Чтобы обеспечить регистрацию в службах Workspace ONE Access с помощью одного приложения и разрешить пользователям доступ к приложению, создайте клиент маркеров доступа пользователя.

Для регистрации приложений в Workspace ONE Access и создания безопасного делегированного доступа к приложениям, активированным в каталоге Hub, в Workspace ONE Access используется OAuth 2.0. Авторизация клиента OAuth осуществляется с помощью маркера доступа.

Можно создавать и обновлять клиенты OAuth 2 двух типов: общедоступный и конфиденциальный клиенты.

Общедоступные клиенты, например собственные и одностраничные приложения, работают в средах, которые не могут обеспечить конфиденциальность секретного ключа клиента. Если выбран тип клиента «Общедоступный», можно выбрать тип предоставления «Предоставление пароля» или «Предоставление кода авторизации».

Если выбрать код авторизации для типа клиента «Общедоступный», принудительно применяется поддержка PKCE (Proof Key of Code Exchange) без возможности удаления. Протокол расширения PKCE помогает предотвратить атаки перехвата кода авторизации. Варианты области для общедоступных клиентов ограничены только областями на основе пользователей. Параметры области для общедоступных клиентов нельзя настроить с использованием привилегированных областей, таких как «Администратор».

Конфиденциальные клиенты — это приложения, которые могут безопасно выполнять проверку подлинности с помощью сервера авторизации. Идентификатор и секретный ключ таких клиентов являются безопасными. Если для типа клиента «Конфиденциальный» выбран тип предоставления «Код авторизации», по умолчанию включен параметр PKCE. Параметр PKCE для конфиденциальных клиентов можно удалить.

Процедура

  1. В консоли Workspace ONE Access на странице Параметры > Управление OAuth 2.0 щелкните ДОБАВИТЬ КЛИЕНТ.
  2. На странице Добавить клиент выполните приведенные ниже действия.
    Метка Описание
    Тип доступа Можно создать «Маркер доступа пользователя» или «Маркер клиента службы». Выберите Маркер доступа пользователя.
    Тип клиента Общедоступный или Конфиденциальный

    Выберите Общедоступный, если приложения выполняются в средах, которые не могут обеспечить конфиденциальность секретного ключа клиента.

    Выберите Конфиденциальный, если приложения могут безопасно выполнять проверку подлинности с помощью сервера авторизации. Если выбран тип клиента «Конфиденциальный», страница клиента обновляется, а на ней отображаются идентификатор клиента и скрытый общий секретный ключ.
    Идентификатор клиента Если выбран параметр Конфиденциальный, введите уникальный идентификатор клиента для приложения. Идентификатор клиента используется для проверки подлинности в Workspace ONE Access. Этот идентификатор не должен совпадать ни с каким другим идентификатором клиента в арендаторе. Можно использовать следующие символы: буквенно-цифровые символы (A–Z, a–z, 0–9), точка (.), символ подчеркивания (_), дефис (-) и символ @. Длина идентификатора клиента должна быть не более 256 символов.
    Тип предоставления

    Выберите один или несколько типов предоставления, указанных ниже.

    • Если выбран тип клиента «Конфиденциальный», отображается параметр Предоставить учетные данные клиента.
    • Предоставление пароля. Для типа клиента «Общедоступный» или «Конфиденциальный» можно выбрать параметр «Предоставление пароля».
    • Предоставление кода авторизации. Для типа клиента «Общедоступный» или «Конфиденциальный» можно выбрать параметр «Предоставление кода авторизации». При выборе параметра «Предоставление кода авторизации» в разделе «Тип предоставления» отображается параметр «Код URI перенаправления». Если выбран код авторизации, параметр Поддержка PKCE включена по умолчанию.
    • Параметр Предоставить маркер обновления включен по умолчанию в случае включения параметра Выдать маркер обновления.
    Код URI перенаправления Введите зарегистрированный код URI перенаправления для предоставления кода авторизации. Введите код в формате https://redirecturi.com.

    Список, разделенный запятой, можно использовать для добавления более одного URL-адреса перенаправления.
    Предоставление разрешения пользователю Включите параметр Запрашивать у пользователей принятие области.
    Область

    Определяет, к какой части учетной записи пользователя может получить доступ маркер. Для выбора доступны следующие области: Адрес эл. почты, Профиль, Пользователь, NAPPS, OpenID, Группа и Администратор. Выберите одну или несколько областей удостоверений, которые должны быть частью запроса авторизации OAuth 2.0. Если выбрать Администратор, отобразится параметр «Роли администратора».
    Поддержка PKCE

    Если задан тип предоставления Предоставление кода авторизации, флажок «Поддержка PKCE» установлен. Если выбран тип клиента «Общедоступный», деактивировать поддержку PKCE невозможно. Если выбран тип клиента «Конфиденциальный», поддержку PKCE можно деактивировать.
    Роли администраторов

    Для типов клиентов «Конфиденциальный» можно выбрать параметр Администратор в разделе «Область» и в раскрывающемся меню выбрать роли, предоставленные администратору.
    Выдать маркер обновления

    Чтобы обеспечить возврат маркера обновления, оставьте этот параметр включенным.
    Срок доступности маркера обновления Задайте срок доступности маркера обновления. Новые маркеры доступа можно запрашивать, пока не истечет срок доступности маркера обновления. См. Управление клиентами OAuth 2.0 в Workspace ONE Access.
    Срок доступности (TTL) маркера доступа Срок действия маркера доступа (в секундах) задается параметром Срок доступности (TTL) маркера доступа. Если включен параметр «Выдать маркер обновления», то по истечении срока доступности маркера доступа приложение использует маркер обновления для запроса нового маркера доступа.
    Срок бездействия маркера Задайте срок бездействия маркера обновления, по истечении которого его больше нельзя будет использовать.
    Тип маркера Для Workspace ONE Access тип маркера — Предъявитель.
    Предоставление разрешения пользователю Параметр Запрашивать у пользователей принятие области включен. Пользователи получают сообщение со списком отправляемых областей.
  3. Нажмите кнопку СОХРАНИТЬ.
    Если выбран тип клиента «Конфиденциальный», страница клиента обновляется, а на ней отображаются идентификатор клиента и скрытый общий секретный ключ.
  4. Скопируйте идентификатор клиента и созданный общий секретный ключ и сохраните их. Эту информацию необходимо добавить при настройке приложения.

    Секретный ключ клиента должен храниться в тайне. Если в развернутом приложении невозможно хранить секретный ключ, настройте их, установив тип клиента «Общедоступный».

    Примечание: Общий секретный ключ не сохраняется. Если секретный ключ будет потерян, необходимо создать новый секретный ключ и обновить приложение, в котором используется тот же общий секретный ключ, указав в нем новый секретный ключ.

    Чтобы повторно создать секретный ключ, щелкните идентификатор клиента, для которого требуется новый секретный ключ, на странице управления OAuth 2.0, а затем нажмите СОЗДАТЬ СЕКРЕТНЫЙ КЛЮЧ ПОВТОРНО.

Дальнейшие действия

В приложении ресурсов настройте идентификатор клиента и сгенерированный общий секретный ключ. Дополнительные сведения см. в документации приложения.