Для регистрации приложений в Workspace ONE Access и создания безопасного делегированного доступа к приложениям, активированным в каталоге Hub, в Workspace ONE Access используется OAuth 2.0. Авторизация клиента OAuth осуществляется с помощью маркера доступа.

Для обеспечения регистрации отдельного приложения в Workspace ONE Access можно создать клиент OAuth 2.0. Также можно создать шаблон для динамической регистрации группы клиентов с помощью служб Workspace ONE Access с целью предоставления доступа к определенным приложениям.

Первоначальный запрос на проверку подлинности пользователя выполняется в соответствии с процедурой проверки подлинности, описанной в спецификации OIDC.

Рабочий процесс OAuth 2.0 при доступе к приложению из Workspace ONE Intelligent Hub

Когда пользователь щелкает приложение в приложении Workspace ONE Intelligent Hub или на портале Hub, процесс проверки подлинности выглядит следующим образом.

  1. Пользователь выбирает приложение в каталоге Hub.
  2. Служба Workspace ONE Access перенаправляет пользователя на целевой URL-адрес.
  3. Приложение перенаправляет пользователя в Workspace ONE Access с запросом авторизации.
  4. Служба Workspace ONE Access проверяет подлинность пользователя на основе политики проверки подлинности, заданной для приложения.
  5. Служба Workspace ONE Access проверяет наличие у пользователя прав на использование приложения.
  6. Служба Workspace ONE Access отправляет код авторизации на URL-адрес перенаправления.
  7. С помощью кода авторизации приложение запрашивает маркер доступа.
  8. Служба Workspace ONE Access отправляет в приложение маркеры идентификатора, доступа и обновления.

Управление сроком доступности маркера доступа

Маркер доступа обеспечивает временный безопасный доступ к приложению. У маркеров доступа ограниченный срок доступности. При создании учетных данных клиента для маркера доступа устанавливается срок его доступности. Это максимальное время, в течение которого маркер доступа можно использовать в приложении.

Если пользователи часто используют то или иное приложение (например, приложение Workspace ONE Intelligent Hub), то можно настроить учетные данные клиента таким образом, чтобы этим пользователям не требовалось каждый раз выполнять вход после истечения срока доступности маркера доступа.

Включите параметр «Выдать маркер обновления», чтобы после истечения срока доступности маркера доступа приложение использовало маркер обновления для запроса нового маркера доступа. Для маркера обновления задается срок доступности. Новые маркеры доступа можно запрашивать, пока не истечет срок доступности маркера обновления. Когда срок доступности маркера обновления истечет, пользователь должен будет выполнить вход в приложение.

Можно задать срок бездействия маркера обновления, по истечении которого его больше нельзя будет использовать. Если маркер обновления не будет использован в течение установленного для него срока бездействия, пользователи должны будут повторно выполнить вход в приложение.

Как действует срок доступности маркера доступа

Параметры срока доступности маркера доступа задаются в учетных данных клиента следующим образом.

  • Для срока доступности маркера доступа устанавливается значение 9 часов.
  • Для срока доступности маркера обновления устанавливается значение 3 месяца.
  • Для срока бездействия маркера обновления устанавливается значение 7 дней.

Если пользователь использует приложение каждый день, ему не нужно выполнять вход в течение 3 месяцев в соответствии с установленным сроком доступности маркера обновления. Однако если пользователь не проявляет активности и не использует приложение в течение 7 дней, ему по прошествии этих 7 дней необходимо будет выполнить вход в соответствии с установленным сроком бездействия маркера обновления.