Anwenden von Workspace ONE-App-Regeln auf Zugriffsrichtlinien

Wenn die Workspace ONE-App auf Geräten installiert ist, können Benutzer über VMware Identity Manager auf die Single Sign-On-Funktionalität auf ihre berechtigten Apps zugreifen.

Die Workspace ONE App-ist ein OAuth-Client, der die GreenBox-TemplatedId OAuth-Vorlage verwendet, um den Zugriff auf die App zu verwalten. Diese Vorlage ist auf der Seite „Katalog“ > „Einstellungen“ > „Remotezugriff“ in der VMware Identity Manager-Konsole registriert.

Wenn Benutzer sich das erste Mal erfolgreich bei der Workspace ONE-App anmelden, wird ein OAuth-Zugriffstoken auf die App angewendet. Dieses Zugriffstoken ist mit Time-To-Live (TTL) konfiguriert. Der TTL-Wert ist die maximale Zeit, auf die Benutzer auf Workspace ONE zugreifen können, ohne sich erneut anzumelden.

Ein Aktualisierungstoken ist so konfiguriert, dass Workspace ONE nach Ablauf des Zugriffstokens ein neues Zugriffstoken anfordert. Auf diese Weise können Benutzer für einen längeren Zeitraum in der Workspace ONE-App angemeldet bleiben, ohne sich erneut anmelden zu müssen.

Die Workspace ONE-Zugriffstoken-Zeit für Live-Einstellungen ist wie folgt konfiguriert.

Die Zugriffszeit auf das Token beträgt 3 Stunden.
Die Aktualisierungszeit für das Token beträgt 90 Tage.
Die Leerlaufzeit für das Token beträgt 10 Tage.

Wenn der Benutzer die Workspace ONE-App täglich benutzt, muss er sich 90 Tage lang nicht erneut anmelden, basierend auf dem TTL-Wert des Aktualisierungstokens. Wenn der Benutzer jedoch im Leerlauf ist und die Anwendung Workspace ONE 10 Tage lang nicht benutzt, muss er sich erneut bei Workspace ONE anmelden.

Um sich bei Workspace ONE anzumelden und die Anwendung des Zugriffstoken auf die App einzustellen, muss der Gerätetyp Workspace ONE-App die erste Regel in der Standardzugriffsrichtlinie sein, um die OAuth-TTL durchzusetzen. Nachdem die Benutzer authentifiziert wurden, verwaltet das Zugriffstoken die Gültigkeitsdauer der Sitzung auf der Grundlage von Werten für Aktualisierungs- und Leerlaufzeittoken.

Sie können den Wert für die Sitzungsneuauthentifizierung in der Zugriffsrichtlinie so konfigurieren, dass er mit dem Wert für die Aktualisierungszeit von 90 Tagen oder 2160 Stunden übereinstimmt. Wenn Sie den Wert für die Sitzungsneuauthentifizierung kleiner als die Aktualisierungszeit des Tokens machen, werden Benutzer aufgefordert, sich in Workspace ONE anzumelden, wenn der Schwellenwert für die Sitzungsneuauthentifizierung erreicht ist.

Wenn die Workspace ONE-App nicht die erste Regel ist, wird kein OAuth-Zugriffstoken auf die Workspace ONE-App angewendet und Single Sign-On auf andere Ressourcen ist nicht verfügbar. Benutzer müssen sich bei jedem Zugriff auf Workspace ONE von ihrem Gerät aus bei den Apps in ihrem Portal anmelden.