Vous pouvez ajouter des applications qui utilisent le protocole d'authentification OpenID Connect au catalogue Workspace ONE Access et les gérer comme n'importe quelle autre application dans le catalogue. Vous pouvez appliquer une stratégie d'accès à chaque application pour spécifier la façon dont les utilisateurs sont authentifiés en fonction de critères tels que la plage réseau et le type de périphérique. Après avoir ajouté l'application, vous l'attribuez à des utilisateurs et des groupes.

Pour ajouter une application OpenID Connect, vous spécifiez l'URL cible, l'URL de redirection, l'ID de client et le secret du client de l'application.

Lorsque vous ajoutez une application OpenID Connect au catalogue, un client OAuth 2.0 est automatiquement créé dans Workspace ONE Access pour l'application. Le client est créé avec les informations de configuration que vous spécifiez lors de l'ajout de l'application, ce qui inclut l'URL cible, l'URL de redirection, l'ID de client et le secret du client. Tous les autres paramètres utilisent les valeurs par défaut. Celles-ci incluent :

  • Type d'octroi : authorization_code, refresh_token

  • Portée : admin, openid, user
  • Afficher l'octroi utilisateur : false
  • Durée de vie du jeton d'accès : 3 heures
  • Durée de vie du jeton d'actualisation : activée et définie sur 90 jours
  • Durée d'inactivité du jeton d'actualisation : 4 jours

Vous pouvez afficher le client OAuth 2.0 de l'application sur la page Paramètres > Gestion d'Oauth 2.0. Dans l'onglet Clients, recherchez l'ID client et cliquez dessus pour afficher les informations sur la configuration.

Attention : Ne supprimez pas le client OAuth 2.0 associé à l'application ou l'application ne sera plus disponible pour les utilisateurs.

Lorsque vous supprimez l'application du catalogue, le client OAuth 2.0 est également supprimé.

Flux d'authentification lorsqu'on accède à l'application depuis Workspace ONE

Lorsqu'un utilisateur clique sur l'application dans Workspace ONE, le flux d'authentification est le suivant :

  1. L'utilisateur clique sur l'application dans Workspace ONE.
  2. Workspace ONE Access redirige l'utilisateur vers l'URL cible.
  3. L'application redirige l'utilisateur vers Workspace ONE Access avec une demande d'autorisation.
  4. Workspace ONE Access authentifie l'utilisateur en fonction de la stratégie d'authentification que vous avez spécifiée pour l'application.
  5. Workspace ONE Access vérifie si l'utilisateur est autorisé à accéder à l'application.
  6. Workspace ONE Access envoie le code d'autorisation à l'URL de redirection.
  7. L'application demande le jeton d'accès à l'aide du code d'autorisation.
  8. Workspace ONE Access envoie l'ID de jeton, le jeton d'accès et le jeton d'actualisation à l'application.

Flux d'authentification lorsqu'on accède à l'application directement depuis le fournisseur de services

Lorsqu'un utilisateur accède à l'application directement depuis le fournisseur de services, le flux d'authentification est le suivant :

  1. L'utilisateur clique sur l'application.
  2. L'utilisateur est redirigé vers Workspace ONE Access pour l'authentification.
  3. Workspace ONE Access authentifie l'utilisateur en fonction de la stratégie d'authentification que vous avez spécifiée pour l'application.
  4. Workspace ONE Access vérifie si l'utilisateur est autorisé à accéder à l'application.
  5. Workspace ONE Access envoie un jeton d'ID au fournisseur de services.