Verwalten von Verschlüsselungsschlüsseln

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

• Erstellen von Verschlüsselungsschlüsseln
• Verwenden der Verschlüsselungsschlüssel in Marketing Cloud Engagement
• Ver- und Entschlüsseln von Daten in Marketing Cloud Engagement

Hier sind die Schlüssel

Bei den Sicherheitsfunktionen in Marketing Cloud Engagement dreht sich alles um Schlüssel. Schlüssel sind Werte, die die sichere Ausführung unterschiedlicher Funktionen in Marketing Cloud Engagement ermöglichen, beispielsweise die Ver- und Entschlüsselung von Daten, die Verwaltung der SSO-Authentifizierung (Single Sign-On, einmaliges Anmelden) oder das Generieren von JWT (JSON Web Token)-Werten für benutzerdefinierte Journey Builder-Aktivitäten.

Wo sind diese Schlüssel nun zu finden? Klicken Sie in Marketing Cloud Engagement auf "Setup" und erweitern Sie den Bereich "Data Management (Datenmanagement)". Dort finden Sie die Seite "Key Management (Schlüsselverwaltung)". Auf dieser Seite erstellen und verwalten Sie Ihre Schlüssel. Sie können je nach Bedarf unterschiedliche Typen von Schlüsseln erstellen. Sehen wir uns das genauer an.

• Asymmetrische Schlüssel – Sie müssen ein Zertifikat hochladen, um den Schlüssel zu erstellen. Diese Schlüssel unterstützen Sie beim Ver- und Entschlüsseln von Daten und beim digitalen Signieren von E-Mail-Nachrichten.
• Symmetrische Schlüssel – Sie müssen eine Passphrase erstellen, die zusammen mit dem Schlüssel verwendet wird. Dieser Schlüsselwert erfordert 32 Hexadezimalzeichen. Diese Schlüssel unterstützen Sie beim Ver- und Entschlüsseln von Daten und beim digitalen Signieren von E-Mail-Nachrichten.
• Initialisierungsvektor-Schlüssel – Sie können den 16-Bit-Wert entweder selbst festlegen, oder die Werte von der Schlüsselverwaltung erstellen lassen. Verwenden Sie diesen Schlüssel zur Aktivierung Ihrer Implementierungen der Verschlüsselung auf Feldebene.
• Salt-Schlüssel – Für diese Schlüssel wird ein Hexadezimalwert benötigt, der länger als 8 Bit ist. Die Verschlüsselung verwendet Zufallsbits, die zusammen mit einem Kennwort oder einer Passphrase generiert werden, und wird zum Generieren von JWTs für benutzerdefinierte Journey Builder-Aktivitäten verwendet.
• SSH-Schlüssel – Diese Schlüssel ermöglichen SFTP-Authentifizierung und erfordern ebenfalls das Hochladen eines Zertifikats.
• SSO-Metadaten-Schlüssel – Diese Schlüssel ermöglichen die Integration einer SSO-Authentifizierung für Marketing Cloud Engagement. Sie können diesen Schlüssel nur erstellen, wenn die SSO-Authentifizierung für Ihren Account aktiviert ist.

Denken Sie daran, dass Sie sensible Daten niemals in Marketing Cloud Engagement speichern sollten. Darunter fallen folgende Daten:

• Sozialversicherungsnummern, Passnummern, Führerscheinnummern und andere von staatlichen Behörden herausgegebene Identifizierungsnummern
• Kredit- oder Debitkartennummern, Bankkontonummern oder andere Finanzkontonummern

Unabhängig vom verwendeten Verschlüsselungsschema ist Marketing Cloud Engagement nicht für die Speicherung dieser Informationen gedacht.

Datenverschlüsselung

Verschlüsselungsschlüssel spielen bei Marketing Cloud Engagement-Aktivitäten viele verschiedene Rollen. Beispielsweise können Sie Daten zur Sendezeit ver- und entschlüsseln, wie im nachfolgenden AMPscript-Beispiel dargestellt.

Beispiel: Ver- und Entschlüsseln von Daten mit AMPscript 

Das erste Skript verschlüsselt den Wert ExampleDate mit den angegebenen externen Schlüsseln, das zweite entschlüsselt die entsprechenden Daten.

