Early Access: The content on this website is provided for informational purposes only in connection with pre-General Availability Qlik Products.
All content is subject to change and is provided without warranty.
メイン コンテンツをスキップする 補完的コンテンツへスキップ
Qlik リソース
SearchUnify の検索をロード中 製品に関するサポートが必要な場合は、Qlik Support にお問い合わせください。
Qlik Customer Portal
SearchUnify の検索をロード中 製品に関するサポートが必要な場合は、Qlik Support にお問い合わせください。
Qlik Customer Portal

署名および暗号化された ID トークンのキー ペアの管理

OpenID Connect (OIDC) ID プロバイダーでは、ユーザーの認証と承認に JSON Web Token (JWT) が使用されます。これらのトークンは、信頼性を検証するために署名され、内容を保護するために暗号化されます。

Qlik Cloud は、プラットフォームと互換性のあるすべての OIDC ID プロバイダーのトークン署名の検証と復号化をサポートします。

キー ペアを理解する

パブリック キーとプライベート キーで構成されるキー ペアが、このプロセスの中心となります。

  • パブリック キー: ID プロバイダーがトークンを暗号化するために使用します。

  • プライベート キー: Qlik Cloud がトークンを解読し、トークンが含む情報にアクセスするために使用します。

仕組み:

  1. ユーザーが Qlik Cloud にログインすると、外部 ID プロバイダーは Qlik Cloud との OIDC 認証フローを開始します。

  2. ID プロバイダーは、ユーザーの ID トークンを返します。このトークンには、ユーザーの ID などのユーザー固有の情報が含まれます。

    • トークンは、その信頼性と整合性を確認するために、ID プロバイダーのプライベート キーで署名されます。

    • トークンは Qlik Cloud パブリック キーを使用して暗号化され、Qlik Cloud だけが復号化して含まれる情報にアクセスできるようになります。

  3. Qlik Cloud は、ID プロバイダーのパブリック キーを使用して ID トークンの署名を検証します。次に、独自のプライベート キーを使用してトークンを復号化し、ユーザーの詳細を取得します。

このプロセスにより、許可された当事者だけがトークンの情報にアクセスして使用できるようになります。

キー ペアの生成

OIDC IdP 構成のトークン署名検証と復号化用のキー ペアを生成できます。

次の手順を実行します。

  1. Administration アクティビティ センターで、 [ID プロバイダー] に移動します。

  2. 新しい IdP 構成を作成します。

    IdP を構成する詳しいステップについては、「IdP 構成の作成」を参照してください。

  3. [詳細オプション] のセクションを展開します。

  4. [トークン署名の検証と復号化] で、キーの種類として RSA 2048 または RSA 4096 を選択します。

  5. [作成] をクリックします。

  6. 確認ダイアログで:

    • コピー をクリックしてパブリック キーをコピーします。

    • ダウンロード をクリックし、キーを証明書としてダウンロードします。

    確認ダイアログ。

    コピー オプションと、[後で] および [検証] の 2 つのアクション ボタンを含む確認ダイアログ。
    情報メモパブリック キーまたは証明書が必要かどうかは、ID プロバイダーの要件に応じて異なります。どちらも PEM 形式でダウンロードされます。ID プロバイダーで異なる形式が必要な場合は、OpenSSL などのツールを使用して PEM ファイルを変換します。

  7. 検証する前に、ID プロバイダーにパブリック キーを提供する必要があります。構成プロセスを一時的に終了するには、 [後で] をクリックします。

  8. パブリック キーまたは証明書を ID プロバイダーと共有します。

    • ID プロバイダーのセットアップ インターフェイスに移動し、指示に従ってパブリック キーをアップロードまたは入力します。詳細な手順については、ドキュメントを参照してください。

  9. ID プロバイダーでの設定が完了したら、管理アクティビティ センターに戻って検証を完了します。

    1. IdP 構成で 詳細 をクリックして、 [検証] を選択します。

    2. 検証プロセスを開始するには、 [検証] をクリックします。

    3. 画面の指示に従ってログインし、キー ペアが正しく設定および認識されていることを確認します。

キー ペアが正常に検証されると、ID プロバイダーを使用して安全なトークン署名の検証と復号化を実行できます。

キー ペアのローテーション

キー ローテーションでは、セキュリティ リスクを最小限に抑えるために、暗号化キーを定期的に交換します。Qlik Cloud では、同じ強度または異なる強度のキー ペアを再生成できます。検証が成功すると、新しいキー ペアが古いキー ペアに置き換えられます。

情報メモキー ペアを再生成しても、古いキー ペアはすぐには置き換えられません。新しい IdP 構成が検証されるまで、古いキー ペアはアクティブなままになります。新しいパブリック キーまたは証明書を ID プロバイダーにアップロードし、検証プロセスを完了して新しいキーをアクティブ化する必要があります。

キー ペアの再生成

次の手順を実行します。

  1. Administration アクティビティ センターで、 [ID プロバイダー] に移動します。

  2. IdP 構成を見つけ、詳細 をクリックして、 [編集] を選択します。

  3. [詳細オプション] のセクションを展開します。

  4. [トークン署名の検証と復号化] の [キーを再生成] で、必要なキーの強度を選択します。

    前のキーと同じ強度または異なる強度を選択できます。

    キーを再生成するための設定。

    生成されたキーと再生成のオプションを表示する構成設定。

  5. [キーを再生成] 再生成 をクリックします。

  6. 確認ダイアログで:

    • コピー をクリックしてパブリック キーをコピーします。

    • ダウンロード をクリックし、キーを証明書としてダウンロードします。

    情報メモパブリック キーまたは証明書が必要かどうかは、ID プロバイダーの要件に応じて異なります。どちらも PEM 形式でダウンロードされます。ID プロバイダーで異なる形式が必要な場合は、OpenSSL などのツールを使用して PEM ファイルを変換します。

  7. 検証する前に、ID プロバイダーの設定を更新する必要があります。構成プロセスを一時的に終了するには、 [後で] をクリックします。

  8. 新しいパブリック キーまたは証明書を ID プロバイダーと共有します。

    • ID プロバイダーのセットアップ インターフェイスに移動し、指示に従ってパブリック キーをアップロードまたは入力します。詳細な手順については、ドキュメントを参照してください。

  9. ID プロバイダーでの設定が完了したら、管理アクティビティ センターに戻って検証を完了します。

    1. IdP 構成で 詳細 をクリックして、 [検証] を選択します。

    2. 検証プロセスを開始するには、 [検証] をクリックします。

    3. 画面の指示に従ってログインし、キー ペアが正しく設定および認識されていることを確認します。

検証が成功すると、今後のすべてのログインで新しいキー ペアが以前のキー ペアに置き換えられます。検証に失敗した場合、新しく生成されたキー ペアは無視され、以前のキー ペアが引き続き使用されます。

キー ペアの削除

次の手順を実行します。

  1. Administration アクティビティ センターで、 [ID プロバイダー] に移動します。

  2. IdP 構成で 詳細 をクリックして、 [編集] を選択します。

  3. [詳細オプション] のセクションを展開します。

  4. [トークン署名の検証と復号化] で、生成されたキーの横にある 削除 をクリックします。

  5. 削除を確定します。

ログインの問題を避けるため、ID プロバイダーからもパブリック キーが削除されていることを確認してください。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。

こちらにフィードバックをお寄せください