Gérer les secrets et les clés pour l'authentification client des applications OIDC

La gestion des clés secrètes et des clés pour les applications OIDC vous permet de gérer efficacement les méthodes d'identification client en toute sécurité. Avec ces paramètres, vous pouvez effectuer les opérations suivantes :

• Choisir entre la clé secrète client et la paire clé publique/clé privée, et les générer rapidement directement depuis la Admin Console. Il n'est ainsi plus nécessaire d'utiliser des API ou des sites Web tiers pour générer des clés publiques et privées.
• Indiquer l'URL des clés publiques dans la Admin Console pour qu'Okta puisse automatiquement extraire la clé publique. Il n'est ainsi plus nécessaire de manuellement mettre à jour la clé publique dans la Admin Console lorsque vous effectuez une rotation des paires de clés.
• Générer simultanément deux clés secrètes client et les changer en toute sécurité sans interrompre l'application. Vous pouvez générer jusqu'à deux clés secrètes client par application.
• Passer d'une clé secrète client à une clé publique/clé privée comme méthode d'authentification.

Vous pouvez également effectuer ces tâches en utilisant l'API Okta. Consultez la section Rotation des clés secrètes client.

Avant de commencer

Passez en revue les autres paramètres pour configurer une application OIDC. Consultez Créer des intégrations d'applications OpenID Connect.

Commencer la procédure

Grâce à la gestion des clés secrètes et des clés OAuth, vous pouvez effectuer les tâches suivantes :

• Générer une paire de clés publique/privée pour l'authentification client
• Ajouter votre clé publique à l'authentification client
• Ajouter une seconde paire de clés à l'authentification client
• Mettre automatiquement à jour une clé publique à partir d'une URL
• Changer la clé secrète client en créant une seconde clé secrète client
• Modifier les méthodes d'identification client

Générer une paire de clés publique/privée pour l'authentification client

1. Accédez à l'application OIDC.
2. Cliquez sur l'onglet Général.
3. Dans la section Identifiants client, cliquez sur Modifier.
4. Dans Authentification client, sélectionnez Clé publique/Clé privée.
5. Dans la section Clés publiques, cliquez sur Ajouter une clé. La fenêtre contextuelle Ajouter une clé publique s'ouvre.
6. Dans le menu déroulant Générer une nouvelle clé, sélectionnez Pour l'authentification client (sig). Cette opération génère une clé publique et une clé privée pour l'authentification client.
7. Copiez la clé privée dans un emplacement sûr pour pouvoir vous y référer plus tard. Copiez la clé privée au format JSON ou PEM. La clé privée ne s'affiche qu'une seule fois, au moment de sa génération. Okta ne conserve pas la clé privée.
8. Cliquez sur Terminé.
9. Dans l'onglet Général, cliquez sur Enregistrer.

Votre clé publique s'affiche dans l'onglet Général. Cliquez sur la clé pour l'afficher au format JSON.

Ajouter votre clé publique à l'authentification client

1. Accédez à l'application OIDC.
2. Cliquez sur l'onglet Général.
3. Dans la section Identifiants client, cliquez sur Modifier.
4. Dans Authentification client, sélectionnez Clé publique/Clé privée.
5. Dans la section Clés publiques, cliquez sur Ajouter une clé. La fenêtre contextuelle Ajouter une clé publique s'ouvre.
6. Dans cette fenêtre, copiez votre clé publique au format JSON.
7. Cliquez sur Terminé.
8. Dans l'onglet Général, cliquez sur Enregistrer.

Votre clé publique s'affiche dans l'onglet Général. Cliquez sur la clé pour l'afficher au format JSON.

Ajouter une seconde paire de clés à l'authentification client

1. Accédez à l'application OIDC.
2. Cliquez sur l'onglet Général.
3. Dans la section Identifiants client, cliquez sur Modifier.
4. Dans Authentification client, sélectionnez Clé publique/Clé privée.
5. Dans la section Clés publiques, cliquez sur Ajouter une clé. La fenêtre contextuelle Ajouter une clé publique s'ouvre.
6. Dans cette fenêtre, copiez votre clé publique au format JSON. Vous pouvez aussi cliquer sur Générer une nouvelle clé et sélectionner Pour l'authentification client (sig) afin de générer une nouvelle paire de clés publique/privée.
7. Copiez la clé privée dans un emplacement sûr pour pouvoir vous y référer plus tard. Copiez la clé privée au format JSON ou PEM. La clé privée ne s'affiche qu'une seule fois, au moment de sa génération. Okta ne conserve pas la clé privée.
8. Cliquez sur Terminé.
9. Dans l'onglet Général, cliquez sur Enregistrer.

Votre clé publique s'affiche dans l'onglet Général. Cliquez sur la clé pour l'afficher au format JSON.

Changer la clé secrète client en créant une seconde clé secrète client

Si vous utilisez une clé secrète client pour l'authentification, vous pourrez générer une seconde clé secrète à utiliser pour la rotation.

1. Accédez à l'application OIDC.
2. Cliquez sur l'onglet Général.
3. Dans Clés secrètes client, cliquez sur Générer une nouvelle clé secrète. Une nouvelle clé secrète est générée et apparaît dans la liste Clé secrète client. Les deux clés secrètes sont actives par défaut.
4. Cliquez sur l'icône représentant un presse-papiers. Mettez à jour vos serveurs avec la clé secrète qui vient d'être générée.
5. De retour dans Admin Console, paramétrez le statut de l'ancienne clé secrète sur Inactive. Vous pouvez également supprimer une clé inactive.

Modifier les méthodes d'identification client

Vous pouvez passer de la clé secrète client à une clé publique/privée.

• Si vous passez d'une clé secrète client à une clé publique/privée, toutes les clés secrètes client pour l'application seront supprimées.
• Si vous passez d'une sauvegarde des clés publiques à une extraction par Okta à partir d'une URL, les clés publiques seront supprimées.