OpenID Connect 인증 프로토콜을 사용하는 애플리케이션을 Workspace ONE Access 카탈로그에 추가한 후 카탈로그의 다른 애플리케이션처럼 관리할 수 있습니다. 각 애플리케이션에 액세스 정책을 적용하여 사용자가 네트워크 범위 및 디바이스 유형과 같은 조건에 따라 인증되는 방식을 지정할 수 있습니다. 애플리케이션을 추가한 후 사용자 및 그룹에 할당합니다.
OpenID Connect 애플리케이션을 추가하려면 애플리케이션의 대상 URL, 리디렉션 URL, 클라이언트 ID 및 클라이언트 암호를 지정합니다.
OpenID Connect 애플리케이션을 카탈로그에 추가하면
Workspace ONE Access에서 애플리케이션에 대한 OAuth 2.0 클라이언트가 자동으로 생성됩니다. 클라이언트는 애플리케이션을 추가하는 동안 지정한 대상 URL, 리디렉션 URL, 클라이언트 ID 및 클라이언트 암호를 포함하는 구성 정보로 생성됩니다. 다른 모든 매개 변수는 기본값을 사용합니다. 여기에는 다음이 포함됩니다.
-
권한 부여 유형: authorization_code, refresh_token
- 범위: admin, openid, user
- 사용자 권한 부여 표시: false
- 액세스 토큰 TTL(Time-to-Live): 3시간
- 새로 고침 토큰 TTL(Time-to-Live): 사용 및 90일로 설정
- 새로 고침 토큰 유휴 TTL(Time-to-Live): 4일
클라이언트 탭에서 클라이언트 ID를 찾아서 클릭하여 구성 정보를 확인합니다.
페이지에서 애플리케이션에 대한 OAuth 2.0 클라이언트를 볼 수 있습니다.
경고: 애플리케이션과 연결된 OAuth 2.0 클라이언트는 삭제하지 마십시오. 삭제하면 사용자가 해당 애플리케이션을 더 이상 사용할 수 없습니다.
카탈로그에서 애플리케이션을 삭제하면 OAuth 2.0 클라이언트도 삭제됩니다.
Workspace ONE에서 애플리케이션에 액세스하는 경우의 인증 흐름
사용자가 서비스 제공자에서 애플리케이션에 직접 액세스하는 경우 인증 흐름은 다음과 같습니다.
- 사용자가 Workspace ONE에서 애플리케이션을 클릭합니다.
- Workspace ONE Access는 사용자를 대상 URL로 리디렉션합니다.
- 애플리케이션은 인증 요청을 사용하여 사용자를 Workspace ONE Access로 리디렉션합니다.
- Workspace ONE Access는 애플리케이션에 대해 지정한 인증 정책을 기준으로 사용자를 인증합니다.
- Workspace ONE Access가 사용자에게 애플리케이션 사용 권한이 부여되었는지 여부를 확인합니다.
- Workspace ONE Access가 리디렉션 URL로 인증 코드를 전송합니다.
- 인증 코드를 사용하여 애플리케이션이 액세스 토큰을 요청합니다.
- Workspace ONE Access가 애플리케이션에 ID 토큰, 액세스 토큰 및 새로 고침 토큰을 전송합니다.
서비스 제공자에서 애플리케이션에 직접 액세스하는 경우의 인증 흐름
사용자가 서비스 제공자에서 애플리케이션에 직접 액세스하는 경우 인증 흐름은 다음과 같습니다.
- 사용자가 애플리케이션을 클릭합니다.
- 사용자가 재인증을 위해 Workspace ONE Access로 리디렉션됩니다.
- Workspace ONE Access는 애플리케이션에 대해 지정한 인증 정책을 기준으로 사용자를 인증합니다.
- Workspace ONE Access가 사용자에게 애플리케이션 사용 권한이 부여되었는지 여부를 확인합니다.
- Workspace ONE Access가 서비스 제공자에게 ID 토큰을 전송합니다.