Workspace ONE Access は、OAuth 2.0 を使用してアプリケーションを Workspace ONE Access に登録し、Hub カタログで有効になっているアプリケーションへの安全な委任アクセスを作成します。OAuth クライアントは、アクセス トークンを介して認証されます。
単一の OAuth 2 クライアントを作成して、単一のアプリケーションを Workspace ONE Access に登録できます。また、指定のアプリケーションにアクセスできるように、クライアントのグループを Workspace ONE Access サービスに動的に登録するテンプレートを作成できます。
最初のユーザー認証要求は、OIDC 仕様で定義されている認証フローに従います。
OAuth 2.0 ワークフロー(アプリケーションが Workspace ONE Intelligent Hub からアクセスされる場合)
ユーザーが Workspace ONE Intelligent Hub アプリケーションまたは Hub ポータルでアプリケーションをクリックすると、認証フローは次のようになります。
- ユーザーが Hub カタログでアプリケーションを選択します。
- Workspace ONE Access サービスは、ユーザーをターゲット URL にリダイレクトします。
- アプリケーションが、認証要求を使用して Workspace ONE Access にユーザーをリダイレクトします。
- Workspace ONE Access サービスが、アプリケーションに対して指定した認証ポリシーに基づいてユーザーを認証します。
- Workspace ONE Access サービスが、ユーザーにアプリケーションの使用資格があるかどうかを確認します。
- Workspace ONE Access サービスが、リダイレクト用 URL に権限コードを送信します。
- 認証コードを使用して、アプリケーションが、アクセス トークンを要求します。
- Workspace ONE Access サービスが ID トークン、アクセス トークン、およびリフレッシュ トークンをアプリケーションに送信します。
アクセス トークンの生存期間の管理
アクセス トークンは、安全なアクセスを一時的にアプリケーションに提供します。アクセス トークンには、限られた有効期間があります。クライアントの認証情報を作成するときに、アクセス トークンに生存期間 (TTL) が構成されます。設定された時間は、アクセス トークンがアプリケーション内で使用できる最大有効時間です。
ユーザーが Workspace ONE Intelligent Hub などのアプリケーションを頻繁に使用する場合は、アクセス トークンの期限が切れるたびにログインする必要がないようにクライアントの資格情報を構成できます。
[リフレッシュ トークンを発行] を有効にすると、アクセス トークンの期限が切れたときに、アプリケーションはリフレッシュ トークンを使用して新しいアクセス トークンを要求します。リフレッシュ トークンには TTL が構成されます。リフレッシュ トークンが期限切れになるまで、新しいアクセス トークンを要求できます。リフレッシュ トークンの期限が切れると、ユーザーがアプリケーションにログインする必要があります。
リフレッシュ トークンのアイドル時間を設定して、その時間が経過するとリフレッシュ トークンが使用できないようにすることができます。リフレッシュ トークンが使用されないでリフレッシュ トークンのアイドル TTL が経過すると、ユーザーはアプリケーションに再度ログインする必要があります。
アクセス トークンの生存期間の仕組み
クライアント認証情報でのアクセス トークンの生存期間 (TTL) 設定は次のように構成されます。
- アクセス トークン TTL は 9 時間に設定される
- リフレッシュ トークン TTL は 3 か月に設定される
- リフレッシュ トークンのアイドル TTL は 7 日間に設定される
ユーザーがアプリケーションを毎日使用する場合、ユーザーは [リフレッシュ トークン TTL] の設定に基づき、3 か月間は再ログインする必要がありません。ただし、ユーザーがアイドル状態でアプリケーションを 7 日間使用しなかった場合、ユーザーは [リフレッシュ トークン TTL] の設定に基づいて 7 日後にログインする必要があります。
