Workspace ONE Access는 OAuth 2.0을 사용하여 애플리케이션을 Workspace ONE Access에 등록하고 Hub 카탈로그에서 사용하도록 설정된 애플리케이션에 대한 보안 위임된 액세스를 생성합니다. OAuth 클라이언트는 액세스 토큰을 통해 인증됩니다.
단일 OAuth 2 클라이언트를 생성하여 단일 애플리케이션을 Workspace ONE Access에 등록할 수 있습니다. 또한 지정된 애플리케이션에 대한 액세스를 허용하기 위해 클라이언트 그룹을 Workspace ONE Access 서비스에 동적으로 등록할 수 있는 템플릿을 생성할 수 있습니다.
초기 사용자 인증 요청에서는 OIDC 규격에 정의된 인증 흐름을 따릅니다.
애플리케이션이 Workspace ONE Intelligent Hub에서 액세스되는 경우의 OAuth 2.0 워크플로
사용자가 Workspace ONE Intelligent Hub 애플리케이션 또는 Hub 포털에서 애플리케이션을 클릭하면 인증 흐름은 다음과 같습니다.
- 사용자가 Hub 카탈로그에서 애플리케이션을 선택합니다.
- Workspace ONE Access 서비스는 사용자를 대상 URL로 리디렉션합니다.
- 애플리케이션은 인증 요청을 사용하여 사용자를 Workspace ONE Access로 리디렉션합니다.
- Workspace ONE Access 서비스는 애플리케이션에 대해 지정한 인증 정책을 기준으로 사용자를 인증합니다.
- Workspace ONE Access 서비스가 사용자에게 애플리케이션 사용 권한이 부여되었는지 여부를 확인합니다.
- Workspace ONE Access 서비스가 리디렉션 URL로 인증 코드를 전송합니다
- 인증 코드를 사용하여 애플리케이션이 액세스 토큰을 요청합니다.
- Workspace ONE Access 서비스가 애플리케이션에 ID 토큰, 액세스 토큰 및 새로 고침 토큰을 전송합니다.
액세스 토큰 TTL(Time-to-Live) 관리
액세스 토큰은 애플리케이션에 대한 일시적인 보안 액세스를 제공합니다. 액세스 토큰의 수명은 제한되어 있습니다. 클라이언트 자격 증명을 생성할 때 액세스 토큰은 TTL(Time-to-Live)로 구성됩니다. 구성된 시간은 액세스 토큰이 애플리케이션 내에서 유효하게 사용되는 최대 시간입니다.
사용자가 Workspace ONE Intelligent Hub 애플리케이션과 같은 애플리케이션을 자주 사용할 경우 액세스 토큰이 만료될 때마다 이러한 사용자에게 로그인할 것을 요구하지 않도록 클라이언트 자격 증명을 구성할 수 있습니다.
액세스 토큰이 만료되면 애플리케이션이 새로 고침 토큰을 사용하여 새 액세스 토큰을 요청하도록 [새로 고침 토큰 발행]을 사용으로 설정합니다. 새로 고침 토큰은 TTL로 구성됩니다. 새로 고침 토큰이 만료될 때까지 새 액세스 토큰을 요청할 수 있습니다. 새로 고침 토큰이 만료되면 사용자는 애플리케이션에 로그인해야 합니다.
다시 사용되기 전에 새로 고침 토큰이 유휴 상태를 유지할 수 있는 기간을 구성할 수 있습니다. 새로 고침 토큰이 새로 고침 토큰 유휴 TTL로 인해 사용되지 않는 경우 사용자는 애플리케이션에 다시 로그인해야 합니다.
액세스 토큰 TTL(Time-to-Live) 작동 방식
클라이언트 자격 증명의 액세스 토큰 TTL(Time-to-Live) 설정은 다음과 같이 구성됩니다.
- 액세스 토큰 TTL은 9시간으로 설정됩니다.
- 새로 고침 토큰 TTL은 3개월로 설정됩니다.
- 새로 고침 토큰 유휴 TTL은 7일로 설정됩니다.
사용자가 해당 애플리케이션을 매일 사용하는 경우 새로 고침 토큰 TTL 설정에 따라 3개월 동안 다시 로그인할 필요가 없습니다. 그러나 사용자가 7일 동안 유휴 상태이고 애플리케이션을 사용하지 않은 경우 새로 고침 토큰 유휴 TTL 설정에 따라 7일 후에 로그인해야 합니다.