansowane.

  4. W sekcji Weryfikacja i odszyfrowanie podpisu tokena wybierz typ klucza: RSA 2048 lub RSA 4096.

  5. Kliknij polecenie Utwórz.

  6. W oknie dialogowym potwierdzenia:

    • Kliknij Kopiuj, aby skopiować klucz publiczny.

    • Kliknij Pobierz, aby pobrać klucz jako certyfikat.

    Okno dialogowe potwierdzenia.

    Okno dialogowe Potwierdzenie z opcją kopiowania oraz dwoma przyciskami Później i Sprawdź poprawność.
    InformacjaTo, czy potrzebujesz klucza publicznego lub certyfikatu, zależy od wymagań dostawcy tożsamości. Oba są pobierane w formacie PEM. Jeśli dostawca tożsamości wymaga innego formatu, użyj narzędzia takiego jak OpenSSL do konwersji pliku PEM.
  7. Zanim sprawdzisz poprawność, musisz dostarczyć klucz publiczny swojemu dostawcy tożsamości. Kliknij Później, aby tymczasowo wyjść z procesu konfiguracji.

  8. Udostępnianie klucza publicznego lub certyfikatu dostawcy tożsamości:

    • Przejdź do interfejsu konfiguracji dostawcy tożsamości i stosuj się do jego instrukcji, aby przesłać lub wprowadzić klucz publiczny. Szczegółowe kroki można znaleźć w jego dokumentacji.

  9. Po zakończeniu konfiguracji u dostawcy tożsamości wróć do centrum aktywności Administrowanie, aby zakończyć sprawdzanie poprawności:

    1. W konfiguracji dostawcy tożsamości kliknij Więcej i wybierz Sprawdź poprawność.

    2. Kliknij Sprawdź poprawność, aby rozpocząć proces sprawdzania poprawności.

    3. Postępuj zgodnie z instrukcjami na ekranie, aby się zalogować i sprawdzić, czy para kluczy została poprawnie skonfigurowana oraz rozpoznana.

Gdy para kluczy zostanie pomyślnie zweryfikowana, Dostawca tożsamości może być używany do weryfikacji i odszyfrowywania podpisu tokena zabezpieczeń.

Rotacja par kluczy

Rotacja kluczy polega na okresowym zastępowaniu kluczy kryptograficznych w celu minimalizowania zagrożeń. W Qlik Cloud można generować ponownie pary kluczy o tej samej lub różnej sile. Nowa para kluczy zastąpi starą po pomyślnej weryfikacji poprawności.

InformacjaPonowne wygenerowanie pary kluczy nie powoduje natychmiastowego zastąpienia starej pary. Stara para kluczy pozostaje aktywna do momentu sprawdzenia poprawności nowej konfiguracji dostawcy tożsamości. Aby aktywować nowy klucz, musisz przesłać nowy klucz publiczny lub certyfikat do dostawcy tożsamości i zakończyć proces sprawdzania poprawności.

Ponowne generowanie par kluczy

Wykonaj następujące czynności:

  1. W centrum aktywności Administracja wybierz pozycję Dostawca tożsamości.

  2. Znajdź konfigurację dostawcy tożsamości, kliknij Więcej i wybierz Edytuj.

  3. Rozwiń sekcję Opcje zaawansowane.

  4. W sekcji Weryfikacja i odszyfrowanie podpisu tokena wybierz żądaną siłę klucza w sekcji Wygeneruj ponownie klucz.

    Możesz wybrać tę samą siłę co w przypadku poprzedniego klucza lub inną.

    Ustawienia ponownego generowania kluczy.

    Ustawienia konfiguracji pokazujące wygenerowany klucz oraz opcję ponownego generowania.
  5. Kliknij Wygeneruj ponownie klucz Generuj ponownie.

  6. W oknie dialogowym potwierdzenia:

    • Kliknij Kopiuj, aby skopiować klucz publiczny.

    • Kliknij Pobierz, aby pobrać klucz jako certyfikat.

    InformacjaTo, czy potrzebujesz klucza publicznego lub certyfikatu, zależy od wymagań dostawcy tożsamości. Oba są pobierane w formacie PEM. Jeśli dostawca tożsamości wymaga innego formatu, użyj narzędzia takiego jak OpenSSL do konwersji pliku PEM.
  7. Zanim sprawdzisz poprawność, musisz zaktualizować konfigurację dostawcy tożsamości. Kliknij Później, aby tymczasowo wyjść z procesu konfiguracji.

  8. Udostępnij klucz publiczny lub certyfikat dostawcy tożsamości:

    • Przejdź do interfejsu konfiguracji dostawcy tożsamości i stosuj się do jego instrukcji, aby przesłać lub wprowadzić klucz publiczny. Szczegółowe kroki można znaleźć w jego dokumentacji.

  9. Po zakończeniu konfiguracji u dostawcy tożsamości wróć do centrum aktywności Administrowanie, aby zakończyć sprawdzanie poprawności:

    1. W konfiguracji dostawcy tożsamości kliknij Więcej i wybierz Sprawdź poprawność.

    2. Kliknij Sprawdź poprawność, aby rozpocząć proces sprawdzania poprawności.

    3. Postępuj zgodnie z instrukcjami na ekranie, aby się zalogować i sprawdzić, czy para kluczy została poprawnie skonfigurowana oraz rozpoznana.

Po udanej weryfikacji poprawności nowa para kluczy zastąpi poprzednią na potrzeby wszystkich przyszłych logowań. Jeśli sprawdzenie poprawności nie powiedzie się, nowo wygenerowana para kluczy zostanie zignorowana, a poprzednia para kluczy pozostanie w użyciu.

Usuwanie par kluczy

Wykonaj następujące czynności:

  1. W centrum aktywności Administracja wybierz pozycję Dostawca tożsamości.

  2. W konfiguracji dostawcy tożsamości kliknij Więcej i wybierz Edytuj.

  3. Rozwiń sekcję Opcje zaawansowane.

  4. W sekcji Weryfikacja i odszyfrowanie podpisu tokena kliknij Usuń obok wygenerowanego klucza.

  5. Potwierdź usunięcie.

Upewnij się, że klucz publiczny został również usunięty u dostawcy tożsamości, aby uniknąć problemów z logowaniem.

Czy ta strona była pomocna?

Jeżeli natkniesz się na problemy z tą stroną lub jej zawartością — literówkę, brakujący krok lub błąd techniczny — daj nam znać, co możemy poprawić!