Можно добавить приложения, которые используют протокол проверки подлинности OpenID Connect, в Workspace ONE Access и управлять ими как любыми другими приложениями в каталоге. К каждому приложению можно применить политику доступа, чтобы указать способ проверки подлинности пользователей на основе критериев, например сетевого диапазона и типа устройства. После добавления приложения его можно назначить пользователям и группам.

Чтобы добавить приложение OpenID Connect, укажите целевой URL-адрес приложения, URL-адрес перенаправления, идентификатор клиента и секретный ключ клиента.

При добавлении приложения OpenID Connect в каталог в Workspace ONE Access автоматически создается клиент OAuth 2.0 для этого приложения. Клиент создается на основе сведений о конфигурации, которые указываются при добавлении приложения и включают в себя целевой URL-адрес, URL-адрес перенаправления, идентификатор клиента и секретный ключ клиента. Для всех других параметров используются значения по умолчанию. Среди них следующие комбинации.

  • Тип предоставления: authorization_code, refresh_token

  • Область: администратор, openid, пользователь
  • Отображение предоставления разрешения пользователю: false
  • Срок доступности маркера доступа: 3 часа
  • Срок доступности маркера обновления: включено и установлено значение 90 дней
  • Срок бездействия маркера обновления: 4 дня

Можно просмотреть клиент OAuth 2.0 для приложения на вкладке Клиенты страницы Каталог > Параметры > Удаленный доступ к приложениям. Щелкните имя клиента, чтобы просмотреть сведения о конфигурации. Не изменяйте поля в клиенте.

Важно!: Не удаляйте клиент OAuth 2.0, связанный с приложением, иначе приложение станет недоступно для пользователей.

При удалении приложения из каталога клиент OAuth 2.0 также будет удален.

Процесс проверки подлинности при доступе к приложению из Workspace ONE

Когда пользователь щелкает приложение в Workspace ONE, процесс проверки подлинности выглядит следующим образом.

  1. Пользователь щелкает приложение в Workspace ONE.
  2. Workspace ONE Access перенаправляет пользователя на целевой URL-адрес.
  3. Приложение перенаправляет пользователя в Workspace ONE Access с запросом авторизации.
  4. Workspace ONE Access проверяет подлинность пользователя на основе политики проверки подлинности, указанной для приложения.
  5. Workspace ONE Access проверяет наличие у пользователя прав на использование приложения.
  6. Workspace ONE Access отправляет код авторизации на URL-адрес перенаправления.
  7. С помощью кода авторизации приложение запрашивает маркер доступа.
  8. Workspace ONE Access отправляет в приложение маркеры идентификатора, доступа и обновления.

Процесс проверки подлинности при доступе к приложению непосредственно через поставщика услуг

Когда пользователь осуществляет доступ к приложению непосредственно через поставщика услуг, процесс проверки подлинности выглядит следующим образом.

  1. Пользователь щелкает приложение.
  2. Пользователь перенаправляется в Workspace ONE Access для проверки подлинности.
  3. Workspace ONE Access проверяет подлинность пользователя на основе политики проверки подлинности, указанной для приложения.
  4. Workspace ONE Access проверяет наличие у пользователя прав на использование приложения.
  5. Workspace ONE Access отправляет маркер идентификатора поставщику услуг.