Sie können Anwendungen, die das Authentifizierungsprotokoll „OpenID Connect“ mit VMware Identity Manager verwenden, hinzufügen und sie wie jede andere Anwendung im Katalog verwalten. Sie können eine Zugriffsrichtlinie auf jede Anwendung anwenden, um festzulegen, wie Benutzer basierend auf Kriterien wie z. B. Netzwerkbereich und Gerätetyp authentifiziert werden. Nachdem Sie die Anwendung hinzugefügt haben, weisen Sie sie Benutzern und Gruppen zu.

Um eine OpenID Connect-Anwendung hinzuzufügen, geben Sie die Ziel-URL der Anwendung, die Umleitungs-URL, Client-ID und den geheimen Client-Schlüssel ein.

Wenn Sie eine OpenID Connect-Anwendung zum Katalog hinzufügen, wird automatisch ein OAuth 2.0-Client in VMware Identity Manager für die Anwendung erstellt. Der Client wird mit den Konfigurationsinformationen erstellt, den Sie beim Hinzufügen der Anwendung angegeben haben, dazu gehören die Ziel-URL, die Umleitungs-URL, die Client-ID und der geheime Client-Schlüssel. Alle anderen Parameter verwenden Standardwerte. Dazu gehören:

  • Gewährungstyp: Authorization_code, Refresh_token

  • Geltungsbereich: Admin, OpenID, Benutzer

  • Anzeige Benutzergewährung: False

  • Time-To-Live (TTL) des Zugriffstokens: 3 Stunden

  • Time-To-Live (TTL) des Aktualisierungstokens: Aktiviert und auf 90 Tage festgelegt

  • Time-To-Live (TTL) des Aktualisierungstokens im Leerlauf: 4 Tage

Sie können den OAuth 2.0-Client für die Anwendung über die Registerkarte Clients auf der Seite Katalog > Einstellungen > Remotezugriff auf Apps anzeigen. Klicken Sie auf den Client-Namen, um die Konfigurationsinformationen anzuzeigen. Bearbeiten Sie keine Felder im Client.

Wichtig:

Löschen Sie nicht den mit der Anwendung verknüpften OAuth 2.0-Client, da anderenfalls die Anwendung nicht mehr für Benutzer verfügbar ist.

Wenn Sie die Anwendung aus dem Katalog löschen, wird der OAuth 2.0-Client ebenfalls gelöscht.

Authentifizierungsprozess, wenn der Zugriff auf die Anwendung über Workspace ONE erfolgt

Wenn ein Benutzer auf die Anwendung in Workspace ONE klickt, läuft der Authentifizierungsprozess wie folgt ab:

  1. Der Benutzer klickt auf die Anwendung in Workspace ONE.

  2. VMware Identity Manager leitet den Benutzer auf die Ziel-URL um.

  3. Die Anwendung leitet den Benutzer mit einer Autorisierungsanforderung zu VMware Identity Manager um.

  4. VMware Identity Manager authentifiziert den Benutzer anhand der Authentifizierungsrichtlinie, die Sie für die Anwendung angegeben haben.

  5. VMware Identity Manager überprüft, ob der Benutzer für die Anwendung berechtigt ist.

  6. VMware Identity Manager sendet den Autorisierungscode an die Weiterleitungs-URL.

  7. Mithilfe des Autorisierungscodes fordert die Anwendung das Zugriffstoken an.

  8. VMware Identity Manager sendet das ID-Token, Zugriffstoken und Aktualisierungstoken an die Anwendung.

Authentifizierungsprozess, wenn der Zugriff auf die Anwendung direkt über den Dienstanbieter erfolgt

Wenn ein Benutzer direkt über den Dienstanbieter auf die Anwendung zugreift, läuft der Authentifizierungsprozess wie folgt ab:

  1. Der Benutzer klickt auf die Anwendung.

  2. Der Benutzer wird für die Authentifizierung zu VMware Identity Manager umgeleitet.

  3. VMware Identity Manager authentifiziert den Benutzer anhand der Authentifizierungsrichtlinie, die Sie für die Anwendung angegeben haben.

  4. VMware Identity Manager überprüft, ob der Benutzer für die Anwendung berechtigt ist.

  5. VMware Identity Manager sendet ein ID-Token an den Dienstanbieter.