O Workspace ONE Access usa o OAuth 2.0 para permitir que os aplicativos se registrem no Workspace ONE Access e criem um acesso delegado seguro aos aplicativos que são ativados no catálogo do Hub. O cliente OAuth é autorizado por meio de um token de acesso.
Você pode criar um único cliente OAuth 2 para permitir que um único aplicativo se registre no Workspace ONE Access. Você também pode criar um modelo para permitir que um grupo de clientes se registre dinamicamente nos serviços do Workspace ONE Access para permitir o acesso a aplicativos especificados.
A solicitação de autenticação do usuário inicial segue o fluxo de autenticação definido na especificação OIDC.
Fluxo de Trabalho OAuth 2.0 quando o Aplicativo é Acessado por meio do Workspace ONE Intelligent Hub
Quando um usuário clica no aplicativo Workspace ONE Intelligent Hub ou portal do Hub, o fluxo de autenticação é o seguinte.
- O usuário seleciona o aplicativo no catálogo do Hub.
- O serviço Workspace ONE Access redireciona o usuário para o URL de destino.
- O aplicativo redireciona o usuário para o Workspace ONE Access com uma solicitação de autorização.
- O serviço Workspace ONE Access autentica o usuário com base na política de autenticação que você especificou para o aplicativo.
- O serviço Workspace ONE Access verifica se o usuário tem direito ao aplicativo.
- O serviço Workspace ONE Access envia o código de autorização para o URL de redirecionamento.
- Usando o código de autorização, o aplicativo solicita o token de acesso.
- O serviço Workspace ONE Access envia o ID do token, o token de acesso e o token de atualização para o aplicativo.
Gerenciando a vida útil do token de acesso
O token de acesso fornece acesso temporário ao aplicativo. Os token de acesso têm uma vida útil limitada. Quando você cria as credenciais do cliente, o token de acesso é configurado com uma vida útil (TTL). O tempo configurado é o tempo máximo durante o qual o token de acesso é válido para uso dentro de um aplicativo.
Se os usuários usarem um aplicativo com frequência, como o aplicativo Workspace ONE Intelligent Hub, você poderá configurar as credenciais do cliente para não exigir que esses usuários façam login sempre que o token de acesso expirar.
Habilite a opção Emitir Token de Atualização para que, quando o token de acesso expirar, o aplicativo use o token de atualização para solicitar um novo token de acesso. O token de atualização é configurado com uma TTL. Novos tokens de acesso podem ser solicitados até a expiração do token de atualização. Quando o token de atualização expirar, o usuário deverá fazer login no aplicativo.
Você pode configurar o período de tempo que um token de atualização pode ficar ocioso antes de não poder ser usado novamente. Se o token de atualização não for usado pela TTL ociosa do token de atualização, os usuários deverão fazer login no aplicativo novamente.
Como funciona a vida útil do token de acesso
As configurações de vida útil (TTL) do token de acesso nas credenciais do cliente são definidas da maneira a seguir.
- A TTL do Token de Acesso é definida como nove horas
- A TTL do Token de Atualização é definida como três meses
- A TTL Ociosa do Token de Atualização é definida como sete dias
Se o usuário usar o aplicativo diariamente, ele não precisará efetuar login novamente por três meses, com base nas configurações de TTL do Token de Atualização. No entanto, se o usuário ficar ocioso e não usar o aplicativo por sete dias, ele precisará fazer login após sete dias, com base nas configurações da TTL ociosa do Token de Atualização.