Ir para conteúdo principal Pular para conteúdo complementar
Recursos da Qlik

Gerenciando pares de chaves para tokens de ID assinados e criptografados

Com provedores de identidade do OpenID Connect (OIDC), JSON Web Tokens (JWT) são usados para autenticar e autorizar usuários. Esses tokens podem ser assinados para verificar sua autenticidade e criptografados para proteger seu conteúdo.

O Qlik Cloud oferece suporte para verificação e descriptografia de assinatura de token para todos os provedores de identidade OIDC compatíveis com a plataforma.

Noções básicas sobre pares de chaves

Um par de chaves, que consiste em uma chave pública e uma chave privada, é fundamental para esse processo:

  • Chave pública: usada por um provedor de identidade para criptografar tokens.

  • Chave privada: usada pelo Qlik Cloud para descriptografar tokens e acessar as informações que eles contêm.

Como funciona:

  1. Quando um usuário faz login no Qlik Cloud, o provedor de identidade externo inicia o fluxo de autenticação do OIDC com o Qlik Cloud.

  2. O provedor de identidade envia de volta o token de ID do usuário, que inclui informações específicas do usuário, como sua identidade:

    • O token é assinado com a chave privada do provedor de identidade para confirmar sua autenticidade e integridade.

    • O token é criptografado usando a chave pública do Qlik Cloud para garantir que somente o Qlik Cloud possa descriptografar e acessar as informações contidas.

  3. O Qlik Cloud verifica a assinatura do token de ID usando a chave pública do provedor de identidade. Ele então descriptografa o token usando sua própria chave privada para recuperar os detalhes do usuário.

Esse processo garante que somente partes autorizadas possam acessar e usar as informações do token.

Gerando pares de chaves

Você pode gerar pares de chaves para verificação de assinatura de token e descriptografia para configurações de IdP do OIDC.

Faça o seguinte:

  1. No centro de atividades de Administração, vá para Provedor de identidade.

  2. Crie uma nova configuração de IdP.

    Para obter as etapas detalhadas sobre a configuração de IdPs, consulte Criando uma nova configuração do provedor de identidade.

  3. Expanda a seção Opções avançadas.

  4. Em Verificação e descriptografia de assinatura de token, escolha o tipo de chave: RSA 2048 ou RSA 4096.

  5. Clique em Criar.

  6. No diálogo de confirmação:

    • Clique em Copiar para copiar a chave pública.

    • Clique em Baixar para baixar a chave como um certificado.

    Diálogo de confirmação.

    Diálogo de confirmação com opção de cópia e os dois botões de ação Mais tarde e Validar.
    Nota informativaSe você precisa da chave pública ou do certificado depende dos requisitos do seu provedor de identidade. Ambos são baixados no formato PEM. Se o provedor de identidade exigir um formato diferente, use uma ferramenta como OpenSSL para converter o arquivo PEM.

  7. Para poder validar, você precisa fornecer a chave pública ao seu provedor de identidade. Clique em Mais tarde para sair temporariamente do processo de configuração.

  8. Compartilhe a chave pública ou o certificado com seu provedor de identidade:

    • Vá para a interface de configuração de seu provedor de identidade e siga as instruções para carregar ou inserir a chave pública. Consulte sua documentação para obter as etapas detalhadas.

  9. Depois de concluir a configuração em seu provedor de identidade, retorne ao centro de atividades de Administração para finalizar a validação:

    1. Na configuração do IdP, clique em Mais e selecione Validar.

    2. Clique em Validar para iniciar o processo de validação.

    3. Siga as instruções na tela para efetuar o login e confirmar que o par de chaves foi configurado e reconhecido corretamente.

Uma vez em que o par de chaves for validado com êxito, o provedor de identidade poderá ser usado para verificação e descriptografia seguras da assinatura do token.

Fazendo a rotação de pares de chaves

A rotação de chaves envolve a substituição periódica de chaves criptográficas para minimizar riscos de segurança. No Qlik Cloud, você pode regenerar pares de chaves com a mesma força ou com uma força diferente. O novo par de chaves substituirá o antigo após a validação bem-sucedida.

Nota informativaA regeneração do par de chaves não substitui o antigo imediatamente. O par de chaves antigo permanece ativo até que a nova configuração do IdP seja validada. Você precisa carregar a nova chave pública ou certificado para seu provedor de identidade e concluir o processo de validação para ativar a nova chave.

Regenerando pares de chaves

Faça o seguinte:

  1. No centro de atividades de Administração, vá para Provedor de identidade.

  2. Localize sua configuração do IdP, clique em Mais e selecione Editar.

  3. Expanda a seção Opções avançadas.

  4. Em Verificação e descriptografia da assinatura do token, escolha a força da chave desejada em Regenerar chave.

    Você pode selecionar a mesma força ou uma força diferente da chave anterior.

    Configurações para regenerar chaves.

    As definições de configuração mostrando a chave gerada e a opção para regenerar.

  5. Clique em Regenerar chave Gerar novamente.

  6. No diálogo de confirmação:

    • Clique em Copiar para copiar a chave pública.

    • Clique em Baixar para baixar a chave como um certificado.

    Nota informativaSe você precisa da chave pública ou do certificado depende dos requisitos do seu provedor de identidade. Ambos são baixados no formato PEM. Se o provedor de identidade exigir um formato diferente, use uma ferramenta como OpenSSL para converter o arquivo PEM.

  7. Para poder validar, você precisa atualizar a configuração no seu provedor de identidade. Clique em Mais tarde para sair temporariamente do processo de configuração.

  8. Compartilhe a nova chave pública ou certificado com o provedor de identidade:

    • Vá para a interface de configuração de seu provedor de identidade e siga as instruções para carregar ou inserir a chave pública. Consulte sua documentação para obter as etapas detalhadas.

  9. Depois de concluir a configuração em seu provedor de identidade, retorne ao centro de atividades de Administração para finalizar a validação:

    1. Na configuração do IdP, clique em Mais e selecione Validar.

    2. Clique em Validar para iniciar o processo de validação.

    3. Siga as instruções na tela para efetuar o login e confirmar que o par de chaves foi configurado e reconhecido corretamente.

Após a validação bem-sucedida, o novo par de chaves substituirá o anterior em todos os logins futuros. Se a validação falhar, o par de chaves recém-gerado será ignorado e o par de chaves anterior permanecerá em uso.

Excluindo pares de chaves

Faça o seguinte:

  1. No centro de atividades de Administração, vá para Provedor de identidade.

  2. Na sua configuração do IdP, clique em Mais e selecione Editar.

  3. Expanda a seção Opções avançadas.

  4. Em Verificação e descriptografia da assinatura do token, clique em Excluir ao lado da chave gerada.

  5. Confirme a exclusão.

Certifique-se de que a chave pública também seja removida do seu provedor de identidade para evitar problemas de login.

Esta página ajudou?

Se você encontrar algum problema com esta página ou seu conteúdo - um erro de digitação, uma etapa ausente ou um erro técnico - informe-nos como podemos melhorar!

Deixe seu feedback aqui