İmzalı ve şifrelenmiş kimlik belirteçleri için anahtar çiftlerini yönetme
OpenID Connect (OIDC) kimlik sağlayıcıları ile kullanıcıların kimliklerini doğrulamak ve yetkilendirmek için JSON Web Belirteçleri (JWT) kullanılır. Bu belirteçler, özgünlüklerini doğrulamak için imzalanabilir ve içeriklerini korumak üzere şifrelenebilir.
Qlik Cloud, platformla uyumlu tüm OIDC kimlik sağlayıcıları için belirteç imzası doğrulama ve şifre çözme işlemlerini destekler.
Anahtar çiftlerini anlama
Bir herkese açık anahtar ve bir özel anahtardan oluşan anahtar çifti bu sürecin merkezinde yer alır:
-
Herkese açık anahtar: Kimlik sağlayıcı tarafından belirteçleri şifrelemek için kullanılır.
-
Özel anahtar: Belirteçlerin şifresini çözmek ve içerdikleri bilgilere erişmek için Qlik Cloud tarafından kullanılır.
Nasıl çalışır:
-
Bir kullanıcı Qlik Cloud oturumu açtığında harici kimlik sağlayıcı, Qlik Cloud ile OIDC kimlik doğrulama akışını başlatır.
-
Kimlik sağlayıcı, kullanıcının kimliği gibi kullanıcıya özel bilgileri içeren kimlik belirtecini geri gönderir:
-
Belirteç, kimlik sağlayıcının özel anahtarıyla imzalanarak gerçekliği ve bütünlüğü onaylanır.
-
Belirteç, yalnızca Qlik Cloud tarafından şifresinin çözülebilmesini ve içerdiği bilgilere erişilebilmesini sağlamak için Qlik Cloud herkese açık anahtarı kullanılarak şifrelenir.
-
-
Qlik Cloud, kimlik sağlayıcının herkese açık anahtarını kullanarak kimlik belirtecinin imzasını doğrular. Daha sonra kullanıcının bilgilerini almak için kendi özel anahtarını kullanarak belirtecin şifresini çözer.
Bu süreç yalnızca yetkili tarafların belirteç bilgilerine erişebilmesini ve bunları kullanabilmesini sağlar.
Anahtar çiftleri oluşturma
OIDC IdP yapılandırmaları için belirteç imzası doğrulama ve şifre çözmeye yönelik olarak anahtar çiftleri oluşturabilirsiniz.
Aşağıdakileri yapın:
-
Yönetim etkinlik merkezinde Kimlik sağlayıcı'ya gidin.
-
Yeni bir IdP yapılandırması oluşturun.
IdP'lerin yapılandırılmasıyla ilgili ayrıntılı adımlar için bk. Bir IdP yapılandırması oluşturma.
-
Gelişmiş seçenekler bölümünü genişletin.
-
Belirteç imzası doğrulama ve şifre çözme altında anahtar türünü seçin: RSA 2048 veya RSA 4096.
-
Oluştur'a tıklayın.
-
Onay diyalog penceresinde:
-
Herkese açık anahtarı kopyalamak için adresine tıklayın.
-
Anahtarı sertifika olarak indirmek için adresine tıklayın.
Bilgi notuHerkese açık anahtara mı yoksa sertifikaya mı ihtiyacınız olduğu kimlik sağlayıcınızın gereksinimlerine bağlıdır. Her ikisi de PEM formatında indirilir. Kimlik sağlayıcınız farklı bir biçim gerektiriyorsa PEM dosyasını dönüştürmek için OpenSSL gibi bir araç kullanın. -
-
Doğrulama yapmadan önce kimlik sağlayıcınıza herkese açık anahtarı sağlamanız gerekir. Yapılandırma işleminden geçici olarak çıkmak için Daha Sonra öğesine tıklayın.
-
Herkese açık anahtarı veya sertifikayı kimlik sağlayıcınızla paylaşın:
-
Kimlik sağlayıcınızın kurulum arayüzüne gidin ve herkese açık anahtarı yüklemek veya girmek için talimatlarını izleyin. Ayrıntılı adımlar için kendi belgelerine bakın.