%%[
     SET @encData=EncryptSymmetric("ExampleData", "AES", "passwordExternalKey", @null, "saltExternalKey", @null, "IVExternalKey", @null)
     SET @clearData=DecryptSymmetric(@encData, "AES", "passwordExternalKey", @null, "saltExternalKey", @null, "IVExternalKey", @null)
]%%

Sie können auch Daten für die Dateiübertragungs-Aktivitäten in Automation Studio ver- und entschlüsseln. Geben Sie den Schlüssel im Rahmen der Übertragungsaktivität vom Marketing Cloud Engagement Safehouse-Dateispeicher an einen FTP-Speicherort an.

Möchten Sie mehr über die Verwaltung Ihrer Daten in Marketing Cloud Engagement erfahren? Sehen Sie sich das Modul Marketing Cloud Engagement – Datenverwaltung an.

Codieren von JWTs

Darüber hinaus haben Sie die Möglichkeit, Salt-Schlüssel zur Codierung von JWT-Informationen (JSON Web Token) in einer Journey Builder-Aktivität zu verwenden. Das JWT validiert die Identität von API-Aufrufen bei Ihren benutzerdefinierten Aktivitäten. Verwenden Sie ein JWT für Aktivitäten, die sensible Daten abrufen oder sensible Aktionen ausführen. In diesem Beispiel werden ein JWT-Wert und ein Salt-Schlüssel für die Aktivitäten "execute" (ausführen), "save" (speichern), "validate" (prüfen) und "publish" (veröffentlichen) verwendet.

Beispiel: Codieren von JWTs für Journey Builder

var ixn = {
   "id": "...",
   "key": "...",
   "name": "My journey",
   "version": 1,
   "workflowApiVersion": 1,
   "activities": [
      {
         "key": "REST-1",
         "name": "Custom REST Activity",
         "type": "REST",
         "outcomes": [
            {
               "next": null
            }
         ],
         "arguments": {
            "execute": {
               "inArguments": [
                  {
                     "message": "someMessage"
                  }
               ],
               "outArguments": [],
               "url": "https://example.com/post.php?dir=et_rest_activity_execute",
               "body": "{email-body}",
               "header": "",
               "useJwt": true,
               "customerKey": "your-encryption-customer-key-here",
               "timeout": 10000
            }
         },
         "configurationArguments": {
            "save": {
               "url": "https://example.com/post.php?dir=et_rest_activity_save",
               "body": "",
               "header": "",
               "useJwt": true,
               "customerKey": "your-encryption-customer-key-here"
            },
            "validate": {
               "url": "https://example.com/post.php?dir=et_rest_activity_validate",
               "body": "",
               "header": "",
               "useJwt": true,
               "customerKey": "your-encryption-customer-key-here"
            },
               "publish": {
                  "url": "https://example.com/post.php?dir=et_rest_activity_publish",
                  "body": "",
                  "header": "",
                  "useJwt": true,
                  "customerKey": "your-encryption-customer-key-here"
               }
            },
            "metaData": {
               "isConfigured": true
            }
         }
      ],
      "triggers": [],
      "goals": [],
      "entryMode": "SingleEntryAcrossAllVersions",
      "executionMode": "Production",
      "status": "Draft"
};

Implementieren von SSO für Ihren Marketing Cloud Engagement-Account

Zu guter Letzt erfordert jede Single Sign-On-Integration einen SSO-Metadaten-Schlüssel. Die Informationen für diesen Schlüssel sind abhängig von dem Anbieter, der zum Erstellen der Integration verwendet wird, doch Sie benötigen die folgenden Werte, um den Prozess abzuschließen.

• SAML-Metadaten
• Daten von URL abrufen (automatisch generiert aus dem vom Anbieter angegebenen URL)
• Anbieterzertifikat
• Einheiten-ID
• Format der Namens-ID
• Single Logout Service Location und Binding (festgelegt von Ihrem Anbieter)

Erstellen Sie nur Schlüssel, die Sie für Ihre Aktivitäten benötigen, und speichern Sie sie sicher. Wie bei jeder anderen Sicherheitssituation ist es keine gute Idee, Schlüssel einfach herumliegen zu lassen. Als Nächstes werfen wir einen Blick auf die besten Möglichkeiten zum Schutz Ihrer Web- und Zielseiten.

Ressourcen

• Salesforce-Hilfe: Schlüsselverwaltung
• Salesforce-Hilfe: Verwenden eines erstellten Schlüssels mit Dateiübertragungs-Aktivitäten
• Salesforce-Hilfe: Codieren von benutzerdefinierten Aktivitäten mit einem JWT
• Salesforce-Hilfe: Single Sign-On-Authentifizierung über SAML 2.0