Skip Navigation
  1. BlackBerry Docs
  2. BlackBerry Enterprise ID
  3. BlackBerry Enterprise Identity-Administratorhandbuch
  4. Verwenden von Authentifikatorebenen-Rangordnungen und Authentifizierungsrichtlinien zur Verwaltung der Sicherheit
  5. Benutzerauthentifizierung mit Okta zulassen
  6. Erstellen einer Okta-App

Erstellen einer
Okta
-App

Ihre
Okta
-Instanz muss über eine Verbindung zu
Microsoft Active Directory
 verfügen, und Ihre Benutzer müssen in
Okta
 importiert werden. Anweisungen finden Sie unter ad-agent-main.htm
  1. Melden Sie sich bei der
    Okta
    -Verwaltungskonsole an.
  2. Erstellen Sie ein Sicherheitstoken.
    1. Klicken Sie auf
      Sicherheit
       >
      API
       >
      Token
      .
    2. Klicken Sie auf
      Token erstellen
      .
    3. Kopieren Sie das Token.
  3. Generieren Sie die JWKS-Schlüssel.
    1. Rufen Sie die Website https://mkjwk.org auf.
    2. Klicken Sie auf die Registerkarte
      EC
      .
    3. Wählen Sie in der Dropdown-Liste
      Kurve
       die Option
      P-521
       aus.
    4. Wählen Sie in der Dropdown-Liste
      Algorithmus
       die Option
      ES521: ECDSA mit P-521 und SHA-512
       aus.
    5. Wählen Sie in der Dropdown-Liste
      Schlüssel-ID
       die Option
      SHA-256
       aus.
    6. Kopieren Sie das öffentliche und private Schlüsselpaar, den Schlüsselpaarsatz und den öffentlichen Schlüssel.
      In den öffentlichen und privaten Schlüsselpaarsätzen müssen Sie das Attribut
      „d“:
       entfernen, da es sich um einen privaten Schlüssel handelt.
  4. Verwenden Sie in einer Eingabeaufforderung eine CURL/Postman-Anforderung, um eine OIDC-App mit
    Okta
     zu registrieren und die folgenden Felder in JSON zu aktualisieren. Das Erstellen dieser Art von App wird derzeit in der
    Okta
    -Konsole nicht unterstützt.
    • Stellen Sie sicher, dass der SSWS-Autorisierungswert das Token ist, das Sie in Schritt 2 erstellt haben.
    • Ersetzen Sie die JWKS-Schlüssel mit den Schlüsseln aus Schritt 3.
    • Stellen Sie sicher, dass das Attribut „d;“ entfernt wurde.
    Ihre Eingabe sollte der folgenden ähneln.
    curl --request POST 'https://<oktaDomain>.okta.com/api/v1/apps/' \
--header 'Authorization: SSWS <token>' \
--header 'Content-Type: application/json' \
--data-raw '{
    "name": "oidc_client",
    "label": "BlackBerry Enterprise ID Client",
    "signOnMode": "OPENID_CONNECT",
    "credentials": {
        "oauthClient": {
            "token_endpoint_auth_method": "private_key_jwt"
        }
    },
    "settings": {
        "oauthClient": {
            "redirect_uris": [
                "https://idp.blackberry.com/idp/externalIdpCb"
            ],
            "response_types": [
                "code"
            ],
            "grant_types": [
                "authorization_code"
            ],
            "application_type": "native",
            "jwks": {
                "keys": [
                    {
                        "kty": "EC",
                        "alg": "P-521",
                        "kid": "OJE1cjnUBHGXHtOiHc64gSO1xxNzhoe9sRorb2CCKgU",
                        "x": "AV4Ljfyl2eCoP1oyO_U3047BTprKxuwlUm57p7FsQJFMtW1Xks7j8IQe4H0S8tNpd21Q_2NcKiJg5gj
                         WKs0H3Oh6",
                        "y": "AIWYPJ-c1UWEWQXO4Zkl3TKCPxCiAqv7ju_vJsO0Jye7zC1SzqAFbfIzCRRq_MJJJfmw2ZbfgtvHmG2
                         8avR1O287",
                        "alg": "ES512"
                    }
                ]
            }
        }
    }
}'
    Informationen zur JSON-Spezifikation finden Sie unter
  5. Zeigen Sie Ihre App in der
    Okta
    -Konsole an, und kopieren Sie die
    Client-ID
    .
  6. Weisen Sie die App Benutzern zu. Anweisungen finden Sie unter lcm-user-app-assign.htm.
  7. Um
    Okta
     ID-Ansprüche einzurichten, gehen Sie zu
    Sicherheit
     >
    API
     >
    Autorisierungsserver
    , und wählen Sie Ihren Autorisierungsserver aus.
  8. Klicken Sie auf der Registerkarte
    Ansprüche
     auf
    Ansprüche hinzufügen
    , und fügen Sie einen Anspruch mit den folgenden Werten hinzu:
    1. Name
      : object_guid
    2. In Tokentyp einschließen
      : Immer ID-Token
    3. Werttyp
      : Ausdruck
    4. Wert
      : findDirectoryUser().externalId
  9. Klicken Sie auf
    Erstellen
    .