若要在 Workspace ONE Access 服務中登錄單一應用程式,以允許使用者存取該應用程式,請建立使用者存取權杖用戶端。

Workspace ONE Access 會使用 OAuth 2.0,讓應用程式能夠登錄在 Workspace ONE Access 中,且會建立一個委派的安全存取權,以便能存取 Hub 目錄中啟用的應用程式。OAuth 用戶端是透過存取權杖進行授權。

您可以建立並更新兩種類型的 OAuth 2 用戶端:公用用戶端和機密用戶端。

公用用戶端 (如本機和單一頁面應用程式) 在無法維護用戶端密碼機密性的環境中執行。當用戶端類型為 [公用] 時,您可以選取 [密碼授與] 或 [授權代碼授與] 的授與類型。

為用戶端類型 [公用] 選取 [授權代碼] 時,將強制實施 PKCE (代碼交換的證明金鑰) 支援,並且無法移除。PKCE 延伸通訊協定有助於防止授權代碼攔截攻擊。公用用戶端的範圍選項僅限於以使用者為基礎的範圍。不能為公用用戶端的範圍選項設定特殊權限範圍,如管理員。

機密用戶端是可以透過授權伺服器安全進行驗證的應用程式。其用戶端識別碼和密碼是安全的。如果為用戶端類型 [機密] 選擇了 [授權代碼授與] 類型,則依預設將啟用 PKCE 選項。您可以移除機密用戶端的 PKCE 選項。

程序

  1. Workspace ONE Access 主控台的設定 > OAuth 2.0 管理頁面中,按一下新增用戶端
  2. 新增用戶端頁面中,設定以下項目。
    標籤 說明
    存取類型 選項是建立「使用者存取權杖」或「服務用戶端權杖」。選取使用者存取權杖
    用戶端類型 公用機密

    當應用程式在無法對用戶端密碼進行保密的環境中執行時,請選取公用

    當應用程式可以安全地透過授權伺服器進行驗證時,請選取機密。當用戶端類型為 [機密] 時,將重新整理用戶端頁面,並顯示用戶端識別碼和隱藏的共用密碼。

    用戶端識別碼 如果選取機密時,則需輸入應用程式的唯一用戶端識別碼。用戶端識別碼用來對 Workspace ONE Access 進行驗證。用戶端識別碼不得與您承租人中的任何用戶端識別碼相符。可使用的字元如下:英數字元 (A-Z、a-z、0-9)、句點 (.)、底線 (_)、連字號 (-) 和 @ 記號。用戶端識別碼不能超過 256 個字元。
    授與類型

    選取以下一或多個授與類型。

    • 當用戶端類型為 [機密] 時,將顯示用戶端認證授與
    • 密碼授與。您可以為公用或機密用戶端類型選取 [密碼授與]。
    • 授權代碼授與。您可以為公用或機密用戶端類型選取 [授權代碼授與]。選取 [授權代碼授與] 時,會在 [授與類型] 下顯示 [重新導向 URI] 設定。選取 [授權代碼] 時,依預設將啟用 PKCE 支援設定。
    • 啟用發出重新整理權杖設定後,依預設,會啟用重新整理權杖授與
    重新導向 URI 針對 [授權代碼授與] 輸入所登錄的重新導向 URI。請使用 https://redirecturi.com 形式輸入。

    您可以使用以逗號分隔的清單來新增多個重新導向 URL。

    使用者授與 啟用提示使用者接受範圍
    範圍

    範圍用來定義權杖可以存取使用者帳戶的哪個部分。您可以選取的範圍包括:電子郵件設定檔使用者NAPPSOpenID群組管理員。選取一或多個身分識別範圍,以作為 OAuth 2.0 授權要求的一部分。選取管理員時,會顯示 [管理員角色] 設定。

    PKCE 支援

    當授與類型為授權代碼授與時,將啟用 [PKCE 支援] 核取方塊。如果用戶端類型為 [公用],則無法停用 PKCE 支援。如果用戶端類型為 [機密],您可以選取停用 PKCE 支援。

    管理員角色

    對於 [機密] 用戶端類型,可以在 [範圍] 中選取管理員設定,並在下拉式功能表中選取授與管理員的管理員角色。

    發出重新整理權杖

    若要允許返回重新整理權杖,請啟用此選項。

    重新整理權杖 TTL 設定重新整理權杖存留時間值。在重新整理權杖到期之前皆可要求新的存取權杖。請參閱 在 Workspace ONE Access 中管理 OAuth 2.0 用戶端
    存取權杖 TTL 存取權杖的到期時間取決於存取權杖 TTL 中所設定的秒數。如果啟用 [發出重新整理權杖],則當存取權杖到期時,應用程式將會使用重新整理權杖以要求新的存取權杖。
    閒置權杖 TTL 設定重新整理權杖在無法再次使用之前的閒置時間長度。
    權杖類型 對於 Workspace ONE Access,權杖類型為持有人
    使用者授與 提示使用者接受範圍已啟用。使用者會看到一則訊息,其中列出傳送範圍。
  3. 按一下儲存
    當用戶端類型為 [機密] 時,將重新整理用戶端頁面,並顯示用戶端識別碼和隱藏的共用密碼。
  4. 複製並儲存用戶端識別碼和產生的共用密碼。您可以在設定應用程式時,新增此資訊。

    用戶端密碼應保密。如果部署的應用程式無法保留密碼,請使用用戶端類型 [公用] 對其進行設定。

    備註: 不要儲存共用密碼。如果您遺失密碼,則必須產生新的密碼,並使用重新產生的密碼更新使用相同共用密碼的應用程式。

    若要重新產生密碼,請從 [OAuth 2.0 管理] 頁面,按一下需要新密碼的用戶端識別碼,然後按一下重新產生密碼

下一步

在資源應用程式中,設定用戶端識別碼和產生的共用密碼。請參閱應用程式說明文件。