Überlegungen zur Sitzungsdauer bei der Verwendung von Identitätsquellen, der AWS CLI und AWS SDKs - AWS IAM Identity Center
Microsoft Active Directory, interaktive Benutzersitzungen und erweiterte Sitzungen für KiroExterne Identitätsanbieter, interaktive Benutzersitzungen und erweiterte Sitzungen für KiroAWS CLI und SDK-Sitzungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überlegungen zur Sitzungsdauer bei der Verwendung von Identitätsquellen, der AWS CLI und AWS SDKs

Im Folgenden finden Sie Überlegungen zur Konfiguration der Sitzungsdauer, wenn Sie Microsoft Active Directory (AD) oder einen externen Identitätsanbieter (IdP) als Identitätsquelle oder die AWS Command Line Interface AWS Software Development Kits (SDKs) oder andere AWS Entwicklungstools für den programmgesteuerten Zugriff auf AWS Dienste verwenden.

Microsoft Active Directory, interaktive Benutzersitzungen und erweiterte Sitzungen für Kiro

Wenn Sie Microsoft Active Directory (AD) als Identitätsquelle verwenden und die Sitzungsdauer für benutzerinteraktive Sitzungen oder erweiterte Sitzungen für Kiro konfigurieren, sollten Sie die folgenden Überlegungen berücksichtigen.

Anmerkung

Diese Überlegungen gelten nicht für Benutzerhintergrundsitzungen.

Unabhängig davon, ob Sie AD Connector verwenden AWS Managed Microsoft AD oder in konfiguriert haben AWS Directory Service, kann die in Microsoft AD definierte maximale Gültigkeitsdauer für Benutzer-Kerberos-Tickets beeinflussen, wie lange interaktive Benutzersitzungen und erweiterte Sitzungen für Kiro gültig sind. Weitere Informationen zu dieser Einstellung finden Sie unter Maximale Gültigkeitsdauer für Benutzertickets auf der Microsoft-Website.

  • AWS Managed Microsoft AD: Wenn Sie „ AWS Managed Microsoft AD configured in“ verwenden AWS Directory Service, ist die maximale Gültigkeitsdauer für Benutzer-Kerberos-Tickets auf 10 Stunden festgelegt. Daher ist die Dauer der interaktiven Benutzersitzung auf 10 Stunden festgelegt, je nachdem, welcher der kürzere Wert der IAM Identity Center-Einstellung ist. Wenn Sie beispielsweise die Dauer der interaktiven Benutzersitzung auf 12 Stunden festlegen, müssen sich Ihre Benutzer nach 10 Stunden erneut im AWS Access Portal authentifizieren. Das gleiche 10-Stunden-Limit gilt für erweiterte Sitzungen für Kiro.

  • AD Connector: Wenn Sie den in konfigurierten AD Connector verwenden AWS Directory Service, wird die maximale Lebensdauer für Benutzer-Kerberos-Tickets in Microsoft AD hinter dem AD Connector definiert. Der Standardwert ist 10 Stunden und hat dieselbe Auswirkung auf interaktive Benutzersitzungen und erweiterte Sitzungen wie für. AWS Managed Microsoft AD Obwohl dieses Limit möglicherweise in Microsoft AD konfigurierbar ist, empfehlen wir, dass Sie mit Ihrem IT-Administrator zusammenarbeiten, um die Risiken abzuwägen, insbesondere weil sich diese Einstellung auf die Sitzungsdauer für andere Microsoft AD-Clientanwendungen auswirken kann.

Externe Identitätsanbieter, interaktive Benutzersitzungen und erweiterte Sitzungen für Kiro

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden und die Sitzungsdauer für benutzerinteraktive Sitzungen oder erweiterte Sitzungen für Kiro konfigurieren, sollten Sie die folgenden Überlegungen berücksichtigen.

Anmerkung

Diese Überlegungen gelten nicht für Benutzerhintergrundsitzungen.

IAM Identity Center verwendet SessionNotOnOrAfter Attribute aus SAML-Assertionen, um zu bestimmen, wie lange die Sitzung gültig sein kann.

  • Wenn keine SAML-Assertion übergeben SessionNotOnOrAfter wird, wird die Dauer einer AWS Access-Portal-Sitzung (benutzerinteraktiv) und einer erweiterten Sitzung nicht von der Dauer Ihrer externen IdP-Sitzung beeinflusst. Wenn Ihre IdP-Sitzung beispielsweise 24 Stunden dauert und Sie im IAM Identity Center eine Sitzungsdauer von 18 Stunden festlegen, müssen sich Ihre Benutzer nach 18 Stunden erneut im AWS Zugriffsportal authentifizieren. Wenn Sie eine erweiterte Sitzung von 90 Tagen für Kiro einrichten, müssen sich Ihre Kiro-Benutzer ebenfalls nach 90 Tagen erneut authentifizieren.

