オンプレミス展開の場合、Workspace ONE Access は、OAuth 2 を使用してアプリケーションを Workspace ONE Access に登録し、Hub カタログで有効になっているアプリケーションへの安全な委任アクセスを作成します。
単一のクライアントを作成して、単一のアプリケーションを Workspace ONE Access に登録できます。また、指定のアプリケーションにアクセスできるように、クライアント グループを Workspace ONE Access サービスに動的に登録するテンプレートを作成できます。
最初のユーザー認証要求は、OIDC 仕様で定義されている認証フローに従います。
アクセス トークンの生存期間の管理
アクセス トークンは、安全なアクセスを一時的にアプリケーションに提供します。アクセス トークンには、限られた有効期間があります。クライアントの認証情報を作成するときに、アクセス トークンに生存期間 (TTL) が構成されます。設定された時間は、アクセス トークンがアプリケーション内で使用できる最大有効時間です。
ユーザーが Workspace ONE などのアプリケーションを頻繁に使用する場合は、アクセス トークンの期限が切れるたびにログインする必要がないようにクライアントの認証情報を構成できます。
[リフレッシュ トークンを発行] を有効にすると、アクセス トークンの期限が切れたときに、アプリケーションはリフレッシュ トークンを使用して新しいアクセス トークンを要求します。リフレッシュ トークンには TTL が構成されます。リフレッシュ トークンが期限切れになるまで、新しいアクセス トークンを要求できます。リフレッシュ トークンの期限が切れると、ユーザーがアプリケーションにログインする必要があります。
リフレッシュ トークンのアイドル時間を設定して、その時間が経過するとリフレッシュ トークンが使用できないようにすることができます。リフレッシュ トークンが使用されないでリフレッシュ トークンのアイドル TTL が経過すると、ユーザーはアプリケーションに再度ログインする必要があります。
アクセス トークンの生存期間の仕組み
クライアント認証情報でのアクセス トークンの生存期間 (TTL) 設定は次のように構成されます。
- アクセス トークン TTL は 9 時間に設定される
- リフレッシュ トークン TTL は 3 か月に設定される
- リフレッシュ トークンのアイドル TTL は 7 日間に設定される
ユーザーがアプリケーションを毎日使用する場合、ユーザーは [リフレッシュ トークン TTL] の設定に基づき、3 か月間は再ログインする必要がありません。ただし、ユーザーがアイドル状態でアプリケーションを 7 日間使用しなかった場合、ユーザーは [リフレッシュ トークン TTL] の設定に基づいて 7 日後にログインする必要があります。