Maak een client voor gebruikerstoegangstokens om één applicatie te laten registreren bij Workspace ONE Access-services om gebruikers toegang tot de applicatie te geven.

Workspace ONE Access gebruikt OAuth 2.0 zodat applicaties kunnen worden geregistreerd bij Workspace ONE Access en een beveiligde gedelegeerde toegang kan worden gemaakt voor applicaties die zijn ingeschakeld in de Hub-catalogus. De OAuth-client wordt geautoriseerd via een toegangstoken.

U kunt twee typen OAuth 2-clients maken en bijwerken: publieke clients en een vertrouwelijke clients.

Publieke clients zoals systeemeigen apps en apps met één pagina worden uitgevoerd in omgevingen waarin de vertrouwelijkheid van een clientgeheim niet kan worden gehandhaafd. Wanneer het clienttype Publiek is, kunt u voor het toekenningstype het wachtwoord of de autorisatiecode selecteren.

Wanneer u autorisatiecode selecteert voor het clienttype Publiek, wordt PKCE-ondersteuning (Proof Key of Code Exchange) afgedwongen en kan deze niet worden verwijderd. Het PKCE-extensieprotocol helpt bij het onderscheppen van autorisatiecode-aanvallen. De bereikopties voor publieke clients zijn beperkt tot gebruikersgebonden bereiken. Bereikopties voor publieke clients kunnen niet worden geconfigureerd met gemachtigde bereiken zoals Beheerder.

Vertrouwelijke clients zijn apps die veilig kunnen worden geverifieerd met de autorisatieserver. Hun client-ID en -geheim zijn veilig. Als u het toekenningstype Autorisatiecode kiest voor het clienttype Vertrouwelijk, is de PKCE-optie standaard ingeschakeld. U kunt de PKCE-optie voor vertrouwelijke clients verwijderen.

Procedure

  1. Klik op de pagina Instellingen > OAuth 2.0-beheer in de Workspace ONE Access-console op CLIENT TOEVOEGEN.
  2. Configureer het volgende op de pagina Client toevoegen.
    Label Beschrijving
    Toegangstype Opties zijn het maken van een Toegangstoken van gebruiker of een Clienttoken van service. Selecteer Toegangstoken gebruiker.
    Clienttype Publiek of Vertrouwelijk

    Selecteer Publiek wanneer apps worden uitgevoerd in omgevingen waarin de vertrouwelijkheid van een clientgeheim niet kan worden gehandhaafd.

    Selecteer Vertrouwelijk wanneer apps veilig kunnen worden geverifieerd bij de autorisatieserver. Wanneer het clienttype Vertrouwelijk is, worden de clientpagina en client-ID vernieuwd en het verborgen gedeelde geheim weergegeven.
    Client-ID Wanneer u Vertrouwelijk selecteert, voert u een unieke client-ID voor de applicatie in. De client-ID wordt gebruikt voor verificatie bij Workspace ONE Access. De client-ID mag niet overeenkomen met een andere client-ID in uw tenant. De volgende tekens kunnen worden gebruikt: de alfanumerieke tekens (A-Z, a-z, 0-9), de punt (.), het onderstrepingsteken (_), het koppelteken (-) en het apestaartje (@). Er mogen echter niet meer dan 256 tekens worden gebruikt.
    Toekenningstype

    Selecteer een of meer van de volgende toekenningstypen.

    • Clientinloggegevens toekennen wordt weergegeven wanneer het clienttype Vertrouwelijk is.
    • Wachtwoord toekennen. U kunt Wachtwoord toekennen selecteren voor het clienttype Publiek of Vertrouwelijk.
    • Autorisatiecode toekennen U kunt Autorisatiecode toekennen selecteren voor het clienttype Publiek of Vertrouwelijk. Wanneer u Autorisatiecode toekennen selecteert, wordt de instelling Doorverwijzings-URI weergegeven onder Toekenningstype. Wanneer Autorisatiecode is geselecteerd, is de instelling PKCE-ondersteuning standaard ingeschakeld.
    • Vernieuwingstoken toekennen is standaard ingeschakeld wanneer de instelling Vernieuwingstoken uitgeven is ingeschakeld.
    URI-verwijzing Voer de geregistreerde doorverwijzings-URI in voor toekenning van de autorisatiecode. Voer deze in als https://redirecturi.com.

