将 Workspace ONE 应用程序规则应用于访问策略

在设备上安装 Workspace ONE 应用程序后，用户可以使用单点登录功能通过 VMware Identity Manager 访问其获得授权的应用程序。

Workspace ONE 应用程序是一个 OAuth 客户端，它使用 GreenBox-TemplatedId OAuth 模板来管理对该应用程序的访问。此模板已在 VMware Identity Manager 控制台中的“目录”>“设置”>“远程访问”页面中注册。

当用户首次成功登录到 Workspace ONE 应用程序时，OAuth 访问令牌将会应用到该应用程序。此访问令牌配置了生存期 (Time to Live, TTL)。TTL 值为用户可以访问 Workspace ONE 而无需再次登录的最长时间。

配置了刷新令牌，以便访问令牌过期后，Workspace ONE 请求新的访问令牌。这样，用户可以长时间保持登录 Workspace ONE 应用程序而无需再次登录。

Workspace ONE 访问令牌的生存期设置配置如下。

如果用户每天都使用 Workspace ONE 应用程序，则根据刷新令牌 TTL 值，用户在 90 天内不需要重新登录。但是，如果用户处于空闲状态而未使用 Workspace ONE 应用程序的时间达到 10 天，则用户必须重新登录 Workspace ONE。

要登录到 Workspace ONE，并将访问令牌应用到该应用程序，设备类型 Workspace ONE 应用程序应为默认访问策略中的第一个规则，以强制实施 OAuth TTL。对用户进行身份验证后，访问令牌会根据刷新令牌和闲置令牌的值，来管理会话的有效时长。

您可以在访问策略规则中，将会话重新进行身份验证的值配置为与刷新令牌生存期相同的值，即，90 天或 2160 小时。如果将会话重新进行身份验证的值配置为小于刷新令牌生存期，则在达到会话重新进行身份验证的阈值时，系统会提示用户登录 Workspace ONE。

如果 Workspace ONE 应用程序不是第一个规则，OAuth 访问令牌不会应用到 Workspace ONE 应用程序，并且无法单点登录到其他资源。用户每次从其设备访问 Workspace ONE 时，都需要登录到其门户中的应用程序。