Sie können Anwendungen, die das OpenID Connect-Authentifizierungsprotokoll verwenden, dem Workspace ONE Access-Katalog hinzufügen und sie wie jede andere Anwendung im Katalog verwalten. Sie können eine Zugriffsrichtlinie auf jede Anwendung anwenden, um festzulegen, wie Benutzer basierend auf Kriterien wie z. B. Netzwerkbereich und Gerätetyp authentifiziert werden. Nachdem Sie die Anwendung hinzugefügt haben, weisen Sie sie Benutzern und Gruppen zu.

Um eine OpenID Connect-Anwendung hinzuzufügen, geben Sie die Ziel-URL der Anwendung, die Umleitungs-URL, Client-ID und den geheimen Client-Schlüssel ein.

Wenn Sie eine OpenID Connect-Anwendung zum Katalog hinzufügen, wird automatisch ein OAuth 2.0-Client in Workspace ONE Access für die Anwendung erstellt. Der Client wird mit den Konfigurationsinformationen erstellt, den Sie beim Hinzufügen der Anwendung angegeben haben, dazu gehören die Ziel-URL, die Umleitungs-URL, die Client-ID und der geheime Client-Schlüssel. Alle anderen Parameter verwenden Standardwerte. Dazu gehören:

  • Gewährungstyp: Authorization_code, Refresh_token

  • Geltungsbereich: Admin, OpenID, Benutzer
  • Anzeige Benutzergewährung: False
  • Time-To-Live (TTL) des Zugriffstokens: 3 Stunden
  • Time-To-Live (TTL) des Aktualisierungstokens: Aktiviert und auf 90 Tage festgelegt
  • Time-To-Live (TTL) des Aktualisierungstokens im Leerlauf: 4 Tage

Sie können den OAuth 2.0-Client für die Anwendung auf der Seite Einstellungen > OAuth 2.0-Verwaltung anzeigen. Suchen Sie auf der Registerkarte Clients die Client-ID und klicken Sie darauf, um die Konfigurationsinformationen anzuzeigen.

Vorsicht: Löschen Sie nicht den mit der Anwendung verknüpften OAuth 2.0-Client, da anderenfalls die Anwendung nicht mehr für Benutzer verfügbar ist.

Wenn Sie die Anwendung aus dem Katalog löschen, wird der OAuth 2.0-Client ebenfalls gelöscht.

Authentifizierungsprozess, wenn der Zugriff auf die Anwendung über Workspace ONE erfolgt

Wenn ein Benutzer auf die Anwendung in Workspace ONE klickt, läuft der Authentifizierungsprozess wie folgt ab:

  1. Der Benutzer klickt auf die Anwendung in Workspace ONE.
  2. Workspace ONE Access leitet den Benutzer zur Ziel-URL um.
  3. Die Anwendung leitet den Benutzer mit einer Autorisierungsanforderung zu Workspace ONE Access um.
  4. Workspace ONE Access authentifiziert den Benutzer anhand der Authentifizierungsrichtlinie, die Sie für die Anwendung angegeben haben.
  5. Workspace ONE Access überprüft, ob der Benutzer für die Anwendung berechtigt ist.
  6. Workspace ONE Access sendet den Autorisierungscode an die Weiterleitungs-URL.
  7. Mithilfe des Autorisierungscodes fordert die Anwendung das Zugriffstoken an.
  8. Workspace ONE Access sendet das ID-Token, Zugriffstoken und Aktualisierungstoken an die Anwendung.

Authentifizierungsprozess, wenn der Zugriff auf die Anwendung direkt über den Dienstanbieter erfolgt

Wenn ein Benutzer direkt über den Dienstanbieter auf die Anwendung zugreift, läuft der Authentifizierungsprozess wie folgt ab:

  1. Der Benutzer klickt auf die Anwendung.
  2. Der Benutzer wird zur Authentifizierung zu Workspace ONE Access umgeleitet.
  3. Workspace ONE Access authentifiziert den Benutzer anhand der Authentifizierungsrichtlinie, die Sie für die Anwendung angegeben haben.
  4. Workspace ONE Access überprüft, ob der Benutzer für die Anwendung berechtigt ist.
  5. Workspace ONE Access sendet ein ID-Token an den Dienstanbieter.