Перейти к основному содержимому Перейти к дополнительному содержимому
Ресурсы Qlik
Загрузка поиска SearchUnify Если вам нужна помощь с вашим продуктом, обратитесь в поддержку Qlik.
Портал клиентов Qlik
Загрузка поиска SearchUnify Если вам нужна помощь с вашим продуктом, обратитесь в поддержку Qlik.
Портал клиентов Qlik

Управление парами ключей для подписанных и зашифрованных утверждений идентификации (SAML)

Поставщики удостоверений SAML используют веб-токены JSON (JWT) для проверки подлинности и авторизации пользователей. Эти утверждения могут быть подписаны для проверки их подлинности и зашифрованы для защиты их содержимого.

Qlik Cloud поддерживает проверку подписи и расшифровку токена для всех поставщиков удостоверений SAML, совместимых с платформой.

Общие сведения о парах ключей

Пара ключей, состоящая из открытого и закрытого ключей, занимает центральное место в этом процессе:

  • Открытый ключ: используется поставщиком удостоверений для шифрования токенов.

  • Закрытый ключ: используется в Qlik Cloud для расшифровки токенов и доступа к содержащейся в них информации.

Принципы работы:

  1. Когда пользователь выполняет вход в Qlik Cloud, внешний поставщик удостоверений инициирует поток проверки подлинности SAML с Qlik Cloud.

  2. Поставщик удостоверения отправляет обратно утверждение идентификации пользователя, которое включает в себя специфическую для пользователя информацию, такую как его учетные данные:

    • Утверждение подписывается закрытым ключом поставщика удостоверений, чтобы подтвердить его подлинность и целостность.

    • Утверждение шифруется с помощью открытого ключа Qlik Cloud, гарантируя, что только Qlik Cloud сможет расшифровать и получить доступ к содержащейся информации.

  3. Qlik Cloud проверяет подпись утверждения идентификации с помощью открытого ключа поставщика удостоверений. Затем он расшифровывает токен с помощью собственного закрытого ключа, чтобы получить данные о пользователе.

Этот процесс гарантирует, что только авторизованные лица могут получить доступ и использовать информацию утверждения.

Создание пар ключей

Можно создавать пары ключей для проверки и расшифровки подписи утверждения для конфигураций поставщика удостоверений SAML.

Выполните следующие действия.

  1. В центре активности «Администрирование» перейдите в раздел Поставщик удостоверений.

  2. Создайте новую конфигурацию поставщика удостоверений.

    Для получения подробных сведений о шагах настройки поставщиков удостоверений см. раздел Настройка поставщика удостоверений (IdP).

  3. Разверните раздел Расширенные параметры.

  4. В разделе Проверка и расшифровка подписи утверждения выберите тип ключа: RSA 2048 или RSA 4096.

  5. Нажмите Создать.

  6. В диалоговом окне подтверждения:

    • Щелкните Копировать, чтобы скопировать открытый ключ.

    • Щелкните Загрузить, чтобы загрузить ключ в виде сертификата.

    Диалоговое окно подтверждения

    Диалоговое окно подтверждения с кнопкой «Копировать» и двумя кнопками действий «Позже» и «Проверить».
    Примечание к информацииТребования поставщика удостоверений определяют необходимый вариант: открытый ключ или сертификат. Оба загружаются в формате PEM. Если поставщик удостоверений требует другой формат, используйте инструмент, например OpenSSL, для преобразования файла PEM.

  7. Прежде чем выполнять проверку, необходимо предоставить открытый ключ поставщику удостоверения. Щелкните Позже, чтобы временно выйти из процесса конфигурации.

  8. Передайте открытый ключ или сертификат поставщику удостоверений.

    • Перейдите в интерфейс настройки поставщика удостоверений и, следуя его инструкциям, загрузите или введите открытый ключ. Для получения подробных сведений см. соответствующую документацию.

  9. Завершив настройку поставщика удостоверений вернитесь в центр активности «Администрирование», чтобы закончить проверку.

