Workspace ONE Access utilise OAuth 2.0 pour permettre aux applications de s'enregistrer dans Workspace ONE Access et de créer un accès délégué sécurisé aux applications activées dans le catalogue du Hub. Le client OAuth est autorisé via un jeton d'accès.
Vous pouvez créer un client OAuth 2 unique pour permettre à une seule application de s'enregistrer dans Workspace ONE Access. Vous pouvez également créer un modèle pour permettre à un groupe de clients de s'enregistrer dynamiquement dans les services Workspace ONE Access afin d'autoriser l'accès à des applications spécifiées.
La demande d'authentification utilisateur initiale suit le flux d'authentification défini dans la spécification OIDC.
Workflow OAuth 2.0 lors de l'accès à l'application depuis Workspace ONE Intelligent Hub
Lorsqu'un utilisateur clique sur l'application dans le portail de l'application Workspace ONE Intelligent Hub ou du Hub, le flux d'authentification est le suivant.
- L'utilisateur sélectionne l'application dans le catalogue du Hub.
- Le service Workspace ONE Access redirige l'utilisateur vers l'URL cible.
- L'application redirige l'utilisateur vers Workspace ONE Access avec une demande d'autorisation.
- Le service Workspace ONE Access authentifie l'utilisateur en fonction de la stratégie d'authentification que vous avez spécifiée pour l'application.
- Le service Workspace ONE Access vérifie si l'utilisateur est autorisé à accéder à l'application.
- Le service Workspace ONE Access envoie le code d'autorisation à l'URL de redirection
- L'application demande le jeton d'accès à l'aide du code d'autorisation.
- Le service Workspace ONE Access envoie le jeton d'ID, le jeton d'accès et le jeton d'actualisation à l'application.
Gestion de la durée de vie du jeton d'accès
Le jeton d'accès offre un accès sécurisé temporaire à l'application. Les jetons d'accès ont une durée de vie limitée. Lorsque vous créez les informations d'identification du client, le jeton d'accès est configuré avec une durée de vie. La durée configurée est la durée maximale pendant laquelle le jeton d'accès est valide pour l'utilisation dans une application.
Si les utilisateurs utilisent fréquemment une application, telle que l'application Workspace ONE Intelligent Hub, vous pouvez configurer les informations d'identification client pour ne pas exiger que ces utilisateurs se connectent chaque fois que le jeton d'accès expire.
Activez Émettre un jeton actualisé pour que, lors de l'expiration du jeton d'accès, l'application utilise le jeton d'actualisation pour demander un nouveau jeton d'accès. Le jeton d'actualisation est configuré avec une durée de vie. Les nouveaux jetons d'accès peuvent être demandés jusqu'à l'expiration du jeton d'actualisation. Lorsque le jeton d'actualisation expire, l'utilisateur doit se connecter à l'application.
Vous pouvez configurer la durée pendant laquelle un jeton d'actualisation peut être inactif avant qu'il ne puisse plus être réutilisé. Si le jeton d'actualisation n'est pas utilisé par la durée de vie d'inactivité du jeton d'actualisation, les utilisateurs doivent se reconnecter à l'application.
Fonctionnement de la durée de vie du jeton d'accès
Les paramètres de la durée de vie du jeton d'accès dans les informations d'identification du client sont configurés comme suit.
- Durée de vie du jeton d'accès est définie sur 9 heures
- Durée de vie du jeton d'actualisation est définie sur trois mois
- Durée de vie d'inactivité du jeton d'actualisation est définie sur sept jours
Si l'utilisateur utilise l'application tous les jours, il n'a pas besoin de se reconnecter pendant trois mois, selon le paramètre Durée de vie du jeton d'actualisation. Toutefois, si l'utilisateur est inactif et n'utilise pas l'application pendant sept jours, il devra se connecter après sept jours, selon le paramètre Durée de vie d'inactivité du jeton d'actualisation.