Para que una única aplicación pueda registrarse con los servicios de Workspace ONE Access para permitir el acceso de los usuarios a la aplicación, cree un cliente de token de acceso de usuario.

Workspace ONE Access utiliza OAuth 2.0 para permitir que las aplicaciones se registren con Workspace ONE Access y para crear un acceso delegado seguro a las aplicaciones habilitadas en el catálogo de Hub. El cliente de OAuth está autorizado a través de un token de acceso.

Puede crear y actualizar dos tipos de clientes de OAuth 2: el cliente Público y el cliente Confidencial.

Los clientes públicos, como las aplicaciones nativas y de una sola página, se ejecutan en entornos que no pueden mantener la confidencialidad de un secreto de cliente. Cuando el tipo de cliente es Público, puede seleccionar que el tipo de concesión sea Contraseña o Concesión de código de autorización.

Cuando se selecciona Código de autorización para el tipo de cliente Público, se aplica la compatibilidad con PKCE y no se puede eliminar. El protocolo de extensión PKCE ayuda a evitar ataques de interceptación de código de autorización. Las opciones de ámbito para clientes públicos están restringidas solo a ámbitos basados en usuarios. Las opciones de ámbito para clientes públicos no se pueden configurar con ámbitos privilegiados, como Administrador.

Los clientes confidenciales son aplicaciones que pueden autenticarse de forma segura con el servidor de autorización. El ID de cliente y el secreto son seguros. Si se selecciona el tipo Concesión de código de autorización para el tipo de cliente Confidencial, la opción PKCE estará habilitada de forma predeterminada. Puede eliminar la opción PKCE para los clientes confidenciales.

Procedimiento

  1. En la página Configuración > Administración de OAuth 2.0 de la consola de Workspace ONE Access, haga clic en AGREGAR CLIENTE.
  2. En la página Agregar cliente, configure lo siguiente.
    Etiqueta Descripción
    Tipo de acceso Las opciones son crear un token de acceso de usuario o un token de cliente de servicio. Seleccione Token de acceso de usuario.
    Tipo de cliente Público o Confidencial

    Seleccione Público cuando las aplicaciones se ejecuten en entornos que no puedan mantener la confidencialidad de un secreto de cliente.

    Seleccione Confidencial cuando las aplicaciones puedan autenticarse de forma segura con el servidor de autorización. Cuando el tipo de cliente es Confidencial, la página del cliente se actualiza y se muestra el identificador de cliente y el secreto compartido oculto.
    ID del cliente Al seleccionar Confidencial, introduzca un identificador de cliente único para la aplicación. El identificador de cliente se utiliza para autenticarse en Workspace ONE Access. El ID de cliente no debe coincidir con ningún ID de cliente en el tenant. Se pueden usar los siguientes caracteres: alfanuméricos (A-z, a-z, 0-9), punto (.), guion bajo (_), guion (-) y arroba (@). El identificador del cliente no puede superar los 256 caracteres.
    Tipo de concesión

    Seleccione uno o varios de los siguientes tipos de concesión.

    • Concesión de credenciales de cliente se muestra cuando el tipo de cliente es Confidencial.
    • Concesión de contraseña. Puede seleccionar Concesión de contraseña para el tipo de cliente Público o Confidencial.
    • Concesión de código de autorización. Puede seleccionar Concesión de código de autorización para el tipo de cliente Público o Confidencial. Al seleccionar Concesión de código de autorización, la opción URI de redireccionamiento se muestra en Tipo de concesión. Cuando se selecciona Código de autorización, el ajuste Compatibilidad con PKCE está habilitado de forma predeterminada.
    • Concesión de token de actualización está habilitado de forma predeterminada cuando la opción Emitir token de actualización está habilitada.
    URI de redireccionamiento Introduzca el URI de redireccionamiento registrado para la concesión de código de autorización. Introduzca https://redirecturi.com.

    Puede utilizar una lista separada por comas para agregar más de una URL de redireccionamiento.
    Concesión de usuario Habilite Solicitar a los usuarios que acepten el ámbito.
    Ámbito

    El ámbito define a qué parte de la cuenta del usuario puede acceder el token. Entre los ámbitos que puede seleccionar se incluyen Correo electrónico, Perfil, Usuario, NAPPS, OpenID, Grupo y Administrador. Seleccione uno o varios ámbitos de identidad que desee como parte de la solicitud de autorización de OAuth 2.0. Al seleccionar Administrador, se muestra la opción Funciones de administrador.
    Compatibilidad con PKCE

    Cuando el tipo de concesión es Concesión de código de autorización, la casilla de verificación Compatibilidad con PKCE está habilitada. Si el tipo de cliente es Público, no puede desactivar la compatibilidad con PKCE. Si el tipo de cliente es Confidencial, puede seleccionar desactivar la compatibilidad con PKCE.
    Funciones de administrador

    Para los tipos de cliente Confidencial, puede seleccionar el ajuste Administrador en Ámbito y, en el menú desplegable, seleccionar las funciones de administrador concedidas al administrador.
    Emitir token de actualización

    Deje esta opción habilitada para permitir la devolución de un token de actualización.
    TTL de token de actualización Establezca el valor de duración del token de actualización. Se pueden solicitar nuevos tokens de acceso hasta que caduque el token de actualización. Consulte Administrar clientes de OAuth 2.0 en Workspace ONE Access.
    TTL de token de acceso El token de acceso caduca en la cantidad de segundos especificada en TTL de token de acceso. Si Emitir token de actualización está habilitado, cuando el token de acceso caduca, la aplicación utiliza el token de actualización para solicitar un nuevo token de acceso.
    TTL de token inactivo Configure el tiempo que un token de actualización puede estar inactivo antes de no se pueda utilizar de nuevo.
    Tipo de token En Workspace ONE Access, el tipo de token es Portador.
    Concesión de usuario Solicitar a los usuarios que acepten el ámbito está habilitado. Aparece un mensaje donde se enumeran los ámbitos que se envían.
  3. Haga clic en GUARDAR.
    Cuando el tipo de cliente es Confidencial, la página del cliente se actualiza y se muestra el identificador de cliente y el secreto compartido oculto.
  4. Copie y guarde el identificador de cliente y el secreto compartido generado. Agregue esta información cuando configure la aplicación.

    El secreto del cliente debe ser confidencial. Si una aplicación implementada no puede mantener el secreto, configúrela con el tipo de cliente Público.

    Nota: El secreto compartido no se guarda. Si pierde el código secreto, debe generar uno nuevo y actualizar la aplicación que use el mismo secreto compartido con ese nuevo secreto generado.

    Para volver a generar un secreto, haga clic en el identificador de cliente que requiera un nuevo secreto en la página Administración de OAuth 2.0 y haga clic en VOLVER A GENERAR SECRETO.

Qué hacer a continuación

En la aplicación de recursos, configure el identificador de cliente y el secreto compartido generado. Consulte la documentación de la aplicación.