若要在 Workspace ONE Access 服務中登錄單一應用程式,以允許使用者存取該應用程式,請建立使用者存取權杖用戶端。
Workspace ONE Access 會使用 OAuth 2.0,讓應用程式能夠登錄在 Workspace ONE Access 中,且會建立一個委派的安全存取權,以便能存取 Hub 目錄中啟用的應用程式。OAuth 用戶端是透過存取權杖進行授權。
您可以建立並更新兩種類型的 OAuth 2 用戶端:公用用戶端和機密用戶端。
公用用戶端 (如本機和單一頁面應用程式) 在無法維護用戶端密碼機密性的環境中執行。當用戶端類型為 [公用] 時,您可以選取 [密碼授與] 或 [授權代碼授與] 的授與類型。
為用戶端類型 [公用] 選取 [授權代碼] 時,將強制實施 PKCE (代碼交換的證明金鑰) 支援,並且無法移除。PKCE 延伸通訊協定有助於防止授權代碼攔截攻擊。公用用戶端的範圍選項僅限於以使用者為基礎的範圍。不能為公用用戶端的範圍選項設定特殊權限範圍,如管理員。
機密用戶端是可以透過授權伺服器安全進行驗證的應用程式。其用戶端識別碼和密碼是安全的。如果為用戶端類型 [機密] 選擇了 [授權代碼授與] 類型,則依預設將啟用 PKCE 選項。您可以移除機密用戶端的 PKCE 選項。
程序
- 在 Workspace ONE Access 主控台的頁面中,按一下新增用戶端。
- 在新增用戶端頁面中,設定以下項目。
| 標籤 |
說明 |
| 存取類型 |
選項是建立「使用者存取權杖」或「服務用戶端權杖」。選取使用者存取權杖。 |
| 用戶端類型 |
公用或機密 當應用程式在無法對用戶端密碼進行保密的環境中執行時,請選取公用。 當應用程式可以安全地透過授權伺服器進行驗證時,請選取機密。當用戶端類型為 [機密] 時,將重新整理用戶端頁面,並顯示用戶端識別碼和隱藏的共用密碼。 |
| 用戶端識別碼 |
如果選取機密時,則需輸入應用程式的唯一用戶端識別碼。用戶端識別碼用來對 Workspace ONE Access 進行驗證。用戶端識別碼不得與您承租人中的任何用戶端識別碼相符。可使用的字元如下:英數字元 (A-Z、a-z、0-9)、句點 (.)、底線 (_)、連字號 (-) 和 @ 記號。用戶端識別碼不能超過 256 個字元。 |
| 授與類型 |
選取以下一或多個授與類型。
- 當用戶端類型為 [機密] 時,將顯示用戶端認證授與。
- 密碼授與。您可以為公用或機密用戶端類型選取 [密碼授與]。
- 授權代碼授與。您可以為公用或機密用戶端類型選取 [授權代碼授與]。選取 [授權代碼授與] 時,會在 [授與類型] 下顯示 [重新導向 URI] 設定。選取 [授權代碼] 時,依預設將啟用 PKCE 支援設定。
- 啟用發出重新整理權杖設定後,依預設,會啟用重新整理權杖授與。
|
| 重新導向 URI |
針對 [授權代碼授與] 輸入所登錄的重新導向 URI。請使用 https://redirecturi.com 形式輸入。 您可以使用以逗號分隔的清單來新增多個重新導向 URL。 |
| 使用者授與 |
啟用提示使用者接受範圍。 |
| 範圍 |
範圍用來定義權杖可以存取使用者帳戶的哪個部分。您可以選取的範圍包括:電子郵件、設定檔、使用者、NAPPS、OpenID、群組和管理員。選取一或多個身分識別範圍,以作為 OAuth 2.0 授權要求的一部分。選取管理員時,會顯示 [管理員角色] 設定。 |
| PKCE 支援 |
當授與類型為授權代碼授與時,將啟用 [PKCE 支援] 核取方塊。如果用戶端類型為 [公用],則無法停用 PKCE 支援。如果用戶端類型為 [機密],您可以選取停用 PKCE 支援。 |
| 管理員角色 |
對於 [機密] 用戶端類型,可以在 [範圍] 中選取管理員設定,並在下拉式功能表中選取授與管理員的管理員角色。 |
| 發出重新整理權杖 |
若要允許返回重新整理權杖,請啟用此選項。 |
| 重新整理權杖 TTL |
設定重新整理權杖存留時間值。在重新整理權杖到期之前皆可要求新的存取權杖。請參閱 在 Workspace ONE Access 中管理 OAuth 2.0 用戶端。 |
| 存取權杖 TTL |
存取權杖的到期時間取決於存取權杖 TTL 中所設定的秒數。如果啟用 [發出重新整理權杖],則當存取權杖到期時,應用程式將會使用重新整理權杖以要求新的存取權杖。 |
| 閒置權杖 TTL |
設定重新整理權杖在無法再次使用之前的閒置時間長度。 |
| 權杖類型 |
對於 Workspace ONE Access,權杖類型為持有人。 |
| 使用者授與 |
提示使用者接受範圍已啟用。使用者會看到一則訊息,其中列出傳送範圍。 |
- 按一下儲存。
當用戶端類型為 [機密] 時,將重新整理用戶端頁面,並顯示用戶端識別碼和隱藏的共用密碼。
- 複製並儲存用戶端識別碼和產生的共用密碼。您可以在設定應用程式時,新增此資訊。
用戶端密碼應保密。如果部署的應用程式無法保留密碼,請使用用戶端類型 [公用] 對其進行設定。
備註: 不要儲存共用密碼。如果您遺失密碼,則必須產生新的密碼,並使用重新產生的密碼更新使用相同共用密碼的應用程式。
若要重新產生密碼,請從 [OAuth 2.0 管理] 頁面,按一下需要新密碼的用戶端識別碼,然後按一下重新產生密碼。
下一步
在資源應用程式中,設定用戶端識別碼和產生的共用密碼。請參閱應用程式說明文件。
