アクセスポリシーへの Workspace ONE アプリケーションルールの適用

Workspace ONE アプリケーションがデバイスにインストールされている場合、ユーザーは Workspace ONE Access を通じてシングルサインオン機能を使用し、使用資格を付与されたアプリケーションにアクセスできます。

Workspace ONE アプリケーションは、GreenBox-TemplatedId OAuth テンプレートを使用してアプリケーションへのアクセスを管理する OAuth クライアントです。このテンプレートは、Workspace ONE Access コンソールの [カタログ] > [設定] > [リモートアクセス] ページに登録されています。

ユーザーが Workspace ONE アプリケーションに初めて正常にログインすると、OAuth アクセストークンがアプリケーションに適用されます。このアクセストークンには、生存期間 (TTL) が構成されます。TTL 値は、ユーザーが再度ログインせずに Workspace ONE にアクセスできる最大時間です。

リフレッシュトークンは、アクセストークンが期限切れになると Workspace ONE が新しいアクセストークンを要求するように構成されています。そのため、ユーザーは再度ログインせずに Workspace ONE アプリケーションに長期間ログインすることができます。

Workspace ONE のアクセストークンの生存期間は次のように設定されます。

アクセストークンの生存期間は 3 時間です。
リフレッシュトークンの生存期間は 90 日です。
アイドルトークンの生存期間は 10 日です。

ユーザーが Workspace ONE アプリケーションを毎日使用する場合、ユーザーはリフレッシュトークン TTL の値に基づき、90 日間は再ログインする必要がありません。ただし、ユーザーがアイドル状態で、Workspace ONE アプリケーションを 10 日間使用しない場合、ユーザーは再度 Workspace ONE にログインする必要があります。

Workspace ONE にログインし、アプリケーションにアクセストークンを適用するには、デバイスタイプ [Workspace ONE アプリケーション] をデフォルトのアクセスポリシーの最初のルールにして OAuth TTL を適用する必要があります。ユーザーが認証されると、アクセストークンはリフレッシュトークンとアイドルトークンの値に基づいてセッションが有効である期間を管理します。

アクセスポリシールールのセッションの再認証値は、リフレッシュトークンの生存期間と同じ 90 日または 2160 時間に設定できます。セッションの再認証値をリフレッシュトークンの生存時間より短くすると、セッションの再認証しきい値に達したときに Workspace ONE にログインするように求められます。

Workspace ONE アプリケーションが最初のルールでない場合、OAuth アクセストークンは Workspace ONE アプリケーションに適用されず、他のリソースへのシングルサインオンは利用できません。ユーザーは、自分のデバイスから Workspace ONE にアクセスするたびにポータル内のアプリケーションにログインするように求められます。