Sie können Anwendungen, die das OpenID Connect-Authentifizierungsprotokoll verwenden, dem Workspace ONE Access-Katalog hinzufügen und sie wie jede andere Anwendung im Katalog verwalten. Sie können eine Zugriffsrichtlinie auf jede Anwendung anwenden, um festzulegen, wie Benutzer basierend auf Kriterien wie z. B. Netzwerkbereich und Gerätetyp authentifiziert werden. Nachdem Sie die Anwendung hinzugefügt haben, weisen Sie sie Benutzern und Gruppen zu.
Um eine OpenID Connect-Anwendung hinzuzufügen, geben Sie die Ziel-URL der Anwendung, die Umleitungs-URL, Client-ID und den geheimen Client-Schlüssel ein.
-
Gewährungstyp: Authorization_code, Refresh_token
- Geltungsbereich: Admin, OpenID, Benutzer
- Anzeige Benutzergewährung: False
- Time-To-Live (TTL) des Zugriffstokens: 3 Stunden
- Time-To-Live (TTL) des Aktualisierungstokens: Aktiviert und auf 90 Tage festgelegt
- Time-To-Live (TTL) des Aktualisierungstokens im Leerlauf: 4 Tage
Sie können den OAuth 2.0-Client für die Anwendung auf der Seite Clients die Client-ID und klicken Sie darauf, um die Konfigurationsinformationen anzuzeigen.
anzeigen. Suchen Sie auf der RegisterkarteWenn Sie die Anwendung aus dem Katalog löschen, wird der OAuth 2.0-Client ebenfalls gelöscht.
Authentifizierungsprozess, wenn der Zugriff auf die Anwendung über Workspace ONE erfolgt
Wenn ein Benutzer auf die Anwendung in Workspace ONE klickt, läuft der Authentifizierungsprozess wie folgt ab:
- Der Benutzer klickt auf die Anwendung in Workspace ONE.
- Workspace ONE Access leitet den Benutzer zur Ziel-URL um.
- Die Anwendung leitet den Benutzer mit einer Autorisierungsanforderung zu Workspace ONE Access um.
- Workspace ONE Access authentifiziert den Benutzer anhand der Authentifizierungsrichtlinie, die Sie für die Anwendung angegeben haben.
- Workspace ONE Access überprüft, ob der Benutzer für die Anwendung berechtigt ist.
- Workspace ONE Access sendet den Autorisierungscode an die Weiterleitungs-URL.
- Mithilfe des Autorisierungscodes fordert die Anwendung das Zugriffstoken an.
- Workspace ONE Access sendet das ID-Token, Zugriffstoken und Aktualisierungstoken an die Anwendung.
Authentifizierungsprozess, wenn der Zugriff auf die Anwendung direkt über den Dienstanbieter erfolgt
Wenn ein Benutzer direkt über den Dienstanbieter auf die Anwendung zugreift, läuft der Authentifizierungsprozess wie folgt ab:
- Der Benutzer klickt auf die Anwendung.
- Der Benutzer wird zur Authentifizierung zu Workspace ONE Access umgeleitet.
- Workspace ONE Access authentifiziert den Benutzer anhand der Authentifizierungsrichtlinie, die Sie für die Anwendung angegeben haben.
- Workspace ONE Access überprüft, ob der Benutzer für die Anwendung berechtigt ist.
- Workspace ONE Access sendet ein ID-Token an den Dienstanbieter.