Passer la navigation
  1. BlackBerry Docs
  2. BlackBerry Enterprise ID
  3. Guide d'administration BlackBerry Enterprise Identity
  4. Utilisation de la classification du niveau d'authentification des stratégies d'authentification pour gérer la sécurité
  5. Permettre aux utilisateurs de s'authentifier avec Okta
  6. Créer une application Okta

Créer une application
Okta

Votre instance
Okta
 doit avoir une connexion à
Microsoft Active Directory
, et vos utilisateurs doivent être importés dans
Okta
. Pour obtenir des instructions, reportez-vous à ad-agent-main.htm
  1. Connectez-vous à la console d'administration
    Okta
    .
  2. Créez un jeton de sécurité.
    1. Cliquez sur
      Sécurité
       >
      API
       >
      Jetons
      .
    2. Cliquez sur
      Créer un jeton
      .
    3. Copiez le jeton.
  3. Générez des clés JWKS.
    1. Rendez-vous sur https://mkjwk.org.
    2. Cliquez sur l'onglet
      EC
      .
    3. Dans la liste déroulante
      Courbe
      , sélectionnez
      P-521
      .
    4. Dans la liste déroulante
      Algorithme
      , sélectionnez
      ES521 : ECDSA via P-521 et SHA-512
      .
    5. Dans la liste déroulante
      ID de clé
      , sélectionnez
      SHA-256
      .
    6. Copiez la paire de clés publique et privée, le jeu de paires de clés et la clé publique.
      Dans le jeu de paires de clés publiques et privées, vous devez supprimer l'attribut
      "d":
      , car il s'agit d'une clé privée.
  4. Dans une invite de commande, utilisez une requête CURL/postman pour enregistrer une application OIDC auprès de
    Okta
     et mettre à jour les champs suivants dans JSON. La création de ce type d'application n'est actuellement pas prise en charge dans la console
    Okta
    .
    • Vérifiez que la valeur de l'autorisation SSWS est le jeton que vous avez créé à l'étape 2.
    • Remplacez les clés jwks par les clés de l'étape 3.
    • Vérifiez que l'attribut "d:" a été supprimé.
    Votre saisie doit être similaire à celle-ci :
    curl --request POST 'https://<oktaDomain>.okta.com/api/v1/apps/' \
--header 'Authorization: SSWS <token>' \
--header 'Content-Type: application/json' \
--data-raw '{
    "name": "oidc_client",
    "label": "BlackBerry Enterprise ID Client",
    "signOnMode": "OPENID_CONNECT",
    "credentials": {
        "oauthClient": {
            "token_endpoint_auth_method": "private_key_jwt"
        }
    },
    "settings": {
        "oauthClient": {
            "redirect_uris": [
                "https://idp.blackberry.com/idp/externalIdpCb"
            ],
            "response_types": [
                "code"
            ],
            "grant_types": [
                "authorization_code"
            ],
            "application_type": "native",
            "jwks": {
                "keys": [
                    {
                        "kty": "EC",
                        "alg": "P-521",
                        "kid": "OJE1cjnUBHGXHtOiHc64gSO1xxNzhoe9sRorb2CCKgU",
                        "x": "AV4Ljfyl2eCoP1oyO_U3047BTprKxuwlUm57p7FsQJFMtW1Xks7j8IQe4H0S8tNpd21Q_2NcKiJg5gj
                         WKs0H3Oh6",
                        "y": "AIWYPJ-c1UWEWQXO4Zkl3TKCPxCiAqv7ju_vJsO0Jye7zC1SzqAFbfIzCRRq_MJJJfmw2ZbfgtvHmG2
                         8avR1O287",
                        "alg": "ES512"
                    }
                ]
            }
        }
    }
}'
    Pour plus d'informations sur la spécification JSON, reportez-vous à la section
  5. Affichez votre application dans la console
    Okta
     et copiez l'
    ID client
    .
  6. Attribuez les applications aux utilisateurs. Pour obtenir des instructions, reportez-vous à lcm-user-app-assign.htm.
  7. Pour configurer les revendications d'ID
    Okta
    , accédez à
    Sécurité
     >
    API
     >
    Serveur d'autorisation
     et sélectionnez votre serveur d'autorisation.
  8. Dans l'onglet
    Revendications
    , cliquez sur
    Ajouter des revendications
     et ajoutez une revendication avec les valeurs suivantes :
    1. Nom
       : object_GUID
    2. Inclure dans le type de jeton
       : Jeton ID, Toujours
    3. Type de valeur
       : Expression
    4. Valeur
       : findDirectoryUser().externalId
  9. Cliquez sur
    Créer
    .