管理簽署和加密 ID Token 的金鑰組
透過 OpenID Connect (OIDC) 識別提供者,JSON Web Token (JWT) 用於驗證和授權使用者。可以對這些 Token 進行簽署,以驗證其真實性,並進行加密以保護其內容。
Qlik Cloud 支援與平台相容的所有 OIDC 識別提供者的 Token 簽署驗證和解密。
瞭解金鑰組
由公用金鑰和私人金鑰組成的金鑰組是此流程的核心:
-
公用金鑰:由識別提供者用來加密 Token。
-
私人金鑰:由 Qlik Cloud 用來解密 Token 並存取其中包含的資訊。
運作方式:
-
使用者登入 Qlik Cloud 時,外部識別提供者透過 Qlik Cloud 啟動 OIDC 驗證流程。
-
識別提供者傳回使用者的 ID Token,其中包括使用者特定資訊,例如其身分:
-
該 Token 使用識別提供者的私人金鑰進行簽署,以確認其真實性和完整性。
-
該 Token 使用 Qlik Cloud 公用金鑰進行加密,以確保只有 Qlik Cloud 可以解密並存取其中包含的資訊。
-
-
Qlik Cloud 使用識別提供者的公用金鑰驗證 ID Token 的簽章。然後,這使用自己的私人金鑰解密 Token,以擷取使用者的詳細資訊。
此流程可確保只有授權方才能存取和使用 Token 的資訊。
產生金鑰組
您可以為 OIDC IdP 設定產生用於 Token 簽章驗證和解密的金鑰組。
請執行下列動作:
-
在「管理」活動中心內,前往識別提供者。
-
建立新的 IdP 設定。
有關設定 IdP 的詳細步驟,請參閱 建立新的識別提供者設定。
-
展開進階選項區段。
-
在 Token 簽章驗證和解密之下,選擇金鑰類型:RSA 2048 或 RSA 4096。
-
按一下建立。
-
在確認對話方塊中:
-
按一下
以複製公用金鑰。 -
按一下
以下載金鑰作為憑證。
確認對話方塊。
資訊備註您是否需要公用金鑰或憑證,取決於識別提供者的要求。兩者都會以 PEM 格式下載。如果您的識別提供者需要不同的格式,請使用 OpenSSL 等工具來轉換 PEM 檔案。 -
-
在驗證之前,您需要向識別提供者提供公用金鑰。按一下稍後以暫時退出設定流程。
-
與您的識別提供者共用公用金鑰或憑證:
-
前往識別提供者的設定介面,然後按照他們的說明上傳或輸入公用金鑰。有關詳細步驟,請參閱他們的文件。
-
-
在識別提供者中完成設定後,返回「管理」活動中心以完成驗證:
-
在 IdP 設定上,按一下
並選取驗證。 -
按一下驗證以開始驗證流程。
-
請按照畫面上的說明登入並確認已正確設定並辨識金鑰組。
-
成功驗證金鑰組後,識別提供者就可以用於安全 Token 簽章驗證和解密。
輪換金鑰組
金鑰輪換涉及定期更換加密金鑰,以盡可能降低安全性風險。在 Qlik Cloud 中,您可以重新產生強度相同或不同的金鑰組。驗證成功後,新的金鑰組將取代舊的金鑰組。
重新產生金鑰組
請執行下列動作:
-
在「管理」活動中心內,前往識別提供者。
-
找到 IdP 設定,按一下
並選取編輯。 -
展開進階選項區段。
-
在 Token 簽章驗證和解密之下,在重新產生金鑰下選擇所需的金鑰強度。
您可以選取與上一個金鑰相同或不同的強度。
重新產生金鑰的設定。
-
按一下重新產生金鑰
。 -
在確認對話方塊中:
-
按一下
以複製公用金鑰。 -
按一下
以下載金鑰作為憑證。
資訊備註您是否需要公用金鑰或憑證,取決於識別提供者的要求。兩者都會以 PEM 格式下載。如果您的識別提供者需要不同的格式,請使用 OpenSSL 等工具來轉換 PEM 檔案。 -
-
在驗證之前,您需要在識別提供者中更新設定。按一下稍後以暫時退出設定流程。
-
與識別提供者共用新的公用金鑰或憑證:
-
前往識別提供者的設定介面,然後按照他們的說明上傳或輸入公用金鑰。有關詳細步驟,請參閱他們的文件。
-
-
在識別提供者中完成設定後,返回「管理」活動中心以完成驗證:
-
在 IdP 設定上,按一下
並選取驗證。 -
按一下驗證以開始驗證流程。
-
請按照畫面上的說明登入並確認已正確設定並辨識金鑰組。
-
驗證成功後,新的金鑰組將取代先前的金鑰組,以供將來的所有登入使用。如果驗證失敗,將會忽略新產生的金鑰組,將繼續使用先前的金鑰組。
刪除金鑰組
請執行下列動作:
-
在「管理」活動中心內,前往識別提供者。
-
在 IdP 設定,按一下
並選取編輯。 -
展開進階選項區段。
-
在 Token 簽章驗證和解密之下,在產生的金鑰旁邊按一下
。 -
確認刪除。
確保也從您的識別提供者中移除公用金鑰,以避免登入問題。