在设备上安装 Workspace ONE 应用程序后,用户可以使用单点登录功能通过 VMware Identity Manager 访问其获得授权的应用程序。
Workspace ONE 应用程序是一个 OAuth 客户端,它使用 GreenBox-TemplatedId OAuth 模板来管理对该应用程序的访问。此模板已在 VMware Identity Manager 控制台中的“目录”>“设置”>“远程访问”页面中注册。
当用户首次成功登录到 Workspace ONE 应用程序时,OAuth 访问令牌将会应用到该应用程序。此访问令牌配置了生存期 (Time to Live, TTL)。TTL 值为用户可以访问 Workspace ONE 而无需再次登录的最长时间。
配置了刷新令牌,以便访问令牌过期后,Workspace ONE 请求新的访问令牌。这样,用户可以长时间保持登录 Workspace ONE 应用程序而无需再次登录。
Workspace ONE 访问令牌的生存期设置配置如下。
- 访问令牌生存期为 3 小时。
- 刷新令牌生存期为 90 天。
- 闲置令牌生存期为 10 天。
如果用户每天都使用 Workspace ONE 应用程序,则根据刷新令牌 TTL 值,用户在 90 天内不需要重新登录。但是,如果用户处于空闲状态而未使用 Workspace ONE 应用程序的时间达到 10 天,则用户必须重新登录 Workspace ONE。
要登录到 Workspace ONE,并将访问令牌应用到该应用程序,设备类型 Workspace ONE 应用程序应为默认访问策略中的第一个规则,以强制实施 OAuth TTL。对用户进行身份验证后,访问令牌会根据刷新令牌和闲置令牌的值,来管理会话的有效时长。
您可以在访问策略规则中,将会话重新进行身份验证的值配置为与刷新令牌生存期相同的值,即,90 天或 2160 小时。如果将会话重新进行身份验证的值配置为小于刷新令牌生存期,则在达到会话重新进行身份验证的阈值时,系统会提示用户登录 Workspace ONE。
如果 Workspace ONE 应用程序不是第一个规则,OAuth 访问令牌不会应用到 Workspace ONE 应用程序,并且无法单点登录到其他资源。用户每次从其设备访问 Workspace ONE 时,都需要登录到其门户中的应用程序。