Workspace ONE Access 使用 OAuth 2.0 来允许在 Workspace ONE Access 中注册应用程序,并创建对 Hub 目录中启用的应用程序的安全委派访问。OAuth 客户端通过访问令牌进行授权。

注:
  • (仅限云部署版本)在 2022 年 4 月重新设计 Workspace ONE Access 控制台时,OAuth 2.0 管理取代了远程应用程序访问,并重新设计了配置。在新控制台中所做的更改不会反映在旧版控制台中。
  • (仅限内部部署)在 Workspace ONE Access 22.09 版本中,远程应用程序访问配置与先前版本保持相同。请参阅在 Workspace ONE Access 中使用 OAuth 2.0 管理应用程序(仅限内部部署)

您可以创建单个 OAuth 2 客户端,以便在 Workspace ONE Access 中注册单个应用程序。 您也可以创建一个模板以便能够在 Workspace ONE Access 服务中动态注册一组客户端,从而允许访问指定的应用程序。

初始用户身份验证请求遵循 OIDC 规范中定义的身份验证流程。

Workspace ONE Intelligent Hub 访问应用程序时的 OAuth 2.0 工作流

用户单击 Workspace ONE Intelligent Hub 应用程序或 Hub 门户中的应用程序时,身份验证流程如下所示。

  1. 用户在 Hub 目录中选择应用程序。
  2. Workspace ONE Access 服务将用户重定向到目标 URL。
  3. 应用程序通过授权请求将用户重定向到 Workspace ONE Access
  4. Workspace ONE Access 服务根据为应用程序指定的身份验证策略对用户进行身份验证。
  5. Workspace ONE Access 服务检查用户是否有权访问应用程序。
  6. Workspace ONE Access 服务将授权代码发送到重定向 URL
  7. 应用程序使用授权代码请求访问令牌。
  8. Workspace ONE Access 服务将 ID 令牌、访问令牌和刷新令牌发送到应用程序。

管理访问令牌生存期

访问令牌可提供对应用程序的暂时性安全访问。访问令牌具有有限的生存期。在创建客户端凭据时,会为访问令牌配置生存期 (Time to Live, TTL)。配置的时间是访问令牌在应用程序中有效使用的最长时间。

如果用户频繁使用某个应用程序(例如 Workspace ONE Intelligent Hub 应用程序),您可以将客户端凭据配置为不要求这些用户在每次访问令牌过期时都必须进行登录。

可启用“颁发刷新令牌”,以便当访问令牌过期时,应用程序使用刷新令牌请求新的访问令牌。刷新令牌配置有 TTL。在刷新令牌过期之前,可以请求新的访问令牌。刷新令牌过期后,用户必须登录到应用程序。

您可以配置刷新令牌在无法再次使用之前处于空闲状态的时长。如果在刷新令牌空闲 TTL 内未使用刷新令牌,用户必须重新登录到应用程序。

访问令牌生存期的工作原理

客户端凭据中的访问令牌生存期 (TTL) 设置配置如下。

  • 访问令牌 TTL 设置为九个小时
  • 刷新令牌 TTL 设置为三个月
  • 刷新令牌空闲 TTL 设置为七天

如果用户每天都使用应用程序,则根据刷新令牌 TTL 设置,用户在三个月内不需要重新进行登录。但是,如果用户处于空闲状态而未使用应用程序长达七天,则根据刷新令牌空闲 TTL 设置,用户在七天后将需要进行登录。