配置 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序的会话持续时间 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

配置 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序的会话持续时间

IAM Identity Center 管理员可以为与 IAM Identity Center 和 Amazon Web Services 访问门户 集成的应用程序配置会话持续时间。通过身份验证进入 Amazon Web Services 访问门户 和 IAM Identity Center 集成应用程序中的会话持续时间,是用户无需重新进行身份验证即可登录 IAM Identity Center 的最长时间。IAM Identity Center 管理员可以结束活跃的 Amazon Web Services 访问门户会话,这样也可以结束集成应用程序的会话。

默认会话持续时间为 8 小时。IAM Identity Center 管理员可以指定不同的持续时间,从最少 15 分钟到最长 90 天不等。有关身份验证会话持续时间和用户行为的更多信息,请参阅IAM Identity Center 中的身份验证

注意

修改 Amazon Web Services 访问门户会话持续时间和终止 Amazon Web Services 访问门户会话不会影响您在权限集中定义的 Amazon Web Services Management Console 会话持续时间。

以下主题提供了有关配置 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序的会话持续时间的信息。

先决条件和注意事项

以下是配置 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序的会话持续时间的先决条件和注意事项。

外部身份提供者

IAM Identity Center 使用 SAML 断言中的 SessionNotOnOrAfter 属性帮助确定会话在多长时间内有效。

  • 如果 SAML 断言中未传递 SessionNotOnOrAfter,则 Amazon Web Services 访问门户会话的持续时间不受外部 IdP 会话持续时间的影响。例如,如果您的 IdP 会话持续时间为 24 小时,并且您在 IAM Identity Center 中设置了 18 小时的会话持续时间,则您的用户必须在 18 小时后在 Amazon Web Services 访问门户中重新进行身份验证。

  • 如果在 SAML 断言中传递 SessionNotOnOrAfter,则会话持续时间值将设置为 Amazon Web Services 访问门户会话持续时间和 SAML IdP 会话持续时间中较短的那个。如果您在 IAM Identity Center 中设置了 72 小时的会话持续时间,并且 IdP 的会话持续时间为 18 小时,用户可以按 IdP 中定义的 18 小时有效期访问 Amazon 资源。

  • 如果您 IdP 的会话持续时间长于 IAM Identity Center 中设置的持续时间,由于您 IdP 的登录会话仍然有效,用户无需重新输入凭证即可启动新的 IAM Identity Center 会话。

Amazon CLI 和 SDK 会话

如果您使用 Amazon Command Line Interface、Amazon 软件开发工具包(SDK)或其他 Amazon 开发工具以编程方式访问 Amazon 服务,则必须满足以下先决条件,才能为 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序设置会话持续时间。

  • 您必须在 IAM Identity Center 控制台配置 Amazon Web Services 访问门户会话持续时间

  • 您必须在共享 Amazon 配置文件中为单点登录设置定义配置文件。此配置文件用于连接到 Amazon Web Services 访问门户。我们建议您使用 SSO 令牌提供程序配置。使用此配置,您的 Amazon SDK 或工具可以自动检索刷新的身份验证令牌。有关更多信息,请参阅 Amazon SDK 和工具参考指南中的 SSO 令牌提供商配置

  • 用户必须运行支持会话管理的 Amazon CLI 或 SDK 版本。

支持会话管理的 Amazon CLI 最低版本

以下是支持会话管理的 Amazon CLI 最低版本。

  • Amazon CLI V2 2.9 或更高版本

  • Amazon CLI V1 1.27.10 或更高版本

有关如何安装或更新 Amazon CLI 最新版本的信息,请参阅安装或更新 Amazon CLI 的最新版本

如果您的用户正在运行 Amazon CLI,而且您在 IAM Identity Center 会话即将到期之前刷新权限集,并且会话持续时间设置为 20 小时,而权限集持续时间设置为 12 小时,则 Amazon CLI 会话最长运行时间为 20 小时,再加上 12 小时总计为 32 小时。有关 IAM Identity Center CLI 的更多信息,请参阅 Amazon CLI 命令参考

支持 IAM Identity Center 会话管理的 SDK 最低版本

以下是支持 IAM Identity Center 会话管理的 SDK 最低版本。

SDK 最低版本
Python 1.26.10
PHP 3.245.0
Ruby aws-sdk-core 3.167.0
Java V2 适用于 Java v2 (2.18.13) 的 Amazon SDK
Go V2 整个 SDK:release-2022-11-11 和特定的 Go 模块:凭证/v1.13.0,配置/v1.18.0
JS V2 2.1253.0
JS V3 v3.210.0
C++ 1.9.372
.NET v3.7.400.0