您可以将使用 OpenID Connect 身份验证协议的应用程序添加到 Workspace ONE Access,并像在目录中管理任何其他应用程序那样管理这些应用程序。您可以对每个应用程序应用访问策略,以指定如何基于网络范围和设备类型等条件对用户进行身份验证。添加应用程序后,可以将其分配给用户和组。

要添加 OpenID Connect 应用程序,需指定该应用程序的目标 URL、重定向 URL、客户端 ID 和客户端密码。

将 OpenID Connect 应用程序添加到目录时,会自动在 Workspace ONE Access 中为该应用程序创建一个 OAuth 2.0 客户端。该客户端使用您在添加应用程序时指定的配置信息创建,这些信息包括目标 URL、重定向 URL、客户端 ID 和客户端密码。所有其他参数均使用默认值。这些参数包括:
  • 授予类型:authorization_code、refresh_token

  • 范围:管理员、OpenID、用户
  • 显示用户授予:false
  • 访问令牌生存期 (TTL):3 小时
  • 刷新令牌生存期 (TTL):已启用并设置为 90 天
  • 刷新令牌空闲生存期 (TTL):4 天

您可以从目录 > 设置 > 远程应用程序访问页上的客户端选项卡中查看应用程序的 OAuth 2.0 客户端。单击客户端名称可查看配置信息。请勿编辑客户端中的任何字段。

重要事项: 请勿删除与应用程序关联的 OAuth 2.0 客户端,否则用户将无法再使用该应用程序。

从目录中删除应用程序时,也会删除相应的 OAuth 2.0 客户端。

从 Workspace ONE 访问应用程序时的身份验证流程

用户单击 Workspace ONE 中的应用程序时,身份验证流程如下所示:

  1. 用户单击 Workspace ONE 中的应用程序。
  2. Workspace ONE Access 会将用户重定向到目标 URL。
  3. 应用程序通过授权请求将用户重定向到 Workspace ONE Access
  4. Workspace ONE Access 根据为应用程序指定的身份验证策略对用户进行身份验证。
  5. Workspace ONE Access 检查用户是否有权访问应用程序。
  6. Workspace ONE Access 将授权代码发送到重定向 URL。
  7. 应用程序使用授权代码请求访问令牌。
  8. Workspace ONE Access 将 ID 令牌、访问令牌和刷新令牌发送到应用程序。

直接从服务提供程序访问应用程序时的身份验证流程

用户直接从服务提供程序访问应用程序时,身份验证流程如下所示:

  1. 用户单击应用程序。
  2. 用户将重定向到 Workspace ONE Access 以进行身份验证。
  3. Workspace ONE Access 根据为应用程序指定的身份验证策略对用户进行身份验证。
  4. Workspace ONE Access 检查用户是否有权访问应用程序。
  5. Workspace ONE Access 将 ID 令牌发送到服务提供程序。