Перейти к основному содержимому Перейти к дополнительному содержимому

Управление парами ключей для подписанных и зашифрованных токенов идентификации

Поставщики удостоверений OpenID Connect (OIDC) используют веб-токены JSON (JWT) для проверки подлинности и авторизации пользователей. Эти токены могут быть подписаны для проверки их подлинности и зашифрованы для защиты содержимого.

Qlik Cloud поддерживает проверку подписи и расшифровку токена для всех поставщиков удостоверений OIDC, совместимых с платформой.

Общие сведения о парах ключей

Пара ключей, состоящая из открытого и закрытого ключей, занимает центральное место в этом процессе:

  • Открытый ключ: используется поставщиком удостоверений для шифрования токенов.

  • Закрытый ключ: используется в Qlik Cloud для расшифровки токенов и доступа к содержащейся в них информации.

Принципы работы:

  1. Когда пользователь выполняет вход в Qlik Cloud, внешний поставщик удостоверений инициирует поток проверки подлинности OIDC с Qlik Cloud.

  2. Поставщик удостоверения отправляет обратно токен идентификации пользователя, который включает в себя специфическую для пользователя информацию, такую как его учетные данные:

    • Токен подписывается закрытым ключом поставщика удостоверений, чтобы подтвердить подлинность и целостность.

    • Токен шифруется с помощью открытого ключа Qlik Cloud, гарантируя, что только Qlik Cloud сможет расшифровать и получить доступ к содержащейся информации.

  3. Qlik Cloud проверяет подпись токена идентификатора с помощью открытого ключа поставщика удостоверений. Затем он расшифровывает токен с помощью собственного закрытого ключа, чтобы получить данные о пользователе.

Этот процесс гарантирует, что только авторизованные лица могут получить доступ к информации токена и использовать ее.

Создание пар ключей

Можно создавать пары ключей для проверки и расшифровки подписи токена для конфигураций поставщика удостоверений OIDC.

Выполните следующие действия.

  1. В центре активности «Администрирование» перейдите в раздел Поставщик удостоверений.

  2. Создайте новую конфигурацию поставщика удостоверений.

    Для получения подробных сведений о шагах настройки поставщиков удостоверений см. раздел Создание новой конфигурации поставщика удостоверений.

  3. Разверните раздел Расширенные параметры.

  4. В разделе Проверка и расшифровка подписи токена выберите тип ключа: RSA 2048 или RSA 4096.

  5. Щелкните Создать.

  6. В диалоговом окне подтверждения:

    • Щелкните Копировать, чтобы скопировать открытый ключ.

    • Щелкните Загрузить, чтобы загрузить ключ в виде сертификата.

    Диалоговое окно подтверждения

    Диалоговое окно подтверждения с кнопкой «Копировать» и двумя кнопками действий «Позже» и «Проверить».
    Примечание к информацииТребования поставщика удостоверений определяют необходимый вариант: открытый ключ или сертификат. Оба загружаются в формате PEM. Если поставщик удостоверений требует другой формат, используйте инструмент, например OpenSSL, для преобразования файла PEM.
  7. Прежде чем выполнять проверку, необходимо предоставить открытый ключ поставщику удостоверения. Щелкните Позже, чтобы временно выйти из процесса конфигурации.

  8. Передайте открытый ключ или сертификат поставщику удостоверений.

    • Перейдите в интерфейс настройки поставщика удостоверений и, следуя его инструкциям, загрузите или введите открытый ключ. Для получения подробных сведений см. соответствующую документацию.

  9. Завершив настройку поставщика удостоверений вернитесь в центр активности «Администрирование», чтобы закончить проверку.

    1. Рядом с конфигурацией поставщика удостоверений щелкните Дополнительно и выберите Проверить.

    2. Щелкните Проверить, чтобы начать процесс проверки.

    3. Следуйте инструкциям на экране, чтобы войти в систему и подтвердить правильность настройки и распознавания пары ключей.

После успешной проверки пары ключей поставщик удостоверения использоваться для безопасной проверки и расшифровки подписи токена.

Ротация пар ключей

Ротация ключей предполагает периодическую замену криптографических ключей для минимизации рисков безопасности. В Qlik Cloud можно повторно создавать пары ключей той же или другой степени надежности. Новая пара ключей заменит прежнюю после успешной проверки.

Примечание к информацииПри повторном создании пары ключей замена старой пары происходит не сразу. Старая пара ключей остается активной до тех пор, пока не будет проверена новая конфигурация поставщика удостоверений. Необходимо загрузить новый открытый ключ или сертификат на сервер поставщика удостоверений и выполнить процесс проверки, чтобы активировать новый ключ.

Повторное создание пар ключей

Выполните следующие действия.

  1. В центре активности «Администрирование» перейдите в раздел Поставщик удостоверений.

  2. Рядом с конфигурацией поставщика удостоверений щелкните Дополнительно и выберите Изменить.

  3. Разверните раздел Расширенные параметры.

  4. В разделе Проверка и расшифровка подписи токена выберите нужную степень надежности ключа в пункте Создать ключ заново.

    Можно выбрать ту же или другую степень надежности по сравнению с предыдущим ключом.

    Параметры для повторного создания ключей.

    Параметры конфигурации, где отображается созданный ключ и кнопка для повторного создания ключа.
  5. Нажмите Создать ключ заново Создать заново.

  6. В диалоговом окне подтверждения:

    • Щелкните Копировать, чтобы скопировать открытый ключ.

    • Щелкните Загрузить, чтобы загрузить ключ в виде сертификата.

    Примечание к информацииТребования поставщика удостоверений определяют необходимый вариант: открытый ключ или сертификат. Оба загружаются в формате PEM. Если поставщик удостоверений требует другой формат, используйте инструмент, например OpenSSL, для преобразования файла PEM.
  7. Прежде чем выполнять проверку, необходимо обновить конфигурацию поставщика удостоверений. Щелкните Позже, чтобы временно выйти из процесса конфигурации.

  8. Передайте новый открытый ключ или сертификат поставщику удостоверений.

    • Перейдите в интерфейс настройки поставщика удостоверений и, следуя его инструкциям, загрузите или введите открытый ключ. Для получения подробных сведений см. соответствующую документацию.

  9. Завершив настройку поставщика удостоверений вернитесь в центр активности «Администрирование», чтобы закончить проверку.

    1. Рядом с конфигурацией поставщика удостоверений щелкните Дополнительно и выберите Проверить.

    2. Щелкните Проверить, чтобы начать процесс проверки.

    3. Следуйте инструкциям на экране, чтобы войти в систему и подтвердить правильность настройки и распознавания пары ключей.

После успешной проверки новая пара ключей заменит предыдущую для всех последующих входов в систему. Если проверка завершилась ошибкой, вновь созданная пара ключей будет проигнорирована, а предыдущая пара ключей останется в силе.

Удаление пар ключей

Выполните следующие действия.

  1. В центре активности «Администрирование» перейдите в раздел Поставщик удостоверений.

  2. Рядом с конфигурацией поставщика удостоверений щелкните Дополнительно и выберите Изменить.

  3. Разверните раздел Расширенные параметры.

  4. В разделе Проверка и расшифровка подписи токена щелкните Удалить рядом с созданным ключом.

  5. Подтвердите удаление.

Убедитесь, что открытый ключ также удален у поставщика удостоверений, чтобы избежать проблем с входом в систему.

Помогла ли вам эта страница?

Если вы обнаружили какую-либо проблему на этой странице и с ее содержанием — будь то опечатка, пропущенный шаг или техническая ошибка, сообщите нам об этом, чтобы мы смогли ее исправить!