Workspace ONE Access utilizza OAuth 2.0 per abilitare le applicazioni affinché si registrino con Workspace ONE Access e creino un accesso delegato sicuro alle applicazioni abilitate nel catalogo di Hub. Il client OAuth è autorizzato tramite un token di accesso.
È possibile creare un singolo client OAuth 2.0 per abilitare la registrazione di una singola applicazione in Workspace ONE Access. È inoltre possibile creare un modello per consentire a un gruppo di client di registrarsi dinamicamente con i servizi Workspace ONE Access per consentire l'accesso alle applicazioni specificate.
La richiesta di autenticazione utente iniziale segue il flusso di autenticazione definito nella specifica OIDC.
Flusso di lavoro di OAuth 2.0 quando si accede all'applicazione da Workspace ONE Intelligent Hub
Quando un utente fa clic sull'applicazione nell'app Workspace ONE Intelligent Hub o nel portale Hub, il flusso di autenticazione corrisponderà al seguente.
- L'utente seleziona l'applicazione nel catalogo di Hub.
- Il servizio Workspace ONE Access reindirizza l'utente all'URL di destinazione.
- L'applicazione reindirizza l'utente a Workspace ONE Access con una richiesta di autorizzazione.
- Il servizio Workspace ONE Access esegue l'autenticazione dell'utente in base al criterio di autenticazione specificato per l'app.
- Il servizio Workspace ONE Access controlla se l'utente è autorizzato per l'applicazione.
- Il servizio Workspace ONE Access invia il codice di autorizzazione all'URL di reindirizzamento.
- Utilizzando il codice di autorizzazione, l'applicazione richiede il token di accesso.
- Il servizio Workspace ONE Access invia il token ID, il token di accesso e il token di aggiornamento all'app.
Gestione del TTL del token di accesso
Il token di accesso fornisce un accesso temporaneo sicuro all'applicazione. Il token di accesso ha una durata limitata. Quando si creano le credenziali del client, il token di accesso viene configurato con una durata, o Time-To-Live (TTL) Il tempo configurato è il tempo massimo per il quale il token di accesso è valido all'interno di un'applicazione.
Se gli utenti utilizzano frequentemente un'applicazione, ad esempio l'app Workspace ONE Intelligent Hub, è possibile configurare le credenziali del client in modo che gli utenti non debbano eseguire l'accesso ogni volta che il token di accesso scade.
Abilitare Genera token di aggiornamento in modo tale che, quando il token di accesso scade, l'applicazione utilizza il token di aggiornamento per richiedere un nuovo token di accesso. Il token di aggiornamento è configurato con una durata (TTL). È possibile richiedere nuovi token di accesso finché il token di aggiornamento non scade. Quando scade il token di aggiornamento, l'utente deve accedere all'applicazione.
È possibile configurare per quanto tempo un token di aggiornamento può restare inattivo prima di non poter più essere utilizzato. Se il token di aggiornamento non viene utilizzato entro il TTL, gli utenti devono accedere di nuovo all'applicazione.
Come funziona il TTL del token di accesso
Le impostazioni del TTL del token di accesso nelle credenziali del client sono configurate come segue.
- Il TTL del token di accesso è impostato su nove ore
- Il TTL del token di aggiornamento è impostato su tre mesi
- Il TTL del token di aggiornamento inattivo è impostato su sette giorni
Se l'utente utilizza l'applicazione ogni giorno, non dovrà accedere nuovamente per tre mesi, in base all'impostazione del TTL del token di aggiornamento. Tuttavia, se l'utente è inattivo e non utilizza l'applicazione per sette giorni, dovrà eseguire accedere nuovamente dopo sette giorni, in base all'impostazione del TTL del token di aggiornamento inattivo.