OpenID Connect 認証プロトコルを使用するアプリケーションを Workspace ONE Access カタログに追加し、カタログ内の他のアプリケーションのように管理することができます。各アプリケーションにアクセス ポリシーを適用し、ネットワーク範囲やデバイス タイプなどの基準に基づいてユーザーを認証する方法を指定することができます。アプリケーションを追加した後、ユーザーおよびグループに割り当てます。

OpenID Connect アプリケーションを追加するには、アプリケーションのターゲット URL、リダイレクト URL、クライアント ID、およびクライアント シークレットを指定します。

OpenID Connect アプリケーションをカタログに追加すると、そのアプリケーションの Workspace ONE Access 内で OAuth 2.0 クライアントが自動的に作成されます。クライアントは、ターゲット URL、リダイレクト URL、クライアント ID、およびクライアント シークレットなど、アプリケーションの追加中に指定する構成情報を使用して作成されます。その他のすべてのパラメータはデフォルト値を使用します。具体的には、次のようになります。

  • 許可タイプ:authorization_code、refresh_token

  • 範囲:admin、openid、user
  • ユーザー許可の表示:false
  • アクセス トークンの有効時間 (TTL):3 時間
  • リフレッシュ トークンの有効時間 (TTL):有効。90 日に設定
  • リフレッシュ トークンのアイドル有効時間 (TTL):4 日

アプリケーションの OAuth 2.0 クライアントは、[設定] > [OAuth 2.0 管理] ページで確認できます。[クライアント] タブで、クライアント ID を見つけてクリックし、構成情報を表示します。

注意: アプリケーションに関連付けられた OAuth 2.0 クライアントを削除しないでください。削除すると、ユーザーがアプリケーションを使用できなくなります。

カタログからアプリケーションを削除すると、OAuth 2.0 クライアントも削除されます。

Workspace ONE からアプリケーションにアクセスするときの認証フロー

ユーザーが Workspace ONE でアプリケーションをクリックすると、認証フローは次のようになります。

  1. ユーザーが Workspace ONE でアプリケーションをクリックします。
  2. Workspace ONE Access は、ユーザーをターゲット URL にリダイレクトします。
  3. アプリケーションが、認証要求を使用して Workspace ONE Access にユーザーをリダイレクトします。
  4. Workspace ONE Access が、アプリケーションに対して指定した認証ポリシーに基づいてユーザーを認証します。
  5. Workspace ONE Access が、ユーザーにアプリケーションの使用資格があるかどうかを確認します。
  6. Workspace ONE Access が、リダイレクト URL に認証コードを送信します。
  7. 認証コードを使用して、アプリケーションが、アクセス トークンを要求します。
  8. Workspace ONE Access が ID トークン、アクセス トークン、およびリフレッシュ トークンをアプリケーションに送信します。

アプリケーションがサービス プロバイダから直接アクセスされるときの認証フロー

ユーザーがサービス プロバイダから直接アプリケーションにアクセスする場合、認証フローは次のようになります。

  1. ユーザーがアプリケーションをクリックします。
  2. ユーザーは Workspace ONE Access へリダイレクトされて認証されます。
  3. Workspace ONE Access が、アプリケーションに対して指定した認証ポリシーに基づいてユーザーを認証します。
  4. Workspace ONE Access が、ユーザーにアプリケーションの使用資格があるかどうかを確認します。
  5. Workspace ONE Access が ID トークンをサービス プロバイダに送信します。