    U kunt een door komma's gescheiden lijst gebruiken om meer dan één omleidings-URL toe te voegen.
    Gebruikerstoekenning Schakel Gebruikers vragen om bereikacceptatie in.
    Bereik

    Het bereik bepaalt tot welk deel van het account van de gebruiker het token toegang heeft. De bereiken waaruit u kunt kiezen, zijn E-mail, Profiel, Gebruiker, NAPPS, OpenID, Groep en Beheerder. Selecteer een of meer identiteitsbereiken die u wilt gebruiken als onderdeel van de OAuth 2.0-autorisatieaanvraag. Wanneer u Beheerder selecteert, wordt de instelling Beheerdersrollen weergegeven.
    PKCE-ondersteuning

    Wanneer het toekenningstype Autorisatiecode toekennen is, is het selectievakje PKCE-ondersteuning ingeschakeld. Als het clienttype Publiek is, kunt u PKCE-ondersteuning niet deactiveren. Als het clienttype Vertrouwelijk is, kunt u ervoor kiezen om PKCE-ondersteuning te deactiveren.
    Beheerdersrollen

    Voor het clienttype Vertrouwelijk kunt u de instelling Beheerder selecteren in Bereik en in het vervolgkeuzemenu selecteert u vervolgens de beheerdersrollen die aan de beheerder zijn toegekend.
    Vernieuwingstoken uitgeven

    Laat deze optie ingeschakeld om toe te staan dat een vernieuwingstoken wordt geretourneerd.
    Levensduur van vernieuwingstoken Stel de TTL-waarde van het vernieuwingstoken in. Nieuwe toegangstokens kunnen worden aangevraagd tot het vernieuwingstoken vervalt. Zie OAuth 2.0-clients in Workspace ONE Access beheren.
    Levensduur van toegangstoken Het toegangstoken vervalt na het aantal seconden dat is ingesteld in Levensduur van toegangstoken. Als Vernieuwingstoken uitgeven is ingeschakeld en het toegangstoken vervalt, gebruikt de applicatie het vernieuwingstoken om een nieuw toegangstoken aan te vragen.
    Inactieve TTL-token (Time-To-Live) Configureer hoelang een vernieuwingstoken inactief kan zijn voordat het opnieuw kan worden gebruikt.
    Tokentype Voor Workspace ONE Access is het tokentype Drager.
    Gebruikerstoekenning Gebruikers vragen om bereikacceptatie is ingeschakeld. Gebruikers zien een bericht waarin de bereiken worden weergegeven die worden verzonden.
  3. Klik op OPSLAAN.
    Wanneer het clienttype Vertrouwelijk is, worden de clientpagina en client-ID vernieuwd en het verborgen gedeelde geheim weergegeven.
  4. Kopieer de client-ID en het gegenereerde gedeelde geheim en sla deze op. U kunt deze informatie toevoegen wanneer u de applicatie configureert.

    Het clientgeheim moet geheim blijven. Als een geïmplementeerde app het geheim niet kan bewaren, configureert u deze met het clienttype Publiek.

    Opmerking: Het gedeelde geheim wordt niet opgeslagen. Als u de geheime code verliest, moet u een nieuw geheim genereren en de app bijwerken die hetzelfde gedeelde geheim gebruikt met het opnieuw gegenereerde geheim.

    Als u een geheim opnieuw wilt genereren, klikt u op de client-ID waarvoor een nieuw geheim is vereist op de pagina OAuth 2.0-beheer en klikt u op GEHEIM OPNIEUW GENEREREN.

Volgende stappen

Configureer de client-ID en het gegenereerde gedeelde geheim in de resourceapplicatie. Zie de documentatie van de applicatie.