Vous pouvez ajouter des applications qui utilisent le protocole d'authentification OpenID Connect à VMware Identity Manager et les gérer comme n'importe quelle autre application dans le catalogue. Vous pouvez appliquer une stratégie d'accès à chaque application pour spécifier la façon dont les utilisateurs sont authentifiés en fonction de critères tels que la plage réseau et le type de périphérique. Après avoir ajouté l'application, vous l'attribuez à des utilisateurs et des groupes.

Pour ajouter une application OpenID Connect, vous spécifiez l'URL cible, l'URL de redirection, l'ID de client et le secret du client de l'application.

Lorsque vous ajoutez une application OpenID Connect au catalogue, un client OAuth 2.0 est automatiquement créé dans VMware Identity Manager pour l'application. Le client est créé avec les informations de configuration que vous spécifiez lors de l'ajout de l'application, ce qui inclut l'URL cible, l'URL de redirection, l'ID de client et le secret du client. Tous les autres paramètres utilisent les valeurs par défaut. Celles-ci incluent :

  • Type d'octroi : authorization_code, refresh_token

  • Portée : admin, openid, user
  • Afficher l'octroi utilisateur : false
  • Durée de vie du jeton d'accès : 3 heures
  • Durée de vie du jeton d'actualisation : activée et définie sur 90 jours
  • Durée d'inactivité du jeton d'actualisation : 4 jours

Vous pouvez afficher le client OAuth 2.0 pour l'application dans l'onglet Clients sur la page Catalogue > Paramètres > Accès à distance à l'application. Cliquez sur le nom du client pour afficher les informations de configuration. Ne modifiez aucun champ dans le client.

Important : Ne supprimez pas le client OAuth 2.0 associé à l'application ou l'application ne sera plus disponible pour les utilisateurs.

Lorsque vous supprimez l'application du catalogue, le client OAuth 2.0 est également supprimé.

Flux d'authentification lorsqu'on accède à l'application depuis Workspace ONE

Lorsqu'un utilisateur clique sur l'application dans Workspace ONE, le flux d'authentification est le suivant :

  1. L'utilisateur clique sur l'application dans Workspace ONE.
  2. VMware Identity Manager redirige l'utilisateur vers l'URL cible.
  3. L'application redirige l'utilisateur vers VMware Identity Manager avec une demande d'autorisation.
  4. VMware Identity Manager authentifie l'utilisateur en fonction de la stratégie d'authentification que vous avez spécifiée pour l'application.
  5. VMware Identity Manager vérifie si l'utilisateur est autorisé à accéder à l'application.
  6. VMware Identity Manager envoie le code d'autorisation à l'URL de redirection.
  7. L'application demande le jeton d'accès à l'aide du code d'autorisation.
  8. VMware Identity Manager envoie l'ID de jeton, le jeton d'accès et le jeton d'actualisation à l'application.

Flux d'authentification lorsqu'on accède à l'application directement depuis le fournisseur de services

Lorsqu'un utilisateur accède à l'application directement depuis le fournisseur de services, le flux d'authentification est le suivant :

  1. L'utilisateur clique sur l'application.
  2. L'utilisateur est redirigé vers VMware Identity Manager pour l'authentification.
  3. VMware Identity Manager authentifie l'utilisateur en fonction de la stratégie d'authentification que vous avez spécifiée pour l'application.
  4. VMware Identity Manager vérifie si l'utilisateur est autorisé à accéder à l'application.
  5. VMware Identity Manager envoie un jeton d'ID au fournisseur de services.