OpenID Connect 認証プロトコルを使用するアプリケーションを Workspace ONE Access に追加し、カタログ内の他のアプリケーションのように管理することができます。各アプリケーションにアクセス ポリシーを適用し、ネットワーク範囲やデバイス タイプなどの基準に基づいてユーザーを認証する方法を指定することができます。アプリケーションを追加した後、ユーザーおよびグループに割り当てます。
OpenID Connect アプリケーションを追加するには、アプリケーションのターゲット URL、リダイレクト URL、クライアント ID、およびクライアント シークレットを指定します。
OpenID Connect アプリケーションをカタログに追加すると、そのアプリケーションの
Workspace ONE Access 内で OAuth 2.0 クライアントが自動的に作成されます。クライアントは、ターゲット URL、リダイレクト URL、クライアント ID、およびクライアント シークレットなど、アプリケーションの追加中に指定する構成情報を使用して作成されます。その他のすべてのパラメータはデフォルト値を使用します。具体的には、次のようになります。
-
許可タイプ:authorization_code、refresh_token
- 範囲:admin、openid、user
- ユーザー許可の表示:false
- アクセス トークンの有効時間 (TTL):3 時間
- リフレッシュ トークンの有効時間 (TTL):有効。90 日に設定
- リフレッシュ トークンのアイドル有効時間 (TTL):4 日
[クライアント] タブから、アプリケーションの OAuth 2.0 クライアントを表示できます。構成情報を表示するにはクライアント名をクリックします。クライアントのフィールドは編集しないでください。
ページの
重要: アプリケーションに関連付けられた OAuth 2.0 クライアントを削除しないでください。削除すると、ユーザーがアプリケーションを使用できなくなります。
カタログからアプリケーションを削除すると、OAuth 2.0 クライアントも削除されます。
Workspace ONE からアプリケーションにアクセスするときの認証フロー
ユーザーが Workspace ONE でアプリケーションをクリックすると、認証フローは次のようになります。
- ユーザーが Workspace ONE でアプリケーションをクリックします。
- Workspace ONE Access は、ユーザーをターゲット URL にリダイレクトします。
- アプリケーションが、認証要求を使用して Workspace ONE Access にユーザーをリダイレクトします。
- Workspace ONE Access が、アプリケーションに対して指定した認証ポリシーに基づいてユーザーを認証します。
- Workspace ONE Access が、ユーザーにアプリケーションの使用資格があるかどうかを確認します。
- Workspace ONE Access が、リダイレクト URL に認証コードを送信します。
- 認証コードを使用して、アプリケーションが、アクセス トークンを要求します。
- Workspace ONE Access が ID トークン、アクセス トークン、およびリフレッシュ トークンをアプリケーションに送信します。
アプリケーションがサービス プロバイダから直接アクセスされるときの認証フロー
ユーザーがサービス プロバイダから直接アプリケーションにアクセスする場合、認証フローは次のようになります。
- ユーザーがアプリケーションをクリックします。
- ユーザーは Workspace ONE Access へリダイレクトされて認証されます。
- Workspace ONE Access が、アプリケーションに対して指定した認証ポリシーに基づいてユーザーを認証します。
- Workspace ONE Access が、ユーザーにアプリケーションの使用資格があるかどうかを確認します。
- Workspace ONE Access が ID トークンをサービス プロバイダに送信します。