本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序的会话持续时间
对 Amazon Web Services 访问门户 和 IAM Identity Center 集成应用程序进行身份验证的会话持续时间是用户无需重新进行身份验证即可登录的最大时长。默认会话持续时间为 8 小时。IAM 身份中心管理员可以指定不同的持续时间,从最少 15 分钟到最长 90 天不等。有关身份验证会话持续时间和用户行为的更多信息,请参阅身份验证。
以下主题提供有关配置 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序的会话持续时间的信息。
先决条件和注意事项
以下是为 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序配置会话持续时间的先决条件和注意事项。
外部身份提供者
IAM Identity Center 使用 SAML 断言中的SessionNotOnOrAfter属性来帮助确定会话的有效期。
-
如果
SessionNotOnOrAfter未在 SAML 断言中通过,则 Amazon Web Services 访问门户会话的持续时间不受外部 IdP 会话持续时间的影响。例如,如果您的 IdP 会话持续时间为 24 小时,并且您在 IAM Identity Center 中设置了 18 小时的会话时长,则您的用户必须在 18 小时后在 Amazon Web Services 访问门户中重新进行身份验证。 -
如果在 SAML 断言中传递,
SessionNotOnOrAfter则会话持续时间值将设置为 Amazon Web Services 访问门户会话持续时间和您的 SAML IdP 会话持续时间中较短的一个。如果您在 IAM Identity Center 中设置了 72 小时的会话时长,并且您的 IdP 的会话持续时间为 18 小时,则您的用户将可以在您的 IdP 中定义的 18 小时内访问 Amazon 资源。 -
如果您的 IdP 的会话持续时间长于 IAM Identity Center 中设置的会话,则根据他们与您的 IdP 的登录会话仍然有效,您的用户无需重新输入证书即可开始新的 IAM 身份中心会话。
注意
如果您使用 Active Directory 作为 IAM Identity Center 的身份源,则不支持会话管理。
Amazon CLI 和 SDK 会话
如果您使用 Amazon 软件开发套件 (SDK) 或其他 Amazon 开发工具以编程方式访问 Amazon 服务,则必须满足以下先决条件才能为 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序设置会话持续时间。 Amazon Command Line Interface
-
您必须在共享 Amazon 配置文件中为单点登录设置定义配置文件。此配置文件用于连接到 Amazon Web Services 访问门户。我们建议您使用 SSO 令牌提供程序配置。使用此配置,您的 Amazon SDK 或工具可以自动检索刷新的身份验证令牌。有关更多信息,请参阅Amazon SDK 和工具参考指南中的 SSO 令牌提供程序配置。
-
用户必须运行支持会话管理的版本 Amazon CLI 或 SDK。
支持会话管理的 Amazon CLI 最低版本
以下是支持会话管理的最低版本。 Amazon CLI
-
Amazon CLI V2 2.9 或更高版本
-
Amazon CLI V1 1.27.10 或更高版本
有关如何安装或更新最新 Amazon CLI 版本的信息,请参阅安装或更新最新版本的 Amazon CLI。
如果您的用户正在运行 Amazon CLI,则如果您在 IAM Identity Center 会话设置为到期之前刷新权限集,并且会话持续时间设置为 20 小时,而权限集持续时间设置为 12 小时,则 Amazon CLI 会话的最长运行时间为 20 小时加 12 小时,总计 32 小时。有关 IAM Identity Center CLI 的更多信息,请参阅 Amazon CLI 命令参考。
支持 IAM Identity Center 会话管理的 SDK 最低版本
以下是支持 IAM Identity Center 会话管理的 SDK 最低版本。
| SDK | 最低版本 |
|---|---|
| Python | 1.26.10 |
| PHP | 3.245.0 |
| Ruby | aws-sdk-core 3.167.0 |
| Java V2 | Amazon 适用于 Java 的 SDK v2 (2.18.13) |
| Go V2 | 整个 SDK:release-2022-11-11 和特定的 Go 模块:凭证/v1.13.0,配置/v1.18.0 |
| JS V2 | 2.1253.0 |
| JS V3 | v3.210.0 |
| C++ | 1.9.372 |
| .NET | v3.7.400.0 |
如何配置会话持续时间
使用以下步骤配置 Amazon Web Services 访问门户和 IAM Identity Center 集成应用程序的会话持续时间。
-
选择设置。
-
在设置页面上,选择身份验证选项卡。
-
在身份验证项下的会话设置旁边,选择配置。这时会出现一个配置会话设置对话框。
-
在配置会话设置对话框中,选择下拉箭头为您的用户选择最长会话持续时间(以分钟、小时和天为单位)。选择会话时长,然后选择保存。然后您会返回到设置页面。