Workspace ONE Access utiliza OAuth 2.0 para permitir que las aplicaciones se registren con Workspace ONE Access y crear un acceso delegado seguro a las aplicaciones habilitadas en el catálogo de Hub. El cliente de OAuth está autorizado a través de un token de acceso.
Puede crear un único cliente OAuth 2 para permitir que una sola aplicación se registre en Workspace ONE Access. También puede crear una plantilla para permitir que un grupo de clientes se registre dinámicamente en los servicios de Workspace ONE Access a fin de permitir el acceso a aplicaciones concretas.
La solicitud de autenticación de usuario inicial sigue el flujo de autenticación definido en la especificación OIDC.
Flujo de trabajo de OAuth 2.0 cuando se accede a la aplicación desde Workspace ONE Intelligent Hub
Cuando un usuario selecciona la aplicación en la aplicación Workspace ONE Intelligent Hub o en el portal de Hub, el flujo de autenticación es el siguiente.
- El usuario selecciona la aplicación en el catálogo de Hub.
- El servicio de Workspace ONE Access redirecciona al usuario a la dirección URL de destino.
- La aplicación redirecciona al usuario a Workspace ONE Access con una solicitud de autorización.
- El servicio de Workspace ONE Access autentica al usuario en función de la directiva de autenticación que se especificó para la aplicación.
- El servicio de Workspace ONE Access comprueba si el usuario tiene autorización en la aplicación.
- El servicio de Workspace ONE Access envía el código de autorización a la dirección URL de redireccionamiento.
- Utilizando el código de autorización, la aplicación solicita el token de acceso.
- El servicio de Workspace ONE Access envía el token de ID, el token de acceso y el token de actualización a la aplicación.
Administrar la duración del token de acceso
El token de acceso ofrece acceso seguro temporal a la aplicación. Los tokens de acceso tienen una duración limitada. Al crear las credenciales del cliente, el token de acceso se configura con una duración (TTL). El tiempo configurado es el tiempo máximo que el token de acceso es válido para su uso en una aplicación.
Si los usuarios utilizan con frecuencia una aplicación, como Workspace ONE Intelligent Hub, puede configurar las credenciales del cliente para que los usuarios no deban iniciar sesión cada vez que el token de acceso caduque.
Habilite Emitir token de actualización de modo que, cuando caduque el token de acceso, la aplicación utilice el token de actualización para solicitar un nuevo token de acceso. El token de actualización se configura con una duración. Se pueden solicitar nuevos tokens de acceso hasta que caduque el token de actualización. Cuando caduca el token de actualización, el usuario debe iniciar sesión en la aplicación.
Puede configure el tiempo que un token de actualización puede estar inactivo antes de que no se pueda utilizar de nuevo. Si no se usa el token de actualización antes de la duración de inactividad del token de actualización, los usuarios deberán iniciar sesión en la aplicación de nuevo.
Funcionamiento de la duración del token de acceso
La configuración de la duración del token de acceso en las credenciales del cliente se configura de la siguiente manera.
- La duración del token de acceso se establece como nueve horas
- La duración del token de actualización se establece como tres meses
- La duración de inactividad del token de actualización se establece como siete días
Si el usuario utiliza la aplicación todos los días, no deberá iniciar sesión de nuevo durante tres meses, según la configuración de la duración del token de actualización. Sin embargo, si el usuario está inactivo y no utiliza la aplicación en siete días, deberá iniciar sesión después de siete días, según la configuración de la duración de inactividad del token de actualización.