Управление парами ключей для подписанных и зашифрованных токенов идентификации
Поставщики удостоверений OpenID Connect (OIDC) используют веб-токены JSON (JWT) для проверки подлинности и авторизации пользователей. Эти токены могут быть подписаны для проверки их подлинности и зашифрованы для защиты содержимого.
Qlik Cloud поддерживает проверку подписи и расшифровку токена для всех поставщиков удостоверений OIDC, совместимых с платформой.
Общие сведения о парах ключей
Пара ключей, состоящая из открытого и закрытого ключей, занимает центральное место в этом процессе:
-
Открытый ключ: используется поставщиком удостоверений для шифрования токенов.
-
Закрытый ключ: используется в Qlik Cloud для расшифровки токенов и доступа к содержащейся в них информации.
Принципы работы:
-
Когда пользователь выполняет вход в Qlik Cloud, внешний поставщик удостоверений инициирует поток проверки подлинности OIDC с Qlik Cloud.
-
Поставщик удостоверения отправляет обратно токен идентификации пользователя, который включает в себя специфическую для пользователя информацию, такую как его учетные данные:
-
Токен подписывается закрытым ключом поставщика удостоверений, чтобы подтвердить подлинность и целостность.
-
Токен шифруется с помощью открытого ключа Qlik Cloud, гарантируя, что только Qlik Cloud сможет расшифровать и получить доступ к содержащейся информации.
-
-
Qlik Cloud проверяет подпись токена идентификатора с помощью открытого ключа поставщика удостоверений. Затем он расшифровывает токен с помощью собственного закрытого ключа, чтобы получить данные о пользователе.
Этот процесс гарантирует, что только авторизованные лица могут получить доступ к информации токена и использовать ее.
Создание пар ключей
Можно создавать пары ключей для проверки и расшифровки подписи токена для конфигураций поставщика удостоверений OIDC.
Выполните следующие действия.
-
В центре активности «Администрирование» перейдите в раздел Поставщик удостоверений.
-
Создайте новую конфигурацию поставщика удостоверений.
Для получения подробных сведений о шагах настройки поставщиков удостоверений см. раздел Создание новой конфигурации поставщика удостоверений.
-
Разверните раздел Расширенные параметры.
-
В разделе Проверка и расшифровка подписи токена выберите тип ключа: RSA 2048 или RSA 4096.
-
Щелкните Создать.
-
В диалоговом окне подтверждения:
-
Щелкните , чтобы скопировать открытый ключ.
-
Щелкните , чтобы загрузить ключ в виде сертификата.
Примечание к информацииТребования поставщика удостоверений определяют необходимый вариант: открытый ключ или сертификат. Оба загружаются в формате PEM. Если поставщик удостоверений требует другой формат, используйте инструмент, например OpenSSL, для преобразования файла PEM. -
-
Прежде чем выполнять проверку, необходимо предоставить открытый ключ поставщику удостоверения. Щелкните Позже, чтобы временно выйти из процесса конфигурации.
-
Передайте открытый ключ или сертификат поставщику удостоверений.
-
Перейдите в интерфейс настройки поставщика удостоверений и, следуя его инструкциям, загрузите или введите открытый ключ. Для получения подробных сведений см. соответствующую документацию.
-
-
Завершив настройку поставщика удостоверений вернитесь в центр активности «Администрирование», чтобы закончить проверку.
-
Рядом с конфигурацией поставщика удостоверений щелкните и выберите Проверить.
-
Щелкните Проверить, чтобы начать процесс проверки.
-
Следуйте инструкциям на экране, чтобы войти в систему и подтвердить правильность настройки и распознавания пары ключей.
-
После успешной проверки пары ключей поставщик удостоверения использоваться для безопасной проверки и расшифровки подписи токена.
Ротация пар ключей
Ротация ключей предполагает периодическую замену криптографических ключей для минимизации рисков безопасности. В Qlik Cloud можно повторно создавать пары ключей той же или другой степени надежности. Новая пара ключей заменит прежнюю после успешной проверки.
Повторное создание пар ключей
Выполните следующие действия.
-
В центре активности «Администрирование» перейдите в раздел Поставщик удостоверений.
-
Рядом с конфигурацией поставщика удостоверений щелкните и выберите Изменить.
-
Разверните раздел Расширенные параметры.
-
В разделе Проверка и расшифровка подписи токена выберите нужную степень надежности ключа в пункте Создать ключ заново.
Можно выбрать ту же или другую степень надежности по сравнению с предыдущим ключом.
-
Нажмите Создать ключ заново .
-
В диалоговом окне подтверждения:
-
Щелкните , чтобы скопировать открытый ключ.
-
Щелкните , чтобы загрузить ключ в виде сертификата.
Примечание к информацииТребования поставщика удостоверений определяют необходимый вариант: открытый ключ или сертификат. Оба загружаются в формате PEM. Если поставщик удостоверений требует другой формат, используйте инструмент, например OpenSSL, для преобразования файла PEM. -
-
Прежде чем выполнять проверку, необходимо обновить конфигурацию поставщика удостоверений. Щелкните Позже, чтобы временно выйти из процесса конфигурации.
-
Передайте новый открытый ключ или сертификат поставщику удостоверений.
-
Перейдите в интерфейс настройки поставщика удостоверений и, следуя его инструкциям, загрузите или введите открытый ключ. Для получения подробных сведений см. соответствующую документацию.
-
-
Завершив настройку поставщика удостоверений вернитесь в центр активности «Администрирование», чтобы закончить проверку.
-
Рядом с конфигурацией поставщика удостоверений щелкните и выберите Проверить.
-
Щелкните Проверить, чтобы начать процесс проверки.
-
Следуйте инструкциям на экране, чтобы войти в систему и подтвердить правильность настройки и распознавания пары ключей.
-
После успешной проверки новая пара ключей заменит предыдущую для всех последующих входов в систему. Если проверка завершилась ошибкой, вновь созданная пара ключей будет проигнорирована, а предыдущая пара ключей останется в силе.
Удаление пар ключей
Выполните следующие действия.
-
В центре активности «Администрирование» перейдите в раздел Поставщик удостоверений.
-
Рядом с конфигурацией поставщика удостоверений щелкните и выберите Изменить.
-
Разверните раздел Расширенные параметры.
-
В разделе Проверка и расшифровка подписи токена щелкните рядом с созданным ключом.
-
Подтвердите удаление.
Убедитесь, что открытый ключ также удален у поставщика удостоверений, чтобы избежать проблем с входом в систему.