Workspace ONE アプリケーションがデバイスにインストールされている場合、ユーザーは VMware Identity Manager を通じてシングル サインオン機能を使用し、使用資格を付与されたアプリケーションにアクセスできます。
Workspace ONE アプリケーションは、GreenBox-TemplatedId OAuth テンプレートを使用してアプリケーションへのアクセスを管理する OAuth クライアントです。このテンプレートは、VMware Identity Manager コンソールの [カタログ] > [設定] > [リモート アクセス] ページに登録されています。
ユーザーが Workspace ONE アプリケーションに初めて正常にログインすると、OAuth アクセス トークンがアプリケーションに適用されます。このアクセス トークンには、生存期間 (TTL) が設定されます。TTL 値は、ユーザーが再度ログインせずに Workspace ONE にアクセスできる最大時間です。
リフレッシュ トークンは、アクセス トークンが期限切れになると Workspace ONE が新しいアクセス トークンを要求するように構成されています。そのため、ユーザーは再度ログインせずに Workspace ONE アプリケーションに長期間ログインすることができます。
Workspace ONE のアクセス トークンの生存期間は次のように設定されます。
- アクセス トークンの生存期間は 3 時間です。
- リフレッシュ トークンの生存期間は 90 日です。
- アイドル トークンの生存期間は 10 日です。
ユーザーが Workspace ONE アプリケーションを毎日使用する場合、ユーザーはリフレッシュ トークン TTL の値に基づき、90 日間は再ログインする必要がありません。ただし、ユーザーがアイドル状態で、Workspace ONE アプリケーションを 10 日間使用しない場合、ユーザーは再度 Workspace ONE にログインする必要があります。
Workspace ONE にログインし、アプリケーションにアクセス トークンを適用するには、デバイス タイプ [Workspace ONE アプリケーション] をデフォルトのアクセス ポリシーの最初のルールにして OAuth TTL を適用する必要があります。ユーザーが認証されると、アクセス トークンはリフレッシュ トークンとアイドル トークンの値に基づいてセッションが有効である期間を管理します。
アクセス ポリシー ルールのセッションの再認証値は、リフレッシュ トークンの生存期間と同じ 90 日または 2160 時間に設定できます。セッションの再認証値をリフレッシュ トークンの生存時間より短くすると、セッションの再認証しきい値に達したときに Workspace ONE にログインするように求められます。
Workspace ONE アプリケーションが最初のルールでない場合、OAuth アクセス トークンは Workspace ONE アプリケーションに適用されず、他のリソースへのシングル サインオンは利用できません。ユーザーは、自分のデバイスから Workspace ONE にアクセスするたびにポータル内のアプリケーションにログインするように求められます。