Workspace ONE Access gebruikt OAuth 2.0 zodat applicaties kunnen worden geregistreerd bij Workspace ONE Access en een beveiligde gedelegeerde toegang kan worden gemaakt voor applicaties die zijn ingeschakeld in de Hub-catalogus. De OAuth-client wordt geautoriseerd via een toegangstoken.

U kunt één OAuth 2-client maken zodat één applicatie kan worden geregistreerd bij Workspace ONE Access. U kunt ook een sjabloon maken om een groep clients toe te staan zich dynamisch te registreren bij de Workspace ONE Access-services om toegang te krijgen tot specifieke applicaties.

De originele aanvraag voor gebruikersverificatie volgt het verificatieproces zoals gedefinieerd in de OIDC-specificaties.

OAuth 2.0-werkstroom wanneer de applicatie wordt geopend via Workspace ONE Intelligent Hub

Wanneer een gebruiker op de applicatie in de Workspace ONE Intelligent Hub-app of Hub-portal klikt, verloopt het verificatieproces als volgt.

  1. De gebruiker selecteert de applicatie in de Hub-catalogus.
  2. De Workspace ONE Access-service leidt de gebruiker om naar de doel-URL.
  3. De applicatie leidt de gebruiker met een verificatieaanvraag naar Workspace ONE Access.
  4. De Workspace ONE Access-service verifieert de gebruiker op basis van het verificatiebeleid dat u heeft opgegeven voor de app.
  5. De Workspace ONE Access-service controleert of de gebruiker rechten heeft voor de applicatie.
  6. De Workspace ONE Access-service verzendt de autorisatiecode naar de doorverwijzings-URL.
  7. Met behulp van de autorisatiecode vraagt de applicatie om het toegangstoken.
  8. De Workspace ONE Access-service verzendt het ID-token, het toegangstoken en het vernieuwingstoken naar de app.

Time to Live voor toegangstoken beheren

Het toegangstoken biedt tijdelijke veilige toegang tot de applicatie. Toegangstokens hebben een beperkte levensduur. Wanneer u de aanmeldgegevens voor de client maakt, wordt het toegangstoken geconfigureerd met een time to live (TTL). De geconfigureerde tijd is de maximale tijd dat het toegangstoken geldig is voor gebruik in een applicatie.

Als gebruikers een applicatie, zoals de Workspace ONE Intelligent Hub-app, regelmatig gebruiken, kunt u de aanmeldgegevens voor de client zo configureren dat deze gebruikers zich niet telkens hoeven aan te melden wanneer het toegangstoken vervalt.

Schakel Vernieuwingstoken uitgeven in zodat wanneer het toegangstoken vervalt, de applicatie het vernieuwingstoken gebruikt om een nieuwe toegangstoken aan te vragen. Het vernieuwingstoken is geconfigureerd met een TTL. Nieuwe toegangstokens kunnen worden aangevraagd tot het vernieuwingstoken vervalt. Wanneer het vernieuwingstoken vervalt, moet de gebruiker zich aanmelden bij de applicatie.

U kunt configureren hoelang een vernieuwingstoken inactief kan zijn voordat het onbruikbaar wordt. Als het vernieuwingstoken niet wordt gebruikt voordat de Time-to-Live (TTL) voor de inactieve vernieuwingstoken is verstreken, moeten gebruikers zich opnieuw aanmelden bij de applicatie.

Hoe time to live voor toegangstokens werkt

De instellingen voor de time-to-live (TTL) voor het toegangstoken in de aanmeldgegevens voor de client worden als volgt geconfigureerd.

  • De TTL voor het toegangstoken wordt ingesteld op negen uur
  • De TTL voor het vernieuwingstoken wordt ingesteld op drie maanden
  • De TTL voor de inactieve vernieuwingstoken wordt ingesteld op zeven dagen

Als de gebruiker de applicatie elke dag gebruikt, hoeft de gebruiker zich gedurende drie maanden niet opnieuw aan te melden, op basis van de ingestelde TTL voor het vernieuwingstoken. Als de gebruiker echter inactief is en de applicatie zeven dagen niet gebruikt, moet de gebruiker zich na zeven dagen opnieuw aanmelden, op basis van de ingestelde TTL voor de inactieve vernieuwingstoken.