使用身份源、 Amazon CLI 和的会话持续时间注意事项 Amazon SDKs

Amazon Managed Microsoft AD：如果您使用中 Amazon Managed Microsoft AD 配置的 Amazon Directory Service，则用户 Kerberos 票证的最长使用寿命固定为 10 小时。因此，用户交互会话持续时间设置为 IAM Identity Center 设置中较短的一个，即 10 小时。例如，如果您将用户交互会话持续时间设置为 12 小时，则您的用户必须在 10 小时后在 Amazon Web Services 访问门户中重新进行身份验证。同样的 10 小时限制也适用于 Kiro 的延长会话。

AD Con nector：如果您使用中配置的 AD Connector Amazon Directory Service，则用户 Kerberos 票证的最大使用寿命在 AD Connector 后面的 Microsoft AD 中定义。默认值为 10 小时，它对用户交互会话和延长会话的影响与实际效果相同 Amazon Managed Microsoft AD。尽管可以在 Microsoft AD 中配置此限制，但我们建议您与 IT 管理员一起考虑风险，尤其是因为此设置可能会影响其他 Microsoft AD 客户端应用程序的会话时长。

如果未在 SAML 断言中通过，SessionNotOnOrAfter则 Amazon Web Services 访问门户（用户交互）会话和扩展会话的持续时间不受外部 IdP 会话持续时间的影响。例如，如果您的 IdP 会话持续时间为 24 小时，并且您在 IAM Identity Center 中设置了 18 小时的会话时长，则您的用户必须在 18 小时后在 Amazon Web Services 访问门户中重新进行身份验证。同样，如果您为 Kiro 设置了 90 天的延长会话，则您的 Kiro 用户需要在 90 天后重新进行身份验证。

如果在 SAML 断言中传递，SessionNotOnOrAfter则会话持续时间值将设置为 Amazon Web Services 访问门户（用户交互）会话或延长的会话持续时间以及您的 SAML IdP 会话持续时间中较短的一个。如果您在 IAM Identity Center 中设置了 72 小时的会话时长，并且您的 IdP 的会话持续时间为 18 小时，则您的用户将可以在您的 IdP 中定义的 18 小时内访问 Amazon 资源。同样，如果您为 Kiro 设置了 90 天的延长会话，则您的 Kiro 用户需要在 18 小时后在 Kiro 中重新进行身份验证。

如果您 IdP 的会话持续时间长于 IAM Identity Center 中设置的持续时间，由于您 IdP 的登录会话仍然有效，用户无需重新输入凭证即可启动新的 IAM Identity Center 会话。

您必须在 IAM Identity Center 控制台中配置 Amazon Web Services 访问门户会话持续时间。

您必须在共享配置文件中为单点登录设置定义 Amazon 配置文件。此配置文件用于连接到 Amazon Web Services 访问门户。我们建议您使用 SSO 令牌提供程序配置。使用此配置，您的 Amazon SDK 或工具可以自动检索刷新的身份验证令牌。有关更多信息，请参阅Amazon SDK 和工具参考指南中的 SSO 令牌提供商配置。

用户必须运行支持会话管理的版本 Amazon CLI 或 SDK。

Amazon CLI V2 2.9 或更高版本

Amazon CLI V1 1.27.10 或更高版本