Puede agregar aplicaciones que utilizan el protocolo de autenticación OpenID Connect al catálogo de Workspace ONE Access y administrarlas como cualquier otra aplicación en el catálogo. Puede aplicar una directiva de acceso a cada aplicación para especificar cómo los usuarios se autentican en función de criterios, como el tipo de intervalo y dispositivo de red. Después de agregar la aplicación, la asigna a los usuarios y grupos.

Para agregar una aplicación de OpenID Connect, especifique la dirección URL de destino de la aplicación, su URL de redireccionamiento, el ID de cliente y el secreto del cliente.

Al agregar una aplicación de OpenID Connect al catálogo, se crea automáticamente un cliente de OAuth 2.0 en Workspace ONE Access para la aplicación. El cliente se crea con la información de la configuración especificada al agregar la aplicación, que incluye la dirección URL de destino, la dirección URL de redireccionamiento, el ID de cliente y el secreto del cliente. Todos los demás parámetros utilizan los valores predeterminados. Estos incluyen:

  • Tipo de concesión: authorization_code, refresh_token

  • Ámbito: admin, openid, usuario
  • Mostrar concesión de usuario: false
  • Tiempo de vida (TTL) de token de acceso: 3 horas
  • Actualizar tiempo de vida de token (TTL): habilitado y establecido en 90 días
  • Tiempo de vida (TTL) inactivo de token de actualización: 4 días

Puede ver el cliente de OAuth 2.0 para la aplicación en la página Configuración > Administración de OAuth 2.0. En la pestaña Clientes busque y haga clic en el identificador de cliente para ver la información de configuración.

Precaución: No elimine al cliente de OAuth 2.0 asociado a la aplicación. De lo contrario, la aplicación ya no estará disponible para los usuarios.

Cuando se elimine la aplicación del catálogo, también se eliminará el cliente de OAuth 2.0.

Flujo de autenticación cuando se accede a aplicaciones de Workspace ONE

Cuando un usuario hace clic en la aplicación en Workspace ONE, el flujo de autenticación es el siguiente:

  1. El usuario hace clic en la aplicación en Workspace ONE.
  2. Workspace ONE Access redirecciona al usuario a la dirección URL de destino.
  3. La aplicación redirecciona al usuario a Workspace ONE Access con una solicitud de autorización.
  4. Workspace ONE Access autentica al usuario en función de la directiva de autenticación que se especificó para la aplicación.
  5. Workspace ONE Access comprueba si el usuario tiene autorización para la aplicación.
  6. Workspace ONE Access envía el código de autorización a la dirección URL de redireccionamiento.
  7. Utilizando el código de autorización, la aplicación solicita el token de acceso.
  8. Workspace ONE Access envía el token de ID, el token de acceso y el token de actualización a la aplicación.

Flujo de autenticación cuando se accede a la aplicación directamente desde el proveedor de servicios

Cuando un usuario accede a la aplicación directamente desde el proveedor de servicios, el flujo de autenticación es el siguiente:

  1. El usuario hace clic en la aplicación.
  2. Se redirecciona al usuario a Workspace ONE Access para que haya autenticación.
  3. Workspace ONE Access autentica al usuario en función de la directiva de autenticación que se especificó para la aplicación.
  4. Workspace ONE Access comprueba si el usuario tiene autorización para la aplicación.
  5. Workspace ONE Access envía un token de ID al proveedor de servicios.