OpenID Connect 인증 프로토콜을 사용하는 애플리케이션을 Workspace ONE Access 카탈로그에 추가한 후 카탈로그의 다른 애플리케이션처럼 관리할 수 있습니다. 각 애플리케이션에 액세스 정책을 적용하여 사용자가 네트워크 범위 및 디바이스 유형과 같은 조건에 따라 인증되는 방식을 지정할 수 있습니다. 애플리케이션을 추가한 후 사용자 및 그룹에 할당합니다.

OpenID Connect 애플리케이션을 추가하려면 애플리케이션의 대상 URL, 리디렉션 URL, 클라이언트 ID 및 클라이언트 암호를 지정합니다.

OpenID Connect 애플리케이션을 카탈로그에 추가하면 Workspace ONE Access에서 애플리케이션에 대한 OAuth 2.0 클라이언트가 자동으로 생성됩니다. 클라이언트는 애플리케이션을 추가하는 동안 지정한 대상 URL, 리디렉션 URL, 클라이언트 ID 및 클라이언트 암호를 포함하는 구성 정보로 생성됩니다. 다른 모든 매개 변수는 기본값을 사용합니다. 여기에는 다음이 포함됩니다.

  • 권한 부여 유형: authorization_code, refresh_token

  • 범위: admin, openid, user
  • 사용자 권한 부여 표시: false
  • 액세스 토큰 TTL(Time-to-Live): 3시간
  • 새로 고침 토큰 TTL(Time-to-Live): 사용 및 90일로 설정
  • 새로 고침 토큰 유휴 TTL(Time-to-Live): 4일

[원격 애플리케이션 액세스] 페이지의 클라이언트 탭에서 애플리케이션에 대한 OAuth 2.0 클라이언트를 볼 수 있습니다. 카탈로그 > 설정 탭을 선택하고 왼쪽 창에서 원격 애플리케이션 액세스를 클릭한 다음, 클라이언트 ID를 클릭하여 구성 정보를 확인합니다.

경고: 애플리케이션과 연결된 OAuth 2.0 클라이언트는 삭제하지 마십시오. 삭제하면 사용자가 해당 애플리케이션을 더 이상 사용할 수 없습니다.

카탈로그에서 애플리케이션을 삭제하면 OAuth 2.0 클라이언트도 삭제됩니다.

Workspace ONE에서 애플리케이션에 액세스하는 경우의 인증 흐름

사용자가 Workspace ONE에서 애플리케이션을 클릭하면 인증 흐름은 다음과 같습니다.

  1. 사용자가 Workspace ONE에서 애플리케이션을 클릭합니다.
  2. Workspace ONE Access는 사용자를 대상 URL로 리디렉션합니다.
  3. 애플리케이션은 인증 요청을 사용하여 사용자를 Workspace ONE Access로 리디렉션합니다.
  4. Workspace ONE Access는 애플리케이션에 대해 지정한 인증 정책을 기준으로 사용자를 인증합니다.
  5. Workspace ONE Access가 사용자에게 애플리케이션 사용 권한이 부여되었는지 여부를 확인합니다.
  6. Workspace ONE Access가 리디렉션 URL로 인증 코드를 전송합니다.
  7. 인증 코드를 사용하여 애플리케이션이 액세스 토큰을 요청합니다.
  8. Workspace ONE Access가 애플리케이션에 ID 토큰, 액세스 토큰 및 새로 고침 토큰을 전송합니다.

서비스 제공자에서 애플리케이션에 직접 액세스하는 경우의 인증 흐름

사용자가 서비스 제공자에서 애플리케이션에 직접 액세스하는 경우 인증 흐름은 다음과 같습니다.

  1. 사용자가 애플리케이션을 클릭합니다.
  2. 사용자가 재인증을 위해 Workspace ONE Access로 리디렉션됩니다.
  3. Workspace ONE Access는 애플리케이션에 대해 지정한 인증 정책을 기준으로 사용자를 인증합니다.
  4. Workspace ONE Access가 사용자에게 애플리케이션 사용 권한이 부여되었는지 여부를 확인합니다.
  5. Workspace ONE Access가 서비스 제공자에게 ID 토큰을 전송합니다.