本文為您介紹不同情境下,登入工作階段時間長度和臨時訪問憑證(STS Token)有效期間的限制因素及對應的調整方法。
RAM使用者登入
限制因素
RAM使用者通過使用者名稱和密碼登入的會話時間長度只受RAM使用者安全性原則中的登入工作階段的到期時間限制。
調整方式
控制台:調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定。
API:調用SetSecurityPreference時設定LoginSessionDuration參數。
使用者SSO
限制因素
使用者SSO登入的會話時間長度只受RAM使用者安全性原則中的登入工作階段的到期時間限制。
調整方式
控制台:調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定。
API:調用SetSecurityPreference時設定LoginSessionDuration參數。
角色SSO
基於SAML的角色SSO
控制台登入
限制因素
通過控制台進行角色SSO時,登入工作階段時間長度受以下因素的限制:
SAML斷言中的
SessionDuration屬性。更多資訊,請參見角色SSO的SAML響應。
SAML斷言中
AuthnStatement元素的SessionNotOnOrAfter屬性。更多資訊,請參見角色SSO的SAML響應。
RAM使用者安全性原則中的登入工作階段的到期時間。
更多資訊,請參見管理RAM使用者安全設定。
被扮演角色的最大會話時間。
更多資訊,請參見設定RAM角色最大會話時間。
最終的登入工作階段時間長度取以上配置的最小值。
調整方式
由於最終的登入工作階段時間長度是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:
調整SAML斷言中的
SessionDuration屬性值。具體操作,取決於企業IdP配置,請參見各IdP的相關文檔。
調整SAML斷言中
AuthnStatement元素的SessionNotOnOrAfter屬性值。具體操作,取決於企業IdP配置,請參見各IdP的相關文檔。
調整RAM使用者安全性原則中的登入工作階段的到期時間。
控制台:調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定。
API:調用SetSecurityPreference時設定LoginSessionDuration參數。
調整被扮演角色的最大會話時間。
控制台:調整RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間。
API:調用CreateRole時設定MaxSessionDuration參數或調用UpdateRole時設定NewMaxSessionDuration參數。
程式訪問
限制因素
通過調用AssumeRoleWithSAML時擷取的STS Token的有效期間受到以下因素的限制:
SAML斷言中
AuthnStatement元素的SessionNotOnOrAfter屬性。更多資訊,請參見角色SSO的SAML響應。
被扮演角色的最大會話時間。
更多資訊,請參見設定RAM角色最大會話時間。
調用AssumeRoleWithSAML時指定的DurationSeconds。
如果DurationSeconds為空白,則取預設值。
最終的STS Token有效期間取以上配置的最小值。
調整方式
由於最終的STS Token有效期間是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:
調整SAML斷言中
AuthnStatement元素的SessionNotOnOrAfter屬性值。具體操作,取決於企業IdP配置,請參見各IdP的相關文檔。
調整被扮演角色的最大會話時間。
控制台:調整RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間。
API:調用CreateRole時設定MaxSessionDuration參數或調用UpdateRole時設定NewMaxSessionDuration參數。
調用AssumeRoleWithSAML時設定DurationSeconds參數。
基於OIDC的角色SSO
限制因素
通過調用AssumeRoleWithOIDC時擷取的STS Token的有效期間受到以下因素的限制:
被扮演角色的最大會話時間。
更多資訊,請參見設定RAM角色最大會話時間。
調用AssumeRoleWithOIDC時指定的DurationSeconds。
如果DurationSeconds為空白,則取預設值。
最終的STS Token有效期間取以上配置的最小值。
調整方式
由於最終的STS Token是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:
調整被扮演角色的最大會話時間。
控制台:調整RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間。
API:調用CreateRole時設定MaxSessionDuration參數或調用UpdateRole時設定NewMaxSessionDuration參數。
調用AssumeRoleWithOIDC時設定DurationSeconds參數。
RAM角色扮演
控制台切換身份
限制因素
在控制台上通過切換角色方式扮演RAM角色時,切換到RAM角色身份後,登入工作階段時間長度受以下因素的限制:
RAM使用者安全性原則中的登入工作階段的到期時間。
更多資訊,請參見管理RAM使用者安全設定。
被扮演角色的最大會話時間。
更多資訊,請參見設定RAM角色最大會話時間。
最終的登入工作階段時間長度取以上配置的最小值。
調整方式
由於最終的登入工作階段時間長度是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:
調整RAM使用者安全性原則中的登入工作階段的到期時間。
控制台:調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定。
API:調用SetSecurityPreference時設定LoginSessionDuration參數。
調整被扮演角色的最大會話時間。
控制台:調整RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間。
API:調用CreateRole時設定MaxSessionDuration參數或調用UpdateRole時設定NewMaxSessionDuration參數。
程式訪問
限制因素
RAM使用者通過調用AssumeRole擷取的STS Token的有效期間受到以下因素的限制:
被扮演角色的最大會話時間。
更多資訊,請參見設定RAM角色最大會話時間。
調用AssumeRole時指定的DurationSeconds。
如果DurationSeconds為空白,則取預設值。
最終的STS Token有效期間取以上配置的最小值。
調整方式
由於最終的STS Token有效期間取上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:
調整被扮演角色的最大會話時間。
控制台:調整RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間。
API:調用CreateRole時設定MaxSessionDuration參數或調用UpdateRole時設定NewMaxSessionDuration參數。
調用AssumeRole時設定DurationSeconds。
相關文檔
關於RAM使用者、RAM角色、使用者SSO、角色SSO等的概念,請參見基本概念。