    1. Рядом с конфигурацией поставщика удостоверений щелкните Дополнительно и выберите Проверить.

    2. Щелкните Проверить, чтобы начать процесс проверки.

    3. Следуйте инструкциям на экране, чтобы войти в систему и подтвердить правильность настройки и распознавания пары ключей.

После успешной проверки пары ключей поставщик удостоверения может использоваться для безопасной проверки и расшифровки подписи утверждения.

Ротация пар ключей

Ротация ключей предполагает периодическую замену криптографических ключей для минимизации рисков безопасности. В Qlik Cloud можно повторно создавать пары ключей той же или другой степени надежности. Новая пара ключей заменит прежнюю после успешной проверки.

Примечание к информацииПри повторном создании пары ключей замена старой пары происходит не сразу. Старая пара ключей остается активной до тех пор, пока не будет проверена новая конфигурация поставщика удостоверений. Необходимо загрузить новый открытый ключ или сертификат на сервер поставщика удостоверений и выполнить процесс проверки, чтобы активировать новый ключ.

Повторное создание пар ключей

Выполните следующие действия.

  1. В центре активности «Администрирование» перейдите в раздел Поставщик удостоверений.

  2. Рядом с конфигурацией поставщика удостоверений щелкните Дополнительно и выберите Изменить.

  3. Разверните раздел Расширенные параметры.

  4. В разделе Проверка и расшифровка подписи утверждения выберите нужную степень надежности ключа в пункте Создать ключ заново.

    Можно выбрать ту же или другую степень надежности по сравнению с предыдущим ключом.

    Параметры для повторного создания ключей.

    Параметры конфигурации, где отображается созданный ключ и кнопка для повторного создания ключа.

  5. Нажмите Создать ключ заново Создать заново.

  6. В диалоговом окне подтверждения:

    • Щелкните Копировать, чтобы скопировать открытый ключ.

    • Щелкните Загрузить, чтобы загрузить ключ в виде сертификата.

    Примечание к информацииТребования поставщика удостоверений определяют необходимый вариант: открытый ключ или сертификат. Оба загружаются в формате PEM. Если поставщик удостоверений требует другой формат, используйте инструмент, например OpenSSL, для преобразования файла PEM.

  7. Прежде чем выполнять проверку, необходимо обновить конфигурацию поставщика удостоверений. Щелкните Позже, чтобы временно выйти из процесса конфигурации.

  8. Передайте новый открытый ключ или сертификат поставщику удостоверений.

    • Перейдите в интерфейс настройки поставщика удостоверений и, следуя его инструкциям, загрузите или введите открытый ключ. Для получения подробных сведений см. соответствующую документацию.

  9. Завершив настройку поставщика удостоверений вернитесь в центр активности «Администрирование», чтобы закончить проверку.

    1. Рядом с конфигурацией поставщика удостоверений щелкните Дополнительно и выберите Проверить.

    2. Щелкните Проверить, чтобы начать процесс проверки.

    3. Следуйте инструкциям на экране, чтобы войти в систему и подтвердить правильность настройки и распознавания пары ключей.

После успешной проверки новая пара ключей заменит предыдущую для всех последующих входов в систему. Если проверка завершилась ошибкой, вновь созданная пара ключей будет проигнорирована, а предыдущая пара ключей останется в силе.

Удаление пар ключей

Выполните следующие действия.

  1. В центре активности «Администрирование» перейдите в раздел Поставщик удостоверений.

  2. Рядом с конфигурацией поставщика удостоверений щелкните Дополнительно и выберите Изменить.

  3. Разверните раздел Расширенные параметры.

  4. В разделе Проверка и расшифровка подписи утверждения щелкните Удалить рядом с созданным ключом.

  5. Подтвердите удаление.

Убедитесь, что открытый ключ также удален у поставщика удостоверений, чтобы избежать проблем с входом в систему.

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице или с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом!

Оставьте свой отзыв здесь