Workspace ONE Access verwendet OAuth 2.0, um Anwendungen zu ermöglichen, sich bei Workspace ONE Access zu registrieren und einen sicheren delegierten Zugriff auf Anwendungen zu erstellen, die im Hub-Katalog aktiviert sind. Der OAuth-Client ist über ein Zugriffstoken autorisiert.
Sie können einen einzelnen OAuth 2-Client erstellen, damit eine einzelne Anwendung bei Workspace ONE Access registriert werden kann. Sie können auch eine Vorlage erstellen, damit sich eine Gruppe von Clients dynamisch bei den Workspace ONE Access-Diensten registrieren kann, um den Zugriff auf bestimmte Anwendungen zu ermöglichen.
Die anfängliche Authentifizierungsanforderung des Benutzers resultiert aus dem Authentifizierungsverlauf, der in der OIDC-Spezifikation definiert ist.
OAuth 2.0-Workflow beim Zugriff auf die Anwendung von Workspace ONE Intelligent Hub
Wenn ein Benutzer auf die Anwendung in Workspace ONE Intelligent Hub klickt, läuft der Authentifizierungsprozess wie folgt ab:
- Der Benutzer wählt die Anwendung im Hub-Katalog aus.
- Der Workspace ONE Access-Dienst leitet den Benutzer zur Ziel-URL um.
- Die Anwendung leitet den Benutzer mit einer Autorisierungsanforderung zu Workspace ONE Access um.
- Der Workspace ONE Access-Dienst authentifiziert den Benutzer anhand der Authentifizierungsrichtlinie, die Sie für die App angegeben haben.
- Der Workspace ONE Access-Dienst überprüft, ob der Benutzer für die Anwendung berechtigt ist.
- Der Workspace ONE Access-Dienst sendet den Autorisierungscode an die Umleitungs-URL.
- Mithilfe des Autorisierungscodes fordert die Anwendung das Zugriffstoken an.
- Der Workspace ONE Access-Dienst sendet das ID-Token, Zugriffstoken und Aktualisierungstoken an die App.
Verwalten der Time-To-Live (TTL) des Zugriffstokens
Das Zugriffstoken bietet sicheren temporären Zugriff auf die Anwendung. Zugriffstoken haben eine begrenzte Lebensdauer. Wenn Sie die Client-Anmeldeinformationen erstellen, wird das Zugriffstoken mit einer Gültigkeitsdauer (Time-To-Live, TTL) konfiguriert. Die festgelegte Zeit ist die maximale Zeitspanne, die das Zugriffstoken zur Verwendung in einer Anwendung gültig ist.
Wenn Benutzer eine Anwendung, z. B. Workspace ONE Intelligent Hub-App, häufig verwenden, können Sie die Client-Anmeldedaten so konfigurieren, dass diese Benutzer sich nicht jedes Mal anmelden müssen, wenn das Zugriffstoken abgelaufen ist.
Aktivieren Sie die Option „Aktualisierungstoken ausgeben“, damit bei Ablauf des Zugriffstokens die Anwendung das Aktualisierungstoken verwendet, um ein neues Zugriffstoken anzufordern. Das Aktualisierungstoken ist mit einem TTL-Wert konfiguriert. Neue Zugriffstoken können so lange angefordert werden, bis das Aktualisierungstoken abläuft. Bei Ablauf des Aktualisierungstokens muss sich der Benutzer bei der Anwendung anmelden.
Sie können konfigurieren, wie lange ein Aktualisierungstoken im Leerlauf sein kann, bevor es nicht mehr verwendet werden kann. Wenn das Aktualisierungstoken nicht während der Time-To-Live (TTL) des Aktualisierungstokens im Leerlauf verwendet wird, müssen sich Benutzer erneut bei der Anwendung anmelden.
Funktionsweise der Time-To-Live des Zugriffstokens
Die Time-To-Live-Einstellungen (TTL) für das Zugriffstoken in den Client-Anmeldeinformationen sind wie folgt konfiguriert.
- Der TTL-Wert des Zugriffstokens ist auf neun Stunden festgelegt.
- Der TTL-Wert des Aktualisierungstokens ist auf drei Monate festgelegt.
- Der TTL-Wert des Aktualisierungstokens im Leerlauf ist auf sieben Tage festgelegt.
Wenn der Benutzer die Anwendung jeden Tag verwendet, muss sich der Benutzer je nach TTL-Einstellung des Aktualisierungstokens für drei Monate nicht erneut anmelden. Wenn sich der Benutzer im Leerlauf befindet und die Anwendung sieben Tage lang nicht verwendet, müsste sich der Benutzer jedoch je nach TTL-Einstellung des Aktualisierungstoken im Leerlauf erneut anmelden.