Hantering av nyckelpar för signerade och krypterade ID-tokens
Med OpenID Connect (OIDC)-identitetsleverantörer används JSON Web Tokens (JWT) för att autentisera och auktorisera användare. Dessa tokens kan signeras för att verifiera deras äkthet och krypteras för att skydda innehållet.
Qlik Cloud stöder verifiering och dekryptering av token-signaturer för alla OIDC-identitetsleverantörer som är kompatibla med plattformen.
Att förstå nyckelpar
Ett nyckelpar, bestående av en offentlig nyckel och en privat nyckel, är centralt i denna process:
-
Offentlig nyckel: används av identitetsleverantören för att kryptera tokens.
-
Privat nyckel: används av Qlik Cloud för att dekryptera tokens och få åtkomst till den information som de innehåller.
Så här fungerar det:
-
När en användare loggar in på Qlik Cloud initierar den externa identitetsleverantören OIDC:s autentiseringsflöde med Qlik Cloud.
-
Identitetsleverantören skickar tillbaka användarens ID-token, som inkluderar användarspecifik information som till exempel användarens identitet:
-
Token signeras med identitetsleverantörens privata nyckel för att bekräfta dess autenticitet och integritet.
-
Token krypteras med hjälp av den offentliga Qlik Cloud-nyckeln för att säkerställa att endast Qlik Cloud kan dekryptera och få åtkomst till den information som den innehåller.
-
-
Qlik Cloud verifierar signaturen för ID-token med hjälp av identitetsleverantörens offentliga nyckel. Den dekrypterar då token med hjälp av sin egen privata nyckel för att hämta användarens detaljer.
Denna process säkerställer att endast auktoriserade parter kan få åtkomst till och använda tokeninformationen.
Generera nyckelpar
Du kan generera nyckelpar för verifiering och dekryptering av token-signaturer för OIDC IdP-konfigurationer.
Gör följande:
-
Gå till Identitetsleverantör i aktivitetscentret för Administration.
-
Skapa en ny IdP-konfiguration.
Detaljerade steg för konfiguration av IdP:er finns i Skapa en IdP-konfiguration.
-
Expandera delavsnittet Avancerade alternativ.
-
Välj nyckeltyp RSA 2048 eller RSA 4096 under Verifiering och dekryptering av tokensignaturer .
-
Klicka på Skapa.
-
I bekräftelsedialogrutan:
-
Klicka på för att kopiera den offentliga nyckeln.
-
Klicka på för att hämta nyckeln som ett certifikat.
Anteckning om informationOm du behöver den offentliga nyckeln eller certifikatet beror på din identitetsleverantörs krav. Bilder hämtas i PEM-format. Om din Identitetsleverantör kräver ett annat format kan du använda ett verktyg som OpenSSL för att konvertera PEM-filen. -
-
Innan du kan validera måste du tillhandahålla den offentliga nyckeln till din identitetsleverantör. Klicka på Senare för att tillfälligt avsluta konfigurationsprocessen.
-
Dela den offentliga nyckeln eller certifikatet med din identitetsleverantör:
-
Gå till identitetsleverantörens installationsgränssnitt och följ instruktionerna för att ladda upp eller ange den offentliga nyckeln. Se dokumentationen för detaljerade steg.
-
-
När du har slutfört installationen i din identitetsleverantör återgår du till aktivitetscentret för Administration för att avsluta valideringen:
-
På din IdP-konfiguration klickar du på och väljer Validera.
-
Klicka på Validera för att starta valideringsprocessen.
-
Följ instruktionerna på skärmen för att logga in och bekräfta att nyckelparet är korrekt konfigurerat och godkänt.
-
När nyckelparet väl har validerats kan identitetsleverantören användas för säker verifiering och dekryptering av token-signaturer.
Rotera nyckelpar
Nyckelrotation innebär att kryptografiska nycklar byts ut med jämna mellanrum för att minimera säkerhetsriskerna. I Qlik Cloud kan du återskapa nyckelpar med samma eller annan styrka. Det nya nyckelparet kommer att ersätta det gamla efter genomförd validering.
Återskapa nyckelpar
Gör följande:
-
Gå till Identitetsleverantör i aktivitetscentret för Administration.
-
Klicka på och välj Redigera på din IdP-konfiguration.
-
Expandera delavsnittet Avancerade alternativ.
-
Under Verifiering och dekryptering av signatur för token väljer du önskad nyckelstyrka under Återskapa nyckel.
Du kan välja samma eller en annan styrka jämfört med tidigare nyckel.
-
Klicka på Återskapa nyckel .
-
I bekräftelsedialogrutan:
-
Klicka på för att kopiera den offentliga nyckeln.
-
Klicka på för att hämta nyckeln som ett certifikat.
Anteckning om informationOm du behöver den offentliga nyckeln eller certifikatet beror på din identitetsleverantörs krav. Bilder hämtas i PEM-format. Om din Identitetsleverantör kräver ett annat format kan du använda ett verktyg som OpenSSL för att konvertera PEM-filen. -
-
Innan du kan validera måste du uppdatera inställningarna hos din identitetsleverantör. Klicka på Senare för att tillfälligt avsluta konfigurationsprocessen.
-
Dela den nya offentliga nyckeln eller certifikatet med din identitetsleverantör:
-
Gå till identitetsleverantörens installationsgränssnitt och följ instruktionerna för att ladda upp eller ange den offentliga nyckeln. Se dokumentationen för detaljerade steg.
-
-
När du har slutfört installationen i din identitetsleverantör återgår du till aktivitetscentret för Administration för att avsluta valideringen:
-
På din IdP-konfiguration klickar du på och väljer Validera.
-
Klicka på Validera för att starta valideringsprocessen.
-
Följ instruktionerna på skärmen för att logga in och bekräfta att nyckelparet är korrekt konfigurerat och godkänt.
-
Vid lyckad validering kommer det nya nyckelparet att ersätta det föregående för alla framtida inloggningar. Om det inte gick att validera kommer det nyskapade nyckelparet att ignoreras och det tidigare nyckelparet kommer att fortsätta att användas.
Tar bort nyckelpar
Gör följande:
-
Gå till Identitetsleverantör i aktivitetscentret för Administration.
-
Klicka på och välj Redigera på din IdP-konfiguration.
-
Expandera delavsnittet Avancerade alternativ.
-
Under Verifiering och dekryptering av signatur för token väljer du bredvid den genererade nyckeln.
-
Bekräfta borttagningen.
Se till att den offentliga nyckeln även tas bort från din identitetsleverantör för att undvika inloggningsproblem.