Можно добавить приложения, которые используют протокол проверки подлинности OpenID Connect, в VMware Identity Manager и управлять ими как любыми другими приложениями в каталоге. К каждому приложению можно применить политику доступа, чтобы указать способ проверки подлинности пользователей на основе критериев, например сетевого диапазона и типа устройства. После добавления приложения его можно назначить пользователям и группам.

Чтобы добавить приложение OpenID Connect, укажите целевой URL-адрес приложения, URL-адрес перенаправления, идентификатор клиента и секретный ключ клиента.

При добавлении приложения OpenID Connect в каталог в VMware Identity Manager автоматически создается клиент OAuth 2.0 для этого приложения. Клиент создается на основе сведений о конфигурации, которые указываются при добавлении приложения и включают в себя целевой URL-адрес, URL-адрес перенаправления, идентификатор клиента и секретный ключ клиента. Для всех других параметров используются значения по умолчанию. Среди них следующие комбинации.

  • Тип предоставления: authorization_code, refresh_token

  • Область: администратор, openid, пользователь

  • Отображение предоставления разрешения пользователю: false

  • Срок доступности маркера доступа: 3 часа

  • Срок доступности маркера обновления: включено и установлено значение 90 дней

  • Срок бездействия маркера обновления: 4 дня

Можно просмотреть клиент OAuth 2.0 для приложения на вкладке Клиенты страницы Каталог > Параметры > Удаленный доступ к приложениям. Щелкните имя клиента, чтобы просмотреть сведения о конфигурации. Не изменяйте поля в клиенте.

Важно!.

Не удаляйте клиент OAuth 2.0, связанный с приложением, иначе приложение станет недоступно для пользователей.

При удалении приложения из каталога клиент OAuth 2.0 также будет удален.

Процесс проверки подлинности при доступе к приложению из Workspace ONE

Когда пользователь щелкает приложение в Workspace ONE, процесс проверки подлинности выглядит следующим образом.

  1. Пользователь щелкает приложение в Workspace ONE.

  2. VMware Identity Manager перенаправляет пользователя на целевой URL-адрес.

  3. Приложение перенаправляет пользователя в VMware Identity Manager с запросом авторизации.

  4. VMware Identity Manager проверяет подлинность пользователя на основе политики проверки подлинности, указанной для приложения.

  5. VMware Identity Manager проверяет наличие у пользователя прав на использование приложения.

  6. VMware Identity Manager отправляет код авторизации на URL-адрес перенаправления.

  7. С помощью кода авторизации приложение запрашивает маркер доступа.

  8. VMware Identity Manager отправляет приложению маркеры идентификатора, доступа и обновления.

Процесс проверки подлинности при доступе к приложению непосредственно через поставщика услуг

Когда пользователь осуществляет доступ к приложению непосредственно через поставщика услуг, процесс проверки подлинности выглядит следующим образом.

  1. Пользователь щелкает приложение.

  2. Пользователь перенаправляется в VMware Identity Manager для проверки подлинности.

  3. VMware Identity Manager проверяет подлинность пользователя на основе политики проверки подлинности, указанной для приложения.

  4. VMware Identity Manager проверяет наличие у пользователя прав на использование приложения.

  5. VMware Identity Manager отправляет поставщику услуг маркер идентификатора.