Gå till huvudinnehåll Gå till ytterligare innehåll

Hantering av nyckelpar för signerade och krypterade ID-tokens

Med OpenID Connect (OIDC)-identitetsleverantörer används JSON Web Tokens (JWT) för att autentisera och auktorisera användare. Dessa tokens kan signeras för att verifiera deras äkthet och krypteras för att skydda innehållet.

Qlik Cloud stöder verifiering och dekryptering av token-signaturer för alla OIDC-identitetsleverantörer som är kompatibla med plattformen.

Att förstå nyckelpar

Ett nyckelpar, bestående av en offentlig nyckel och en privat nyckel, är centralt i denna process:

  • Offentlig nyckel: används av identitetsleverantören för att kryptera tokens.

  • Privat nyckel: används av Qlik Cloud för att dekryptera tokens och få åtkomst till den information som de innehåller.

Så här fungerar det:

  1. När en användare loggar in på Qlik Cloud initierar den externa identitetsleverantören OIDC:s autentiseringsflöde med Qlik Cloud.

  2. Identitetsleverantören skickar tillbaka användarens ID-token, som inkluderar användarspecifik information som till exempel användarens identitet:

    • Token signeras med identitetsleverantörens privata nyckel för att bekräfta dess autenticitet och integritet.

    • Token krypteras med hjälp av den offentliga Qlik Cloud-nyckeln för att säkerställa att endast Qlik Cloud kan dekryptera och få åtkomst till den information som den innehåller.

  3. Qlik Cloud verifierar signaturen för ID-token med hjälp av identitetsleverantörens offentliga nyckel. Den dekrypterar då token med hjälp av sin egen privata nyckel för att hämta användarens detaljer.

Denna process säkerställer att endast auktoriserade parter kan få åtkomst till och använda tokeninformationen.

Generera nyckelpar

Du kan generera nyckelpar för verifiering och dekryptering av token-signaturer för OIDC IdP-konfigurationer.

Gör följande:

  1. Gå till Identitetsleverantör i aktivitetscentret för Administration.

  2. Skapa en ny IdP-konfiguration.

    Detaljerade steg för konfiguration av IdP:er finns i Skapa en IdP-konfiguration.

  3. Expandera delavsnittet Avancerade alternativ.

  4. Välj nyckeltyp RSA 2048 eller RSA 4096 under Verifiering och dekryptering av tokensignaturer .

  5. Klicka på Skapa.

  6. I bekräftelsedialogrutan:

    • Klicka på Kopieraför att kopiera den offentliga nyckeln.

    • Klicka på Hämtaför att hämta nyckeln som ett certifikat.

    Bekräftelsedialogen.

    Bekräfta dialogen med alternativet kopiera och de två knapparna Senare och Validera.
    Anteckning om informationOm du behöver den offentliga nyckeln eller certifikatet beror på din identitetsleverantörs krav. Bilder hämtas i PEM-format. Om din Identitetsleverantör kräver ett annat format kan du använda ett verktyg som OpenSSL för att konvertera PEM-filen.
  7. Innan du kan validera måste du tillhandahålla den offentliga nyckeln till din identitetsleverantör. Klicka på Senare för att tillfälligt avsluta konfigurationsprocessen.

  8. Dela den offentliga nyckeln eller certifikatet med din identitetsleverantör:

    • Gå till identitetsleverantörens installationsgränssnitt och följ instruktionerna för att ladda upp eller ange den offentliga nyckeln. Se dokumentationen för detaljerade steg.

  9. När du har slutfört installationen i din identitetsleverantör återgår du till aktivitetscentret för Administration för att avsluta valideringen:

    1. På din IdP-konfiguration klickar du på Mer och väljer Validera.

    2. Klicka på Validera för att starta valideringsprocessen.

    3. Följ instruktionerna på skärmen för att logga in och bekräfta att nyckelparet är korrekt konfigurerat och godkänt.

När nyckelparet väl har validerats kan identitetsleverantören användas för säker verifiering och dekryptering av token-signaturer.

Rotera nyckelpar

Nyckelrotation innebär att kryptografiska nycklar byts ut med jämna mellanrum för att minimera säkerhetsriskerna. I Qlik Cloud kan du återskapa nyckelpar med samma eller annan styrka. Det nya nyckelparet kommer att ersätta det gamla efter genomförd validering.

Anteckning om informationOm du återskapar nyckelparet ersätts inte det gamla omedelbart. Det gamla nyckelparet förblir aktivt tills den nya IdP-konfigurationen har validerats. Du måste ladda upp den nya offentliga nyckeln eller certifikatet till din identitetsleverantör och slutföra valideringsprocessen för att aktivera den nya nyckeln.

Återskapa nyckelpar

Gör följande:

  1. Gå till Identitetsleverantör i aktivitetscentret för Administration.

  2. Klicka på Mer och välj Redigera på din IdP-konfiguration.

  3. Expandera delavsnittet Avancerade alternativ.

  4. Under Verifiering och dekryptering av signatur för token väljer du önskad nyckelstyrka under Återskapa nyckel.

    Du kan välja samma eller en annan styrka jämfört med tidigare nyckel.

    Inställningar för återskapande av nycklar.

    Konfigurationsinställningarna visar den genererade nyckeln och alternativet att återskapa.
  5. Klicka på Återskapa nyckel Generera om.

  6. I bekräftelsedialogrutan:

    • Klicka på Kopieraför att kopiera den offentliga nyckeln.

    • Klicka på Hämtaför att hämta nyckeln som ett certifikat.

    Anteckning om informationOm du behöver den offentliga nyckeln eller certifikatet beror på din identitetsleverantörs krav. Bilder hämtas i PEM-format. Om din Identitetsleverantör kräver ett annat format kan du använda ett verktyg som OpenSSL för att konvertera PEM-filen.
  7. Innan du kan validera måste du uppdatera inställningarna hos din identitetsleverantör. Klicka på Senare för att tillfälligt avsluta konfigurationsprocessen.

  8. Dela den nya offentliga nyckeln eller certifikatet med din identitetsleverantör:

    • Gå till identitetsleverantörens installationsgränssnitt och följ instruktionerna för att ladda upp eller ange den offentliga nyckeln. Se dokumentationen för detaljerade steg.

  9. När du har slutfört installationen i din identitetsleverantör återgår du till aktivitetscentret för Administration för att avsluta valideringen:

    1. På din IdP-konfiguration klickar du på Mer och väljer Validera.

    2. Klicka på Validera för att starta valideringsprocessen.

    3. Följ instruktionerna på skärmen för att logga in och bekräfta att nyckelparet är korrekt konfigurerat och godkänt.

Vid lyckad validering kommer det nya nyckelparet att ersätta det föregående för alla framtida inloggningar. Om det inte gick att validera kommer det nyskapade nyckelparet att ignoreras och det tidigare nyckelparet kommer att fortsätta att användas.

Tar bort nyckelpar

Gör följande:

  1. Gå till Identitetsleverantör i aktivitetscentret för Administration.

  2. Klicka på Mer och välj Redigera på din IdP-konfiguration.

  3. Expandera delavsnittet Avancerade alternativ.

  4. Under Verifiering och dekryptering av signatur för token väljer du Ta bort bredvid den genererade nyckeln.

  5. Bekräfta borttagningen.

Se till att den offentliga nyckeln även tas bort från din identitetsleverantör för att undvika inloggningsproblem.

Var den här sidan till hjälp för dig?

Om du hittar några fel på denna sida eller i innehållet – ett stavfel, ett steg som saknas eller ett tekniskt fel – berätta för oss så att vi kan blir bättre!