  • Wenn eine SAML-Assertion übergeben SessionNotOnOrAfter wird, wird der Wert für die Sitzungsdauer auf den kürzeren Wert der AWS Access-Portal-Sitzung (benutzerinteraktiv) oder die erweiterte Sitzungsdauer und Ihre SAML-IdP-Sitzungsdauer gesetzt. Wenn Sie in IAM Identity Center eine Sitzungsdauer von 72 Stunden festlegen und Ihr IdP eine Sitzungsdauer von 18 Stunden hat, haben Ihre Benutzer für die in Ihrem IdP definierten 18 Stunden Zugriff auf AWS Ressourcen. Wenn Sie eine erweiterte Sitzung von 90 Tagen für Kiro einrichten, müssen sich Ihre Kiro-Benutzer ebenfalls nach 18 Stunden erneut in Kiro authentifizieren.

  • Wenn die Sitzungsdauer Ihres IdP länger ist als die in IAM Identity Center festgelegte, können Ihre Benutzer eine neue IAM Identity Center-Sitzung starten, ohne ihre Anmeldeinformationen erneut eingeben zu müssen, basierend auf ihrer noch gültigen Anmeldesitzung mit Ihrem IdP.

AWS CLI und SDK-Sitzungen

Wenn Sie die AWS CLI oder andere AWS Entwicklungstools verwenden AWS SDKs, um programmgesteuert auf AWS Dienste zuzugreifen, müssen die folgenden Voraussetzungen erfüllt sein, um die Sitzungsdauer für das AWS Zugriffsportal und die AWS verwalteten Anwendungen festzulegen.

  • Sie müssen die Sitzungsdauer des AWS Zugriffsportals in der IAM Identity Center-Konsole konfigurieren.

  • Sie müssen in Ihrer gemeinsam genutzten AWS Konfigurationsdatei ein Profil für Single Sign-On-Einstellungen definieren. Dieses Profil wird verwendet, um eine Verbindung zum AWS Zugriffsportal herzustellen. Wir empfehlen, die Konfiguration des SSO-Token-Anbieters zu verwenden. Mit dieser Konfiguration kann Ihr AWS SDK oder Tool automatisch aktualisierte Authentifizierungstoken abrufen. Weitere Informationen finden Sie unter Konfiguration des SSO-Token-Anbieters im AWS SDK- und Tools-Referenzhandbuch.

  • Benutzer müssen eine Version des AWS CLI oder eines SDK ausführen, das die Sitzungsverwaltung unterstützt.

Mindestversionen von AWS CLI , die die Sitzungsverwaltung unterstützen

Im Folgenden sind die Mindestversionen von aufgeführt AWS CLI , die die Sitzungsverwaltung unterstützen.

  • AWS CLI V2 2.9 oder höher

  • AWS CLI V1 1.27.10 oder später

Anmerkung

Für Anwendungsfälle beim Kontozugriff gilt: Wenn Ihre Benutzer das ausführen AWS CLI, wenn Sie Ihren Berechtigungssatz aktualisieren, kurz bevor die IAM Identity Center-Sitzung abläuft und die Sitzungsdauer auf 20 Stunden festgelegt ist, während die Dauer des Berechtigungssatzes auf 12 Stunden festgelegt ist, läuft die AWS CLI Sitzung maximal 20 Stunden plus 12 Stunden, also insgesamt 32 Stunden. Weitere Informationen zur IAM Identity Center CLI finden Sie unter AWS CLI Befehlsreferenz.

Mindestversionen davon unterstützen SDKs die IAM Identity Center-Sitzungsverwaltung

Im Folgenden finden Sie die Mindestversionen von SDKs , die die IAM Identity Center-Sitzungsverwaltung unterstützen.

SDK Mindestversion
Python 1.26.10
PHP 3,245,0
Ruby aws-sdk-core 3,167,0
Java V2 AWS SDK for Java v2 (2.18.13)
Gehe zu V2 Gesamtes SDK: Release-2022-11-11 und spezifische Go-Module: 1.18.0 credentials/v1.13.0, config/v
JS V2 2.1253.0
JS V3 v3.210.0
C++ 1.9.372
.NET v3.7.400.0