OpenID Connect 認証プロトコルを使用するアプリケーションを VMware Identity Manager に追加し、カタログ内の他のアプリケーションのように管理することができます。各アプリケーションにアクセス ポリシーを適用し、ネットワーク範囲やデバイス タイプなどの基準に基づいてユーザーを認証する方法を指定することができます。アプリケーションを追加した後、ユーザーおよびグループに割り当てます。
OpenID Connect アプリケーションを追加するには、アプリケーションのターゲット URL、リダイレクト URL、クライアント ID、およびクライアント シークレットを指定します。
OpenID Connect アプリケーションをカタログに追加すると、OAuth 2.0 クライアントがアプリケーションの VMware Identity Manager 内で自動的に作成されます。クライアントは、ターゲット URL、リダイレクト URL、クライアント ID、およびクライアント シークレットなど、アプリケーションの追加中に指定する構成情報を使用して作成されます。その他のすべてのパラメータはデフォルト値を使用します。具体的には、次のようになります。
許可タイプ:authorization_code、refresh_token
範囲:admin、openid、user
ユーザー許可の表示:false
アクセス トークンの有効時間 (TTL):3 時間
リフレッシュ トークンの有効時間 (TTL):有効。90 日に設定
リフレッシュ トークンのアイドル有効時間 (TTL):4 日
ページの [クライアント] タブから、アプリケーションの OAuth 2.0 クライアントを表示できます。構成情報を表示するにはクライアント名をクリックします。クライアントのフィールドは編集しないでください。
アプリケーションに関連付けられた OAuth 2.0 クライアントを削除しないでください。削除すると、ユーザーがアプリケーションを使用できなくなります。
カタログからアプリケーションを削除すると、OAuth 2.0 クライアントも削除されます。
Workspace ONE からアプリケーションにアクセスするときの認証フロー
ユーザーが Workspace ONE でアプリケーションをクリックすると、認証フローは次のようになります。
ユーザーが Workspace ONE でアプリケーションをクリックします。
VMware Identity Manager が、ユーザーをターゲット URL にリダイレクトします。
アプリケーションが、認証要求を使用して VMware Identity Manager にユーザーをリダイレクトします。
VMware Identity Manager が、アプリケーションに対して指定した認証ポリシーに基づいてユーザーを認証します。
VMware Identity Manager が、ユーザーにアプリケーションの使用資格があるかどうかを確認します。
VMware Identity Manager が、リダイレクト URL に認証コードを送信します。
認証コードを使用して、アプリケーションが、アクセス トークンを要求します。
VMware Identity Manager が ID トークン、アクセス トークン、およびリフレッシュ トークンをアプリケーションに送信します。
アプリケーションがサービス プロバイダから直接アクセスされるときの認証フロー
ユーザーがサービス プロバイダから直接アプリケーションにアクセスする場合、認証フローは次のようになります。
ユーザーがアプリケーションをクリックします。
ユーザーは、認証のために VMware Identity Manager にリダイレクトされます。
VMware Identity Manager が、アプリケーションに対して指定した認証ポリシーに基づいてユーザーを認証します。
VMware Identity Manager が、ユーザーにアプリケーションの使用資格があるかどうかを確認します。
VMware Identity Manager が ID トークンをサービス プロバイダに送信します。
