本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
身份验证
用户使用其用户名登录 Amazon Web Services 访问门户。用户执行此操作时,IAM Identity Center 会根据与用户电子邮件地址关联的目录将请求重定向到 IAM Identity Center 身份验证服务。经过身份验证后,用户可以单点登录访问门户中显示的任何 Amazon 账户和第三方 software-as-a-service (SaaS) 应用程序,而无需其他登录提示。这意味着用户不再需要跟踪他们每天使用的各种已分配 Amazon 应用程序的多个账户凭证。
身份验证会话
IAM 身份中心维护的身份验证会话有两种类型:一种代表用户登录 IAM 身份中心,另一种代表用户对 Amazon 托管应用程序(例如 Amazon SageMaker Studio 或 Amazon Managed Grafana)的访问权限。用户每次登录 IAM Identity Center 时,都会创建一个登录会话,持续时间为 IAM Identity Center 中配置的持续时间,最长可达 90 天。有关更多信息,请参阅管理 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序的会话时长。用户每次访问应用程序时,都会使用 IAM Identity Center 登录会话来获取该应用程序的 IAM Identity Center 应用程序会话。IAM Identity Center 应用程序会话的生命周期为 1 小时,也就是说,只要获得这些会话的 IAM Identity Center 登录会话仍然有效,IAM Identity Center 应用程序会话就会每小时自动刷新一次。当用户使用 IAM 身份中心访问 Amazon Web Services Management Console 或 CLI 时,将使用 IAM 身份中心登录会话来获取 IAM 会话,如相应的 IAM 身份中心权限集所述(更具体地说,IAM 身份中心在目标账户中担任 IAM 角色,由 IAM 身份中心管理)。
当您在 IAM Identity Center 中禁用或删除用户时,将立即阻止该用户登录以创建新的 IAM Identity Center 登录会话。IAM Identity Center 登录会话会被缓存一小时,这意味着,当您在用户的 IAM Identity Center 登录会话处于活动状态时禁用或删除该用户时,他们现有的 IAM Identity Center 登录会话将持续长达一个小时,具体取决于上次刷新登录会话的时间。在此期间,用户可以启动新的 IAM Identity Center 应用程序和 IAM 角色会话。
IAM Identity Center 登录会话到期后,用户无法再启动新的 IAM Identity Center 应用程序或 IAM 角色会话。但是,IAM Identity Center 应用程序会话也可以缓存长达一个小时,这样,在 IAM Identity Center 登录会话到期后,用户可以将应用程序的访问权限保留长达一个小时。任何现有的 IAM 角色会话都将根据在 IAM Identity Center 权限集中配置的持续时间继续进行(管理员可配置,最长 12 小时)。
下表总结了这些行为:
| 用户体验/系统行为 | 用户被禁用/删除后的时间 |
|---|---|
| 用户无法再登录 IAM Identity Center;用户无法获得新的 IAM Identity Center 登录会话 | 无(立即生效) |
| 用户无法再通过 IAM Identity Center 启动新的应用程序或 IAM 角色会话 | 最长 1 小时 |
| 用户无法再访问任何应用程序(所有应用程序会话都已终止) | 最长 2 小时(IAM Identity Center 登录会话到期时间最长 1 小时,加上 IAM Identity Center 应用程序会话到期时间最长 1 小时) |
| 用户无法再 Amazon Web Services 账户 通过 IAM 身份中心访问任何内容 | 最长 13 小时(根据权限集的 IAM Identity Center 会话持续时间设置,IAM Identity Center 登录会话到期时间最长 1 小时,管理员配置的 IAM 角色会话到期时间最长 12 小时) |
有关会话的更多信息,请参阅设置会话持续时间。