您可以將使用 OpenID Connect 驗證通訊協定的應用程式新增至 VMware Identity Manager,並如同目錄中的任何其他應用程式一般進行管理。您可以將存取原則套用至每個應用程式,以根據網路範圍和裝置類型等準則指定驗證使用者的方式。新增應用程式後,您可以將其指派給使用者和群組。

若要新增 OpenID Connect 應用程式,您必須指定應用程式的目標 URL、重新導向 URL、用戶端識別碼和用戶端密碼。

當您將 OpenID Connect 應用程式新增至目錄時,系統會在 VMware Identity Manager 中自動為應用程式建立 OAuth 2.0 用戶端。系統會使用您在新增應用程式時指定的組態資訊來建立用戶端,這些資訊包括目標 URL、重新導向 URL、用戶端識別碼和用戶端密碼。其他所有參數皆會使用預設值。這些包括:

  • 授與類型:authorization_code、refresh_token

  • 範圍:管理員、openid、使用者

  • 顯示使用者授與:false

  • 存取權杖存留時間 (TTL):3 小時

  • 重新整理權杖存留時間 (TTL):已啟用並設為 90 天

  • 重新整理權杖閒置存留時間 (TTL):4 天

您可以在目錄 > 設定 > 遠端應用程式存取頁面的用戶端索引標籤中檢視應用程式的 OAuth 2.0 用戶端。按一下用戶端名稱可檢視組態資訊。請勿編輯用戶端中的任何欄位。

重要:

請勿刪除與應用程式相關聯的 OAuth 2.0 用戶端,否則應用程式將無法再供使用者使用。

當您從目錄中刪除應用程式時,也會刪除 OAuth 2.0 用戶端。

從 Workspace ONE 存取應用程式時的驗證流程

當使用者按一下 Workspace ONE 中的應用程式時,驗證流程將如下所示:

  1. 使用者按一下 Workspace ONE 中的應用程式。

  2. VMware Identity Manager 將使用者重新導向至目標 URL。

  3. 應用程式透過授權要求將使用者重新導向至 VMware Identity Manager。

  4. VMware Identity Manager 根據您為應用程式指定的驗證原則進行使用者驗證。

  5. VMware Identity Manager 檢查使用者是否有權使用應用程式。

  6. VMware Identity Manager 將授權碼傳送至重新導向 URL。

  7. 應用程式會使用授權碼要求存取權杖。

  8. VMware Identity Manager 將識別碼權杖、存取權杖和重新整理權杖傳送至應用程式。

直接從服務提供者存取應用程式時的驗證流程

當使用者直接從服務提供者存取應用程式時,驗證流程將如下所示:

  1. 使用者按一下應用程式。

  2. 使用者重新導向至 VMware Identity Manager 進行驗證。

  3. VMware Identity Manager 根據您為應用程式指定的驗證原則進行使用者驗證。

  4. VMware Identity Manager 檢查使用者是否有權使用應用程式。

  5. VMware Identity Manager 將識別碼權杖傳送給服務提供者。