-
-
Kimlik sağlayıcınızdaki kurulumu tamamladıktan sonra doğrulamayı bitirmek için Yönetim etkinlik merkezine dönün:
-
IdP yapılandırmanızda öğesine tıklayın ve Doğrula'yı seçin.
-
Doğrulama işlemini başlatmak için Doğrula'ya tıklayın.
-
Oturum açmak için ekrandaki talimatları izleyin ve anahtar çiftinin doğru şekilde kurulduğunu ve tanındığını onaylayın.
-
Anahtar çifti başarıyla doğrulandıktan sonra kimlik sağlayıcı, güvenli belirteç imzası doğrulama ve şifre çözme için kullanılabilir.
Anahtar çiftlerini döndürme
Anahtar döndürme, güvenlik risklerini en aza indirmek için kriptografik anahtarların periyodik olarak değiştirilmesini içerir. Qlik Cloud içinde aynı veya farklı güçte anahtar çiftlerini yeniden oluşturabilirsiniz. Yeni anahtar çifti, başarılı bir doğrulamanın ardından eskisinin yerini alacaktır.
Anahtar çiftlerini yeniden oluşturma
Aşağıdakileri yapın:
-
Yönetim etkinlik merkezinde Kimlik sağlayıcı'ya gidin.
-
IdP yapılandırmanızı bulun, öğesine tıklayın ve Düzenle'yi seçin.
-
Gelişmiş seçenekler bölümünü genişletin.
-
Belirteç imzası doğrulama ve şifre çözme altında, Yeniden anahtar oluştur altında istediğiniz anahtar gücünü seçin.
Bir önceki anahtarla aynı veya farklı bir gücü seçebilirsiniz.
-
Yeniden anahtar oluştur seçeneğine tıklayın.
-
Onay diyalog penceresinde:
-
Herkese açık anahtarı kopyalamak için adresine tıklayın.
-
Anahtarı sertifika olarak indirmek için adresine tıklayın.
Bilgi notuHerkese açık anahtara mı yoksa sertifikaya mı ihtiyacınız olduğu kimlik sağlayıcınızın gereksinimlerine bağlıdır. Her ikisi de PEM formatında indirilir. Kimlik sağlayıcınız farklı bir biçim gerektiriyorsa PEM dosyasını dönüştürmek için OpenSSL gibi bir araç kullanın. -
-
Doğrulama yapmadan önce kimlik sağlayıcınızda kurulumu güncellemeniz gerekir. Yapılandırma işleminden geçici olarak çıkmak için Daha Sonra öğesine tıklayın.
-
Yeni herkese açık anahtarı veya sertifikayı kimlik sağlayıcıyla paylaşın:
-
Kimlik sağlayıcınızın kurulum arayüzüne gidin ve herkese açık anahtarı yüklemek veya girmek için talimatlarını izleyin. Ayrıntılı adımlar için kendi belgelerine bakın.
-
-
Kimlik sağlayıcınızdaki kurulumu tamamladıktan sonra doğrulamayı bitirmek için Yönetim etkinlik merkezine dönün:
-
IdP yapılandırmanızda öğesine tıklayın ve Doğrula'yı seçin.
-
Doğrulama işlemini başlatmak için Doğrula'ya tıklayın.
-
Oturum açmak için ekrandaki talimatları izleyin ve anahtar çiftinin doğru şekilde kurulduğunu ve tanındığını onaylayın.
-
Doğrulama başarıyla tamamlandıktan sonra yeni anahtar çifti, gelecekteki tüm girişler için bir öncekinin yerini alacaktır. Doğrulama başarısız olursa yeni oluşturulan anahtar çifti yok sayılır ve önceki anahtar çifti kullanılmaya devam eder.
Anahtar çiftlerini silme
Aşağıdakileri yapın:
-
Yönetim etkinlik merkezinde Kimlik sağlayıcı'ya gidin.
-
IdP yapılandırmanızda, öğesine tıklayın ve Düzenle'yi seçin.
-
Gelişmiş seçenekler bölümünü genişletin.
-
Belirteç imzası doğrulama ve şifre çözme altında, oluşturulan anahtarın yanındaki seçeneğine tıklayın.
-
Silme işlemini onaylayın.
Oturum açma sorunlarını önlemek için herkese açık anahtarın kimlik sağlayıcınızdan da kaldırıldığından emin olun.