Gerenciando pares de chaves para tokens de ID assinados e criptografados
Com provedores de identidade do OpenID Connect (OIDC), JSON Web Tokens (JWT) são usados para autenticar e autorizar usuários. Esses tokens podem ser assinados para verificar sua autenticidade e criptografados para proteger seu conteúdo.
O Qlik Cloud oferece suporte para verificação e descriptografia de assinatura de token para todos os provedores de identidade OIDC compatíveis com a plataforma.
Noções básicas sobre pares de chaves
Um par de chaves, que consiste em uma chave pública e uma chave privada, é fundamental para esse processo:
-
Chave pública: usada por um provedor de identidade para criptografar tokens.
-
Chave privada: usada pelo Qlik Cloud para descriptografar tokens e acessar as informações que eles contêm.
Como funciona:
-
Quando um usuário faz login no Qlik Cloud, o provedor de identidade externo inicia o fluxo de autenticação do OIDC com o Qlik Cloud.
-
O provedor de identidade envia de volta o token de ID do usuário, que inclui informações específicas do usuário, como sua identidade:
-
O token é assinado com a chave privada do provedor de identidade para confirmar sua autenticidade e integridade.
-
O token é criptografado usando a chave pública do Qlik Cloud para garantir que somente o Qlik Cloud possa descriptografar e acessar as informações contidas.
-
-
O Qlik Cloud verifica a assinatura do token de ID usando a chave pública do provedor de identidade. Ele então descriptografa o token usando sua própria chave privada para recuperar os detalhes do usuário.
Esse processo garante que somente partes autorizadas possam acessar e usar as informações do token.
Gerando pares de chaves
Você pode gerar pares de chaves para verificação de assinatura de token e descriptografia para configurações de IdP do OIDC.
Faça o seguinte:
-
No centro de atividades de Administração, vá para Provedor de identidade.
-
Crie uma nova configuração de IdP.
Para obter as etapas detalhadas sobre a configuração de IdPs, consulte Criando uma configuração de IdP.
-
Expanda a seção Opções avançadas.
-
Em Verificação e descriptografia de assinatura de token, escolha o tipo de chave: RSA 2048 ou RSA 4096.
-
Clique em Criar.
-
No diálogo de confirmação:
-
Clique em
para copiar a chave pública.
-
Clique em
para baixar a chave como um certificado.
Diálogo de confirmação.
Nota informativaSe você precisa da chave pública ou do certificado depende dos requisitos do seu provedor de identidade. Ambos são baixados no formato PEM. Se o provedor de identidade exigir um formato diferente, use uma ferramenta como OpenSSL para converter o arquivo PEM. -
-
Para poder validar, você precisa fornecer a chave pública ao seu provedor de identidade. Clique em Mais tarde para sair temporariamente do processo de configuração.
-
Compartilhe a chave pública ou o certificado com seu provedor de identidade:
-
Vá para a interface de configuração de seu provedor de identidade e siga as instruções para carregar ou inserir a chave pública. Consulte sua documentação para obter as etapas detalhadas.
-
-
Depois de concluir a configuração em seu provedor de identidade, retorne ao centro de atividades de Administração para finalizar a validação:
-
Na configuração do IdP, clique em
e selecione Validar.
-
Clique em Validar para iniciar o processo de validação.
-
Siga as instruções na tela para efetuar o login e confirmar que o par de chaves foi configurado e reconhecido corretamente.
-
Uma vez em que o par de chaves for validado com êxito, o provedor de identidade poderá ser usado para verificação e descriptografia seguras da assinatura do token.
Fazendo a rotação de pares de chaves
A rotação de chaves envolve a substituição periódica de chaves criptográficas para minimizar riscos de segurança. No Qlik Cloud, você pode regenerar pares de chaves com a mesma força ou com uma força diferente. O novo par de chaves substituirá o antigo após a validação bem-sucedida.
Regenerando pares de chaves
Faça o seguinte:
-
No centro de atividades de Administração, vá para Provedor de identidade.
-
Localize sua configuração do IdP, clique em
e selecione Editar.
-
Expanda a seção Opções avançadas.
-
Em Verificação e descriptografia da assinatura do token, escolha a força da chave desejada em Regenerar chave.
Você pode selecionar a mesma força ou uma força diferente da chave anterior.
Configurações para regenerar chaves.
-
Clique em Regenerar chave
.
-
No diálogo de confirmação:
-
Clique em
para copiar a chave pública.
-
Clique em
para baixar a chave como um certificado.
Nota informativaSe você precisa da chave pública ou do certificado depende dos requisitos do seu provedor de identidade. Ambos são baixados no formato PEM. Se o provedor de identidade exigir um formato diferente, use uma ferramenta como OpenSSL para converter o arquivo PEM. -
-
Para poder validar, você precisa atualizar a configuração no seu provedor de identidade. Clique em Mais tarde para sair temporariamente do processo de configuração.
-
Compartilhe a nova chave pública ou certificado com o provedor de identidade:
-
Vá para a interface de configuração de seu provedor de identidade e siga as instruções para carregar ou inserir a chave pública. Consulte sua documentação para obter as etapas detalhadas.
-
-
Depois de concluir a configuração em seu provedor de identidade, retorne ao centro de atividades de Administração para finalizar a validação:
-
Na configuração do IdP, clique em
e selecione Validar.
-
Clique em Validar para iniciar o processo de validação.
-
Siga as instruções na tela para efetuar o login e confirmar que o par de chaves foi configurado e reconhecido corretamente.
-
Após a validação bem-sucedida, o novo par de chaves substituirá o anterior em todos os logins futuros. Se a validação falhar, o par de chaves recém-gerado será ignorado e o par de chaves anterior permanecerá em uso.
Excluindo pares de chaves
Faça o seguinte:
-
No centro de atividades de Administração, vá para Provedor de identidade.
-
Na sua configuração do IdP, clique em
e selecione Editar.
-
Expanda a seção Opções avançadas.
-
Em Verificação e descriptografia da assinatura do token, clique em
ao lado da chave gerada.
-
Confirme a exclusão.
Certifique-se de que a chave pública também seja removida do seu provedor de identidade para evitar problemas de login.