跳到主要內容 跳至補充內容

管理簽署和加密 ID Token 的金鑰組

透過 OpenID Connect (OIDC) 識別提供者,JSON Web Token (JWT) 用於驗證和授權使用者。可以對這些 Token 進行簽署,以驗證其真實性,並進行加密以保護其內容。

Qlik Cloud 支援與平台相容的所有 OIDC 識別提供者的 Token 簽署驗證和解密。

瞭解金鑰組

由公用金鑰和私人金鑰組成的金鑰組是此流程的核心:

  • 公用金鑰:由識別提供者用來加密 Token。

  • 私人金鑰:由 Qlik Cloud 用來解密 Token 並存取其中包含的資訊。

運作方式:

  1. 使用者登入 Qlik Cloud 時,外部識別提供者透過 Qlik Cloud 啟動 OIDC 驗證流程。

  2. 識別提供者傳回使用者的 ID Token,其中包括使用者特定資訊,例如其身分:

    • 該 Token 使用識別提供者的私人金鑰進行簽署,以確認其真實性和完整性。

    • 該 Token 使用 Qlik Cloud 公用金鑰進行加密,以確保只有 Qlik Cloud 可以解密並存取其中包含的資訊。

  3. Qlik Cloud 使用識別提供者的公用金鑰驗證 ID Token 的簽章。然後,這使用自己的私人金鑰解密 Token,以擷取使用者的詳細資訊。

此流程可確保只有授權方才能存取和使用 Token 的資訊。

產生金鑰組

您可以為 OIDC IdP 設定產生用於 Token 簽章驗證和解密的金鑰組。

請執行下列動作:

  1. 在「管理」活動中心內,前往識別提供者

  2. 建立新的 IdP 設定。

    有關設定 IdP 的詳細步驟,請參閱 建立新的識別提供者設定

  3. 展開進階選項區段。

  4. Token 簽章驗證和解密之下,選擇金鑰類型:RSA 2048RSA 4096

  5. 按一下建立

  6. 在確認對話方塊中:

    • 按一下 複製 以複製公用金鑰。

    • 按一下 下載 以下載金鑰作為憑證。

    確認對話方塊。

    具有複製選項和兩個動作按鈕「稍後」和「驗證」的確認對話方塊。
    資訊備註您是否需要公用金鑰或憑證,取決於識別提供者的要求。兩者都會以 PEM 格式下載。如果您的識別提供者需要不同的格式,請使用 OpenSSL 等工具來轉換 PEM 檔案。
  7. 在驗證之前,您需要向識別提供者提供公用金鑰。按一下稍後以暫時退出設定流程。

  8. 與您的識別提供者共用公用金鑰或憑證:

    • 前往識別提供者的設定介面,然後按照他們的說明上傳或輸入公用金鑰。有關詳細步驟,請參閱他們的文件。

  9. 在識別提供者中完成設定後,返回「管理」活動中心以完成驗證:

    1. 在 IdP 設定上,按一下 更多 並選取驗證

    2. 按一下驗證以開始驗證流程。

    3. 請按照畫面上的說明登入並確認已正確設定並辨識金鑰組。

成功驗證金鑰組後,識別提供者就可以用於安全 Token 簽章驗證和解密。

輪換金鑰組

金鑰輪換涉及定期更換加密金鑰,以盡可能降低安全性風險。在 Qlik Cloud 中,您可以重新產生強度相同或不同的金鑰組。驗證成功後,新的金鑰組將取代舊的金鑰組。

資訊備註重新產生金鑰組不會立即取代舊的金鑰組。驗證新的 IdP 設定之前,舊的金鑰組會保持作用中狀態。您需要將新的公用金鑰或憑證上傳到您的識別提供者並完成驗證流程,以啟用新的金鑰。

重新產生金鑰組

請執行下列動作:

  1. 在「管理」活動中心內,前往識別提供者

  2. 找到 IdP 設定,按一下 更多 並選取編輯

  3. 展開進階選項區段。

  4. Token 簽章驗證和解密之下,在重新產生金鑰下選擇所需的金鑰強度。

    您可以選取與上一個金鑰相同或不同的強度。

    重新產生金鑰的設定。

    設定顯示產生的金鑰和重新產生的選項。
  5. 按一下重新產生金鑰 重新產生

  6. 在確認對話方塊中:

    • 按一下 複製 以複製公用金鑰。

    • 按一下 下載 以下載金鑰作為憑證。

    資訊備註您是否需要公用金鑰或憑證,取決於識別提供者的要求。兩者都會以 PEM 格式下載。如果您的識別提供者需要不同的格式,請使用 OpenSSL 等工具來轉換 PEM 檔案。
  7. 在驗證之前,您需要在識別提供者中更新設定。按一下稍後以暫時退出設定流程。

  8. 與識別提供者共用新的公用金鑰或憑證:

    • 前往識別提供者的設定介面,然後按照他們的說明上傳或輸入公用金鑰。有關詳細步驟,請參閱他們的文件。

  9. 在識別提供者中完成設定後,返回「管理」活動中心以完成驗證:

    1. 在 IdP 設定上,按一下 更多 並選取驗證

    2. 按一下驗證以開始驗證流程。

    3. 請按照畫面上的說明登入並確認已正確設定並辨識金鑰組。

驗證成功後,新的金鑰組將取代先前的金鑰組,以供將來的所有登入使用。如果驗證失敗,將會忽略新產生的金鑰組,將繼續使用先前的金鑰組。

刪除金鑰組

請執行下列動作:

  1. 在「管理」活動中心內,前往識別提供者

  2. 在 IdP 設定,按一下 更多 並選取編輯

  3. 展開進階選項區段。

  4. Token 簽章驗證和解密之下,在產生的金鑰旁邊按一下 刪除

  5. 確認刪除。

確保也從您的識別提供者中移除公用金鑰,以避免登入問題。

此頁面是否對您有幫助?

若您發現此頁面或其內容有任何問題——錯字、遺漏步驟或技術錯誤——請告知我們可以如何改善!