对于内部部署,Workspace ONE Access 使用 OAuth 2 来允许在 Workspace ONE Access 中注册应用程序,并创建对 Hub 目录中启用的应用程序的安全委派访问。

您可以创建单个客户端,以便在 Workspace ONE Access 中注册单个应用程序。您也可以创建一个模板以便能够在 Workspace ONE Access 服务中动态注册一组客户端,从而允许访问指定的应用程序。

初始用户身份验证请求遵循 OIDC 规范中定义的身份验证流程。

管理访问令牌生存期

访问令牌可提供对应用程序的暂时性安全访问。访问令牌具有有限的生存期。在创建客户端凭据时,会为访问令牌配置生存期 (Time to Live, TTL)。配置的时间是访问令牌在应用程序中有效使用的最长时间。

如果用户频繁使用某个应用程序(例如 Workspace ONE),您可以将客户端凭据配置为不要求这些用户在每次访问令牌过期时都必须进行登录。

可启用“颁发刷新令牌”,以便当访问令牌过期时,应用程序使用刷新令牌请求新的访问令牌。刷新令牌配置有 TTL。在刷新令牌过期之前,可以请求新的访问令牌。刷新令牌过期后,用户必须登录到应用程序。

您可以配置刷新令牌在无法再次使用之前处于空闲状态的时长。如果在刷新令牌空闲 TTL 内未使用刷新令牌,用户必须重新登录到应用程序。

访问令牌生存期的工作原理

客户端凭据中的访问令牌生存期 (TTL) 设置配置如下。

  • 访问令牌 TTL 设置为九个小时
  • 刷新令牌 TTL 设置为三个月
  • 刷新令牌空闲 TTL 设置为七天

如果用户每天都使用应用程序,则根据刷新令牌 TTL 设置,用户在三个月内不需要重新进行登录。但是,如果用户处于空闲状态而未使用应用程序长达七天,则根据刷新令牌空闲 TTL 设置,用户在七天后将需要进行登录。