1 つのアプリケーションを Workspace ONE Access サービスに登録してユーザーがアプリケーションにアクセスできるようにするには、ユーザー アクセス トークン クライアントを作成します。
Workspace ONE Access は、OAuth 2.0 を使用してアプリケーションを Workspace ONE Access に登録し、Hub カタログで有効になっているアプリケーションへの安全な代理アクセスを作成します。OAuth クライアントは、アクセス トークンを介して認証されます。
[パブリック] クライアントと [機密] クライアントの 2 種類の OAuth 2 クライアントを作成および更新できます。
ネイティブ アプリケーションや単一ページ アプリケーションなどのパブリック クライアントは、クライアント シークレットの機密性を維持できない環境で実行されます。クライアント タイプがパブリックの場合、付与タイプにはパスワードの付与または認証コードの付与のどちらかを選択できます。
クライアント タイプ [パブリック] に対して認証コードを選択すると、PKCE (Proof Key of Code Exchange) のサポートが適用され、削除できません。PKCE 拡張プロトコルは、認証コード インターセプト攻撃の防止に役立ちます。パブリック クライアントの範囲オプションは、ユーザーベースの範囲のみに制限されます。パブリック クライアントの範囲オプションは、管理者などの権限のある範囲で構成することはできません。
機密クライアントは、認証サーバで安全に認証できるアプリケーションです。機密クライアントのクライアント ID とシークレットは安全です。クライアント タイプ [機密] に対して認証コードの付与タイプが選択されている場合、PKCE オプションはデフォルトで有効になっています。機密クライアントの PKCE オプションを削除できます。
手順
- Workspace ONE Accessコンソールの ページで、[クライアントの追加] をクリックします。
- [クライアントの追加] ページで、次のように構成します。
| ラベル |
説明 |
| アクセスの種類 |
オプションは、[ユーザー アクセス トークン] または [サービス クライアント トークン] を作成することです。[ユーザー アクセス トークン] を選択します。 |
| クライアント タイプ |
[パブリック] または [機密] クライアント シークレットの機密性を維持できない環境でアプリケーションを実行する場合は、[パブリック] を選択します。 アプリケーションが認証サーバで安全に認証できる場合は、[機密] を選択します。クライアント タイプが [機密] の場合、クライアント ページが更新され、クライアント ID および非表示の共有シークレット キーが表示されます。 |
| クライアント ID |
[機密] を選択する場合は、アプリケーションの一意のクライアント ID を入力します。クライアント ID は、Workspace ONE Access の認証に使用されます。クライアント ID は、テナントのクライアント ID と一致しないものにしなければなりません。英数字(A ~ Z、a ~ z、0 ~ 9)、ピリオド (.)、アンダースコア (_)、ハイフン (-)、およびアットマーク (@) のみを使用できます。クライアント ID は、256 文字以内にする必要があります。 |
| 認証タイプ |
次の認証タイプを 1 つ以上選択します。
- [クライアント認証情報の付与] は、クライアント タイプが [機密] の場合に表示されます。
- [パスワードの付与]。[パブリック] クライアント タイプまたは [機密] クライアント タイプに対して [パスワードの付与] を選択できます。
- [認証コードの付与]。[パブリック] クライアント タイプまたは [機密] クライアント タイプに対して [認証コードの付与] を選択できます。[認証コードの付与] を選択すると、[認証タイプ] の下に [リダイレクト用 URI] 設定が表示されます。認証コードを選択すると、[PKCE サポート] 設定がデフォルトで有効になります。
- [更新トークンの付与] は、[更新トークンの発行] 設定が有効になっている場合、デフォルトで有効になります。
|
| リダイレクト用 URI |
認証コードの付与用の登録済みリダイレクト URI を入力します。https://redirecturi.com と入力します。 複数のリダイレクト URL を追加するには、カンマ区切りのリストを使用できます。 |
| ユーザーの許可 |
[ユーザーに範囲の承諾を要求] を有効にします。 |
| 範囲 |
範囲は、トークンがアクセスできるユーザーのアカウントの一部を定義します。選択できる範囲は、[E メール]、[プロファイル]、[ユーザー]、[NAPPS]、[OpenID]、[グループ]、[管理者] です。OAuth 2.0 認証要求の一部として使用する ID 範囲を 1 つ以上選択します。[管理者] を選択すると、[管理者ロール] 設定が表示されます。 |
| PKCE サポート |
付与タイプが [認証コードの付与] の場合、[PKCE サポート] チェック ボックスが有効になります。クライアント タイプが [パブリック] の場合、PKCE サポートを無効にすることはできません。クライアント タイプが [機密] の場合は、PKCE サポートを無効にすることを選択できます。 |
| 管理者役割 |
[機密] クライアント タイプの場合、[範囲] で [管理者] 設定を選択できます。ドロップダウン メニューで、管理者に付与される管理者ロールを選択します。 |
| リフレッシュ トークンを発行 |
リフレッシュ トークンの返却を許可するには、このオプションを有効にしたままにします。 |
| リフレッシュ トークン TTL |
リフレッシュ トークンの生存期間値を設定します。リフレッシュ トークンが期限切れになるまで、新しいアクセス トークンを要求できます。Workspace ONE Access での OAuth 2.0 クライアントの管理を参照してください。 |
| アクセス トークンの TTL |
アクセス トークンは、[アクセス トークンの TTL] に設定された秒数が経過すると期限切れになります。[リフレッシュ トークンを発行] を有効にすると、アクセス トークンの期限が切れたときに、アプリケーションはリフレッシュ トークンを使用して新しいアクセス トークンを要求します。 |
| アイドル トークン TTL |
リフレッシュ トークンのアイドル時間を設定して、その時間が経過するとリフレッシュ トークンが使用できないようにします。 |
| トークン型 |
Workspace ONE Access の場合、トークン タイプは [ベアラー] です。 |
| ユーザーの許可 |
[ユーザーに範囲の承諾を要求] が有効になっています。送信中の範囲を一覧表示するメッセージがユーザーに表示されます。 |
- [保存] をクリックします。
クライアント タイプが [機密] の場合、クライアント ページが更新され、クライアント ID および非表示の共有シークレット キーが表示されます。
- クライアント ID および生成された共有シークレットをコピーして保存します。この情報は、アプリケーションを構成するときに追加します。
クライアント シークレットは、機密保持する必要があります。展開されたアプリケーションがシークレットを保持できない場合は、クライアント タイプ Public を使用して構成します。
注: 共有シークレット キーは保存されません。シークレットコードを紛失した場合は、新しいシークレットを生成し、同じ共有シークレット キーを使用するアプリケーションを再生成されたシークレットで更新する必要があります。
シークレットを再生成するには、[OAuth 2.0 管理] ページで新しいシークレットを必要とするクライアント ID をクリックし、[シークレットの再生成] をクリックします。
次のタスク
リソース アプリケーションで、クライアント ID と生成された共有シークレット キーを構成します。アプリケーションのドキュメントを参照してください。
