本文為您介紹不同情境下,登入工作階段時間長度或臨時訪問憑證有效期間的限制因素及對應的調整方法。
RAM使用者登入
登入工作階段時間長度限制
RAM使用者通過使用者名稱和密碼登入的會話時間長度只受RAM使用者安全性原則中的登入工作階段的到期時間限制。
調整方式
通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定。
使用者SSO
登入工作階段時間長度限制
使用者SSO登入的會話時間長度只受RAM使用者安全性原則中的登入工作階段的到期時間限制。
調整方式
通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定。
基於SAML的角色SSO
控制台登入
登入工作階段時間長度限制
通過控制台進行角色SSO時,登入工作階段時間長度受以下配置限制:
SAML斷言中的
SessionDuration
屬性。更多資訊,請參見角色SSO的SAML響應。
SAML斷言中
AuthnStatement
元素的SessionNotOnOrAfter
屬性。更多資訊,請參見角色SSO的SAML響應。
RAM使用者安全性原則中的登入工作階段的到期時間。
更多資訊,請參見管理RAM使用者安全設定。
被扮演角色的最大會話時間。
更多資訊,請參見設定RAM角色最大會話時間。
最終的登入工作階段時間長度取以上配置的最小值。
調整方式
由於最終的登入工作階段時間長度是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:
調整SAML斷言中的
SessionDuration
屬性值。具體操作,取決於企業IdP配置,請參見各IdP的相關文檔。
調整SAML斷言中
AuthnStatement
元素的SessionNotOnOrAfter
屬性值。具體操作,取決於企業IdP配置,請參見各IdP的相關文檔。
調整RAM使用者安全性原則中的登入工作階段的到期時間。
通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定。
調整被扮演角色的最大會話時間。
通過控制台或API設定RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間。
程式訪問
臨時訪問憑證(STS Token)時間長度限制
通過調用AssumeRoleWithSAML擷取的STS Token的有效期間受到以下配置的限制:
SAML斷言中
AuthnStatement
元素的SessionNotOnOrAfter
屬性。更多資訊,請參見角色SSO的SAML響應。
被扮演角色的最大會話時間。
更多資訊,請參見設定RAM角色最大會話時間。
調用AssumeRoleWithSAML時指定的
DurationSeconds
。如果
DurationSeconds
為空白,則取預設值。更多資訊,請參見AssumeRoleWithSAML。
最終的STS Token有效期間取以上配置的最小值。
調整方式
由於最終的STS Token有效期間是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:
調整SAML斷言中
AuthnStatement
元素的SessionNotOnOrAfter
屬性值。具體操作,取決於企業IdP配置,請參見各IdP的相關文檔。
調整被扮演角色的最大會話時間。
通過控制台或API設定RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間。
調整調用AssumeRoleWithSAML時的
DurationSeconds
。具體操作,請參見AssumeRoleWithSAML。
基於OIDC的角色SSO
臨時訪問憑證(STS Token)時間長度限制
通過調用AssumeRoleWithOIDC介面擷取的STS Token的有效期間受到以下配置的限制:
被扮演角色的最大會話時間。
更多資訊,請參見設定RAM角色最大會話時間。
調用AssumeRoleWithOIDC時指定的
DurationSeconds
。如果
DurationSeconds
為空白,則取預設值。更多資訊,請參見AssumeRoleWithOIDC。
最終的STS Token有效期間取以上配置的最小值。
調整方式
由於最終的STS Token是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:
調整被扮演角色的最大會話時間。
通過控制台或API設定RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間。
調整調用AssumeRoleWithOIDC時的
DurationSeconds
。具體操作,請參見AssumeRoleWithOIDC。
RAM角色扮演
控制台切換身份
登入工作階段時間長度限制
在控制台上通過切換角色方式扮演RAM角色時,切換到RAM角色身份後,登入工作階段時間長度受以下配置的限制:
RAM使用者安全性原則中的登入工作階段的到期時間。
更多資訊,請參見管理RAM使用者安全設定。
被扮演角色的最大會話時間。
更多資訊,請參見設定RAM角色最大會話時間。
最終的登入工作階段時間長度取以上配置的最小值。
調整方式
由於最終的登入工作階段時間長度是上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:
調整RAM使用者安全性原則中的登入工作階段的到期時間。
通過控制台或API調整RAM使用者安全性原則中的登入工作階段的到期時間。具體操作,請參見管理RAM使用者安全設定。
調整被扮演角色的最大會話時間。
通過控制台或API設定RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間。
程式訪問
臨時訪問憑證(STS Token)時間長度限制
RAM使用者通過調用AssumeRole擷取的STS Token的有效期間受到以下配置的限制:
被扮演角色的最大會話時間。
更多資訊,請參見設定RAM角色最大會話時間。
調用AssumeRole時指定的
DurationSeconds
。如果
DurationSeconds
為空白,則取預設值。更多資訊,請參見AssumeRole。
最終的STS Token有效期間取以上配置的最小值。
調整方式
由於最終的STS Token有效期間取上述配置的最小值,因此,需要將各配置全部調整到大於等於目標時間長度。具體的調整方式如下:
調整被扮演角色的最大會話時間。
通過控制台或API設定RAM角色的最大會話時間。具體操作,請參見設定RAM角色最大會話時間。
調整調用AssumeRole時的
DurationSeconds
。具體操作,請參見AssumeRole。