管理签名和加密 ID 令牌的密钥对

对于 OpenID Connect (OIDC) 身份提供者，JSON Web 令牌 (JWT) 用于对用户进行身份验证和授权。这些令牌可以签名以验证其真实性，并加密以保护其内容。

Qlik Cloud 支持与平台兼容的所有 OIDC 身份提供者的令牌签名验证和解密。

理解密钥对

由公开密钥和私钥组成的密钥对是此过程的核心：

• 公开密钥：由身份提供者用于加密令牌。

• 私钥：Qlik Cloud 用于解密令牌并访问其中包含的信息。

工作方式：

1. 当用户登录 Qlik Cloud 时，外部身份提供者会使用 Qlik Cloud 启动 OIDC 身份验证流。

2. 身份提供者发回用户的 ID 令牌，其中包括用户特定的信息，如他们的身份：

   • 令牌使用身份提供者的私钥进行签名，以确认其真实性和完整性。

   • 令牌使用 Qlik Cloud 公开密钥加密，以确保 Qlik Cloud 只能解密和访问所包含的信息。

3. Qlik Cloud 使用身份提供者的公开密钥验证 ID 令牌的签名。然后，它使用自己的私钥解密令牌，以检索用户的详细信息。

此过程确保只有授权方才能访问和使用令牌的信息。

生成密钥对

您可以为 OIDC IdP 配置的令牌签名验证和解密生成密钥对。

执行以下操作：

1. 在 Administration 活动中心，转到身份提供者。

2. 创建新的 IdP 配置

   关于配置 IdP 的详细步骤，请参阅创建 IdP 配置 。

3. 展开高级选项部分。

4. 在令牌签名验证和解密下，选择密钥类型：RSA 2048 或 RSA 4096。

5. 单击创建。

6. 在确认对话框中：

   • 单击 复制公开密钥。

   • 单击 将密钥下载为证书。

   

   信息注释您是否需要公开密钥或证书，取决于您的身份提供者的要求。两者均以 PEM 格式下载。如果您的身份提供者要求不同的格式，请使用 OpenSSL 等工具转换 PEM 文件。

7. 在验证之前，您需要向身份提供者提供公开密钥。单击稍后，暂时退出配置过程。

8. 与您的身份提供者共享公开密钥或证书：

   • 开始转到身份提供者的设置界面，按照他们的指示上传或输入公开密钥。详细步骤请参阅其文档。

9. 在身份提供者中完成设置后，返回 Administration 活动中心完成验证：

   1. 在 IdP 配置中，单击 并选择验证。

   2. 单击验证，开始验证流程。

   3. 按照屏幕上的说明登录，并确认已正确设置和识别密钥对。

一旦密钥对成功验证，身份提供者就可以用于安全令牌签名验证和解密。

轮换密钥对

密钥轮换涉及定期更换加密密钥，以最大限度地降低安全风险。在 Qlik Cloud 中，您可以重新生成具有相同或不同强度的密钥对。验证成功后，新密钥对将替换旧密钥对。

重新生成密钥对

执行以下操作：

1. 在 Administration 活动中心，转到身份提供者。

2. 查找您的 IdP 配置，单击 并选择编辑。

3. 展开高级选项部分。

4. 在令牌签名验证和解密下，选择再生密钥下所需的密钥强度。

   您可选择与之前密钥相同或不同的强度。

   

5. 单击重新生成密钥 。

6. 在确认对话框中：

   • 单击 复制公开密钥。

   • 单击 将密钥下载为证书。

   信息注释您是否需要公开密钥或证书，取决于您的身份提供者的要求。两者均以 PEM 格式下载。如果您的身份提供者要求不同的格式，请使用 OpenSSL 等工具转换 PEM 文件。

7. 在验证之前，您需要在身份提供者中更新公开密钥。单击稍后，暂时退出配置过程。

8. 与您的身份提供者共享新公开密钥或证书：

   • 开始转到身份提供者的设置界面，按照他们的指示上传或输入公开密钥。详细步骤请参阅其文档。

9. 在身份提供者中完成设置后，返回 Administration 活动中心完成验证：

   1. 在 IdP 配置中，单击 并选择验证。

   2. 单击验证，开始验证流程。

   3. 按照屏幕上的说明登录，并确认已正确设置和识别密钥对。

验证成功后，新的密钥对将替换之前的密钥对，用于今后的全部登录。如果验证失败，新生成的密钥对将被忽略，之前的密钥对将继续使用。

删除密钥对

执行以下操作：

1. 在 Administration 活动中心，转到身份提供者。

2. 在您的 IdP 配置上，单击 并选择编辑。

3. 展开高级选项部分。

4. 在令牌签名验证和解密下，单击生成的密钥旁边的 。

5. 确认删除。

确保公开密钥也已从身份提供者处移除，以避免登录问题。