Damit sich eine einzelne Anwendung bei den Workspace ONE Access-Diensten registrieren kann und so dem Benutzer den Zugriff auf die Anwendung ermöglicht, erstellen Sie einen Benutzerzugriffstoken-Client.
Durch die Registrierung der Details der Anwendung wird die Anwendung als ein vertrauenswürdiger Client für den OAuth-Dienst identifiziert.
Sie registrieren die Client-ID, den geheimen Client-Schlüssel und einen Umleitungs-URI mit dem Workspace ONE Access-Dienst.
Prozedur
- Klicken Sie in der Workspace ONE Access-Konsole auf der Seite Einstellungen > OAuth 2.0-Verwaltung auf CLIENT HINZUFÜGEN.
- Nehmen Sie auf der Seite Client hinzufügen die folgenden Einstellungen vor.
Bezeichnung Beschreibung Zugriffstyp Sie können entweder ein Benutzerzugriffstoken oder ein Service-Client-Token erstellen. Legen Sie diesen Wert auf Benutzerzugriffstoken fest. Client-ID Geben Sie einen eindeutigen Clientbezeichner für die Anwendung ein. Die Client-ID wird zur Authentifizierung bei Workspace ONE Access verwendet. Die Client-ID darf nicht mit einer anderen Client-ID in Ihrem Mandanten übereinstimmen. Die folgenden Zeichen können verwendet werden: alphanumerische Zeichen (A-Z, a-z, 0-9) Punkt (.), Unterstrich (_), Bindestrich (-) und at-Zeichen (@), und nicht mehr als 256 Zeichen lang. Gewährungstyp Wählen Sie einen oder mehrere der folgenden Gewährungstypen aus. - Gewährung von Clientanmeldedaten
- Kennwortgewährung
- Autorisierungscode-Gewährung. Wenn Sie Autorisierungscode-Gewährung wählen, wird die Einstellung „Umleitungs-URI“ unter „Gewährungstyp“ angezeigt.
- Gewährung von Aktualisierungstoken ist standardmäßig aktiviert, wenn die Einstellung Aktualisierungstoken ausstellen aktiviert ist. Wenn Sie Aktualisierungstoken ausstellen deaktivieren, wird der Typ Gewährung von Aktualisierungstoken nicht markiert.
Umleitungs-URI Geben Sie den registrierten Umleitungs-URI für die Gewährung des Autorisierungscodes ein. Geben Sie https://redirecturi.com an. Sie können eine durch Kommas getrennte Liste verwenden, um mehrere Umleitungs-URLs hinzuzufügen.
Geltungsbereich Der Geltungsbereich definiert, auf welchen Teil des Benutzerkontos das Token zugreifen kann. Zu den Geltungsbereichen, die Sie auswählen können, gehören E-Mail, Profil, Benutzer, NAPPS, OpenID, Gruppe und Admin. Wählen Sie einen oder mehrere Identitätsbereiche aus, die Sie als Teil der OAuth 2.0-Autorisierungsanforderung verwenden möchten. Wenn Sie Admin auswählen, wird die Einstellung Admin-Rollen angezeigt. Admin-Rollen Wenn Sie unter „Geltungsbereich“ die Einstellung Admin auswählen, wählen Sie im Dropdown-Menü die Admin-Rollen aus, die dem Admin gewährt werden. Aktualisierungstoken ausgeben Um die Rückgabe eines Aktualisierungstokens zu ermöglichen, lassen Sie diese Option aktiviert.
TTL des Aktualisierungstokens Legen Sie den Time-to-Live-Wert für das Aktualisierungstoken fest. Neue Zugriffstoken können so lange angefordert werden, bis das Aktualisierungstoken abläuft. Siehe Verwalten von OAuth 2.0-Clients in Workspace ONE Access. TTL des Zugriffstokens Das Zugriffstoken läuft ab in der Anzahl der Sekunden, die unter TTL des Zugriffstokensfestgelegt ist. Wenn die Option „Aktualisierungstoken ausgeben“ aktiviert ist, verwendet die Anwendung bei Ablauf des Zugriffstokens das Aktualisierungstoken zum Anfordern eines neuen Zugriffstokens. TTL des Tokens im Leerlauf Konfigurieren Sie, wie lange ein Aktualisierungstoken im Leerlauf sein kann, bevor es nicht mehr verwendet werden kann. Tokentyp Für Workspace ONE Access lautet der Tokentyp Inhaber-Token. Benutzergewährung Benutzer zur Annahme des Geltungsbereichs auffordern ist aktiviert. Den Benutzern wird eine Meldung angezeigt, in der die gesendeten Geltungsbereiche aufgeführt sind. - Klicken Sie auf SPEICHERN.
Die Clientseite wird aktualisiert und die Client-ID und der verborgene gemeinsame geheime Schlüssel werden angezeigt.
- Kopieren und speichern Sie die Client-ID und den generierten gemeinsamen geheimen Schlüssel. Sie fügen diese Informationen beim Konfigurieren der Anwendung hinzu.
Der geheime Schlüssel des Clients muss vertraulich behandelt werden. Wenn eine bereitgestellte Anwendung den geheimen Schlüssel nicht vertraulich behandeln kann, wird er nicht verwendet. Der gemeinsame geheime Schlüssel wird nicht mit Anwendungen auf Webbrowserbasis verwendet.
Hinweis: Der gemeinsame geheime Schlüssel wird nicht gespeichert. Wenn Sie den geheimen Code verlieren, müssen Sie einen neuen geheimen Schlüssel generieren und die App aktualisieren, die denselben gemeinsamen geheimen Schlüssel mit dem neu generierten geheimen Schlüssel verwendet.Um einen geheimen Schlüssel neu zu generieren, klicken Sie auf der Seite „OAuth 2.0-Verwaltung“ auf die Client-ID, für die ein neuer geheimer Schlüssel erforderlich ist, und dann auf GEHEIMEN SCHLÜSSEL NEU GENERIEREN.
Nächste Maßnahme
Konfigurieren Sie in der Ressourcenanwendung die Client-ID und den generierten gemeinsamen geheimen Schlüssel. Weitere Informationen hierzu finden Sie in der Anwendungsdokumentation.