管理签名和加密 ID 令牌的密钥对
对于 OpenID Connect (OIDC) 身份提供者,JSON Web 令牌 (JWT) 用于对用户进行身份验证和授权。这些令牌可以签名以验证其真实性,并加密以保护其内容。
Qlik Cloud 支持与平台兼容的所有 OIDC 身份提供者的令牌签名验证和解密。
理解密钥对
由公开密钥和私钥组成的密钥对是此过程的核心:
-
公开密钥:由身份提供者用于加密令牌。
-
私钥:Qlik Cloud 用于解密令牌并访问其中包含的信息。
工作方式:
-
当用户登录 Qlik Cloud 时,外部身份提供者会使用 Qlik Cloud 启动 OIDC 身份验证流。
-
身份提供者发回用户的 ID 令牌,其中包括用户特定的信息,如他们的身份:
-
令牌使用身份提供者的私钥进行签名,以确认其真实性和完整性。
-
令牌使用 Qlik Cloud 公开密钥加密,以确保 Qlik Cloud 只能解密和访问所包含的信息。
-
-
Qlik Cloud 使用身份提供者的公开密钥验证 ID 令牌的签名。然后,它使用自己的私钥解密令牌,以检索用户的详细信息。
此过程确保只有授权方才能访问和使用令牌的信息。
生成密钥对
您可以为 OIDC IdP 配置的令牌签名验证和解密生成密钥对。
执行以下操作:
-
在 Administration 活动中心,转到身份提供者。
-
创建新的 IdP 配置
关于配置 IdP 的详细步骤,请参阅创建新的身份提供者配置 。
-
展开高级选项部分。
-
在令牌签名验证和解密下,选择密钥类型:RSA 2048 或 RSA 4096。
-
单击创建。
-
在确认对话框中:
-
单击 复制公开密钥。
-
单击 将密钥下载为证书。
信息注释您是否需要公开密钥或证书,取决于您的身份提供者的要求。两者均以 PEM 格式下载。如果您的身份提供者要求不同的格式,请使用 OpenSSL 等工具转换 PEM 文件。 -
-
在验证之前,您需要向身份提供者提供公开密钥。单击稍后,暂时退出配置过程。
-
与您的身份提供者共享公开密钥或证书:
-
开始转到身份提供者的设置界面,按照他们的指示上传或输入公开密钥。详细步骤请参阅其文档。
-
-
在身份提供者中完成设置后,返回 Administration 活动中心完成验证:
-
在 IdP 配置中,单击 并选择验证。
-
单击验证,开始验证流程。
-
按照屏幕上的说明登录,并确认已正确设置和识别密钥对。
-
一旦密钥对成功验证,身份提供者就可以用于安全令牌签名验证和解密。
轮换密钥对
密钥轮换涉及定期更换加密密钥,以最大限度地降低安全风险。在 Qlik Cloud 中,您可以重新生成具有相同或不同强度的密钥对。验证成功后,新密钥对将替换旧密钥对。
重新生成密钥对
执行以下操作:
-
在 Administration 活动中心,转到身份提供者。
-
查找您的 IdP 配置,单击 并选择编辑。
-
展开高级选项部分。
-
在令牌签名验证和解密下,选择再生密钥下所需的密钥强度。
您可选择与之前密钥相同或不同的强度。
-
单击重新生成密钥 。
-
在确认对话框中:
-
单击 复制公开密钥。
-
单击 将密钥下载为证书。
信息注释您是否需要公开密钥或证书,取决于您的身份提供者的要求。两者均以 PEM 格式下载。如果您的身份提供者要求不同的格式,请使用 OpenSSL 等工具转换 PEM 文件。 -
-
在验证之前,您需要在身份提供者中更新公开密钥。单击稍后,暂时退出配置过程。
-
与您的身份提供者共享新公开密钥或证书:
-
开始转到身份提供者的设置界面,按照他们的指示上传或输入公开密钥。详细步骤请参阅其文档。
-
-
在身份提供者中完成设置后,返回 Administration 活动中心完成验证:
-
在 IdP 配置中,单击 并选择验证。
-
单击验证,开始验证流程。
-
按照屏幕上的说明登录,并确认已正确设置和识别密钥对。
-
验证成功后,新的密钥对将替换之前的密钥对,用于今后的全部登录。如果验证失败,新生成的密钥对将被忽略,之前的密钥对将继续使用。
删除密钥对
执行以下操作:
-
在 Administration 活动中心,转到身份提供者。
-
在您的 IdP 配置上,单击 并选择编辑。
-
展开高级选项部分。
-
在令牌签名验证和解密下,单击生成的密钥旁边的 。
-
确认删除。
确保公开密钥也已从身份提供者处移除,以避免登录问题。