Regels voor applicatie Workspace ONE toepassen op toegangsbeleid

Wanneer de applicatie Workspace ONE op apparaten is geïnstalleerd, kunnen gebruikers met behulp van de functie single sign-on (SSO) via VMware Identity Manager, toegang krijgen tot apps waarvoor hen rechten zijn verleend .

De Workspace ONE-app is een OAuth-client die de GreenBox-TemplatedId OAuth-sjabloon gebruikt voor het beheren van toegang tot de applicatie. Deze sjabloon is geregistreerd in Catalogus > Instellingen > pagina Externe toegang in de VMware Identity Manager-console.

Wanneer gebruikers zich voor het eerst met succes aanmelden bij de applicatie Workspace ONE, wordt een OAuth-token voor toegang op de applicatie toegepast. Dit toegangstoken wordt geconfigureerd met een levensduur (TTL). De TTL-waarde is de maximale tijd dat gebruikers toegang hebben tot Workspace ONE zonder zich opnieuw aan te melden.

Een vernieuwingstoken wordt zo geconfigureerd dat wanneer het toegangstoken verloopt, Workspace ONE een nieuwe toegangstoken vraagt. Op die manier kunnen gebruikers voor een langere periode bij Workspace ONE aangemeld blijven zonder zich opnieuw te moeten aanmelden.

De levensduurinstellingen van het Workspace ONE-toegangstoken, zijn als volgt geconfigureerd.

Levensduur toegangstoken is 3 uur.
Levensduur vernieuwingstoken is 90 dagen.
Levensduur inactiviteitstoken is 10 dagen.

Als de gebruiker applicatie Workspace ONE elke dag gebruikt, hoeft de gebruiker zich gedurende 90 dagen niet opnieuw aan te melden, op basis van de ingestelde TTL voor het vernieuwingstoken. Echter, als de gebruiker niet actief is en de Workspace ONE-app gedurende 10 dagen niet gebruikt, moet de gebruiker zich opnieuw aanmelden bij Workspace ONE.

Als u zich wilt aanmelden bij Workspace ONE en u hebt het toegangstoken toegepast op de applicatie, moet het Type apparaat Workspace ONE-app de eerste regel zijn in het standaardtoegangsbeleid voor het afdwingen van de OAuth-TTL. Nadat gebruikers werden geverifieerd, beheert het toegangstoken hoe lang de sessie geldig is, op basis van de waarden van vernieuwings- en inactiviteitstoken.

U kunt de waarde voor hernieuwde verificatie van de sessie zo configureren in de toegangsbeleidsregel dat ze gelijk is aan de levensduurwaarde van het vernieuwingstoken, nl. 90 dagen, of 2160 uur. Als u de waarde van de hernieuwde verificatiesessie kleiner maakt dan de levensduur van het vernieuwingstoken, worden gebruikers gevraagd zich bij Workspace ONE aan te melden wanneer de waarde van de hernieuwde verificatiesessie is bereikt.

Als de applicatie Workspace ONE niet de eerste regel is, wordt geen OAuth-toegangstoken toegepast op de applicatie Workspace ONE en is single sign-on naar andere resources niet beschikbaar. Gebruikers moeten zich bij de applicaties in hun portal aanmelden elke keer dat ze Workspace ONE vanaf hun apparaat openen.