跳到主要内容 跳到补充内容

管理签名和加密 ID 令牌的密钥对

对于 OpenID Connect (OIDC) 身份提供者,JSON Web 令牌 (JWT) 用于对用户进行身份验证和授权。这些令牌可以签名以验证其真实性,并加密以保护其内容。

Qlik Cloud 支持与平台兼容的所有 OIDC 身份提供者的令牌签名验证和解密。

理解密钥对

由公开密钥和私钥组成的密钥对是此过程的核心:

  • 公开密钥:由身份提供者用于加密令牌。

  • 私钥:Qlik Cloud 用于解密令牌并访问其中包含的信息。

工作方式:

  1. 当用户登录 Qlik Cloud 时,外部身份提供者会使用 Qlik Cloud 启动 OIDC 身份验证流。

  2. 身份提供者发回用户的 ID 令牌,其中包括用户特定的信息,如他们的身份:

    • 令牌使用身份提供者的私钥进行签名,以确认其真实性和完整性。

    • 令牌使用 Qlik Cloud 公开密钥加密,以确保 Qlik Cloud 只能解密和访问所包含的信息。

  3. Qlik Cloud 使用身份提供者的公开密钥验证 ID 令牌的签名。然后,它使用自己的私钥解密令牌,以检索用户的详细信息。

此过程确保只有授权方才能访问和使用令牌的信息。

生成密钥对

您可以为 OIDC IdP 配置的令牌签名验证和解密生成密钥对。

执行以下操作:

  1. 在 Administration 活动中心,转到身份提供者

  2. 创建新的 IdP 配置

    关于配置 IdP 的详细步骤,请参阅创建 IdP 配置

  3. 展开高级选项部分。

  4. 令牌签名验证和解密下,选择密钥类型:RSA 2048RSA 4096

  5. 单击创建

  6. 在确认对话框中:

    • 单击 复制 复制公开密钥。

    • 单击 下载 将密钥下载为证书。

    确认对话框。

    确认对话框,带复制选项和 "稍后 "和 "验证 "两个操作按钮。
    信息注释您是否需要公开密钥或证书,取决于您的身份提供者的要求。两者均以 PEM 格式下载。如果您的身份提供者要求不同的格式,请使用 OpenSSL 等工具转换 PEM 文件。
  7. 在验证之前,您需要向身份提供者提供公开密钥。单击稍后,暂时退出配置过程。

  8. 与您的身份提供者共享公开密钥或证书:

    • 开始转到身份提供者的设置界面,按照他们的指示上传或输入公开密钥。详细步骤请参阅其文档。

  9. 在身份提供者中完成设置后,返回 Administration 活动中心完成验证:

    1. 在 IdP 配置中,单击 更多 并选择验证

    2. 单击验证,开始验证流程。

    3. 按照屏幕上的说明登录,并确认已正确设置和识别密钥对。

一旦密钥对成功验证,身份提供者就可以用于安全令牌签名验证和解密。

轮换密钥对

密钥轮换涉及定期更换加密密钥,以最大限度地降低安全风险。在 Qlik Cloud 中,您可以重新生成具有相同或不同强度的密钥对。验证成功后,新密钥对将替换旧密钥对。

信息注释重新生成密钥对不会立即替换旧密钥对。在新的 IdP 配置得到验证之前,旧的密钥对一直处于激活状态。您需要将新的公开密钥或证书上传到身份提供者,并完成验证过程以激活新密钥。

重新生成密钥对

执行以下操作:

  1. 在 Administration 活动中心,转到身份提供者

  2. 查找您的 IdP 配置,单击 更多 并选择编辑

  3. 展开高级选项部分。

  4. 令牌签名验证和解密下,选择再生密钥下所需的密钥强度。

    您可选择与之前密钥相同或不同的强度。

    再生密钥的设置。

    配置设置显示正在生成的密钥和用于重新生成的选项。
  5. 单击重新生成密钥 重新生成

  6. 在确认对话框中:

    • 单击 复制 复制公开密钥。

    • 单击 下载 将密钥下载为证书。

    信息注释您是否需要公开密钥或证书,取决于您的身份提供者的要求。两者均以 PEM 格式下载。如果您的身份提供者要求不同的格式,请使用 OpenSSL 等工具转换 PEM 文件。
  7. 在验证之前,您需要在身份提供者中更新公开密钥。单击稍后,暂时退出配置过程。

  8. 与您的身份提供者共享新公开密钥或证书:

    • 开始转到身份提供者的设置界面,按照他们的指示上传或输入公开密钥。详细步骤请参阅其文档。

  9. 在身份提供者中完成设置后,返回 Administration 活动中心完成验证:

    1. 在 IdP 配置中,单击 更多 并选择验证

    2. 单击验证,开始验证流程。

    3. 按照屏幕上的说明登录,并确认已正确设置和识别密钥对。

验证成功后,新的密钥对将替换之前的密钥对,用于今后的全部登录。如果验证失败,新生成的密钥对将被忽略,之前的密钥对将继续使用。

删除密钥对

执行以下操作:

  1. 在 Administration 活动中心,转到身份提供者

  2. 在您的 IdP 配置上,单击 更多 并选择编辑

  3. 展开高级选项部分。

  4. 令牌签名验证和解密下,单击生成的密钥旁边的 删除

  5. 确认删除。

确保公开密钥也已从身份提供者处移除,以避免登录问题。

本页面有帮助吗?

如果您发现此页面或其内容有任何问题 – 打字错误、遗漏步骤或技术错误 – 请告诉我们如何改进!