È possibile aggiungere al catalogo di Workspace ONE Access applicazioni che utilizzano il protocollo di autenticazione OpenID Connect e gestirle come qualsiasi altra applicazione del catalogo. È possibile applicare un criterio di accesso per ogni applicazione per specificare la modalità con cui gli utenti vengono autenticati in base ai criteri, come ad esempio l'intervallo di rete e il tipo di dispositivo. Dopo aver aggiunto l'applicazione, questa viene assegnata a utenti e gruppi.

Per aggiungere un'applicazione OpenID Connect, specificare URL di destinazione, URL di reindirizzamento, ID client e segreto client dell'applicazione.

Quando si aggiunge un'applicazione OpenID Connect al catalogo, in Workspace ONE Access viene creato automaticamente un client OAuth 2.0 per l'applicazione. Il client viene creato con le informazioni di configurazione specificate all'aggiunta dell'applicazione, che includono URL di destinazione, URL di reindirizzamento, ID client e segreto client. Tutti gli altri parametri utilizzano i valori predefiniti. Questi includono:
  • Tipo di concessione: authorization_code, refresh_token

  • Ambito: admin, openid, user
  • Visualizzazione concessione utente: false
  • TTL (time-to-live) token di accesso: 3 ore
  • TTL (time-to-live) token di aggiornamento: abilitato e impostato su 90 giorni
  • TTL inattivo token di aggiornamento: 4 giorni

È possibile visualizzare il client OAuth 2.0 per l'applicazione dalla scheda Client nella pagina Catalogo > Impostazioni > Accesso remoto app. Fare clic sul nome del client per visualizzare le informazioni di configurazione. Non modificare alcun campo nel client.

Importante: Non eliminare il client OAuth 2.0 associato all'applicazione, altrimenti l'applicazione non sarà più disponibile agli utenti.

Quando si elimina l'applicazione dal catalogo, viene eliminato anche il client OAuth 2.0.

Flusso di autenticazione quando si accede all'applicazione da Workspace ONE

Quando un utente fa clic sull'applicazione in Workspace ONE, il flusso di autenticazione è il seguente:

  1. L'utente fa clic sull'applicazione in Workspace ONE.
  2. Workspace ONE Access reindirizza l'utente all'URL di destinazione.
  3. L'applicazione reindirizza l'utente a Workspace ONE Access con una richiesta di autorizzazione.
  4. Workspace ONE Access esegue l'autenticazione dell'utente in base al criterio di autenticazione specificato per l'applicazione.
  5. Workspace ONE Access controlla se l'utente è autorizzato per l'applicazione.
  6. Workspace ONE Access invia il codice di autorizzazione all'URL di reindirizzamento.
  7. Utilizzando il codice di autorizzazione, l'applicazione richiede il token di accesso.
  8. Workspace ONE Access invia il token ID, il token di accesso e il token di aggiornamento all'applicazione.

Flusso di autenticazione quando si accede all'applicazione direttamente dal provider di servizi

Quando un utente accede all'applicazione direttamente dal provider di servizi, il flusso di autenticazione è il seguente:

  1. L'utente fa clic sull'applicazione.
  2. L'utente viene reindirizzato a Workspace ONE Access per l'autenticazione.
  3. Workspace ONE Access esegue l'autenticazione dell'utente in base al criterio di autenticazione specificato per l'applicazione.
  4. Workspace ONE Access controlla se l'utente è autorizzato per l'applicazione.
  5. Workspace ONE Access invia un token ID al provider di servizi.