Workspace ONE Access 會使用 OAuth 2.0,讓應用程式能夠登錄在 Workspace ONE Access 中,且會建立一個委派的安全存取權,以便能存取 Hub 目錄中啟用的應用程式。OAuth 用戶端是透過存取權杖進行授權。
您可以建立單一 OAuth 2 用戶端,以便向 Workspace ONE Access 登錄單一應用程式。您也可以建立範本,讓用戶端群組動態地向 Workspace ONE Access 服務登錄,以允許存取指定的應用程式。
初始使用者驗證要求須遵循 OIDC 規格中定義的驗證流程。
從 Workspace ONE Intelligent Hub 存取應用程式時的 OAuth 2.0 工作流程
使用者按下 Workspace ONE Intelligent Hub 應用程式或 Hub 入口網站中的應用程式時,驗證流程如下所示。
- 使用者在 Hub 目錄中選取應用程式。
- Workspace ONE Access 服務將使用者重新導向至目標 URL。
- 應用程式透過授權要求將使用者重新導向至 Workspace ONE Access。
- Workspace ONE Access 服務根據您為應用程式指定的驗證原則進行使用者驗證。
- Workspace ONE Access 服務會檢查使用者是否有權使用應用程式。
- Workspace ONE Access 服務會將授權碼傳送至重新導向 URL
- 應用程式會使用授權碼要求存取權杖。
- Workspace ONE Access 服務會將識別碼權杖、存取權杖和重新整理權杖傳送至應用程式。
管理存取權杖存留時間
存取權杖會提供對應用程式安全的暫時性存取。存取權杖具有有限的存留期。當您建立用戶端認證時,即會設定存取權杖的存留時間 (TTL)。設定的時間即為可在應用程式內使用有效存取權杖的時間上限。
如果使用者經常使用某個應用程式,例如 Workspace ONE Intelligent Hub 應用程式,則可以將用戶端認證設定為不要求這些使用者在每次存取權杖到期時都必須登入。
啟用 [發出重新整理權杖] 即可在存取權杖到期時,讓應用程式使用重新整理權杖以要求新的存取權杖。重新整理權杖會使用 TTL 進行設定。在重新整理權杖到期之前皆可要求新的存取權杖。當重新整理權杖到期時,使用者必須登入應用程式。
您可以設定重新整理權杖在無法再次使用之前的閒置時間長度。如果重新整理權杖未使用的時間已達重新整理權杖閒置 TTL,則使用者必須重新登入應用程式。
存取權杖存留時間的運作方式
用戶端認證中存取權杖存留時間 (TTL) 設定的設定方式如下所示。
- 存取權杖 TTL 設為九小時
- 重新整理權杖 TTL 設為三個月
- 重新整理權杖閒置 TTL 設為七天
如果使用者每天使用應用程式,則根據重新整理權杖 TTL 設定,使用者在三個月內皆不需再次登入。不過,如果使用者閒置且未使用應用程式達七天,則根據重新整理權杖閒置 TTL 設定,使用者將需要在七天之後登入。
