Considérations relatives à la durée de session pour l'utilisation des sources d'identité, de la AWS CLI et AWS SDKs - AWS IAM Identity Center
Microsoft Active Directory, sessions interactives avec les utilisateurs et sessions étendues pour KiroFournisseurs d'identité externes, sessions interactives pour les utilisateurs et sessions étendues pour KiroAWS CLI et sessions du SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives à la durée de session pour l'utilisation des sources d'identité, de la AWS CLI et AWS SDKs

Vous trouverez ci-dessous des considérations relatives à la configuration de la durée de session si vous utilisez Microsoft Active Directory (AD) ou un fournisseur d'identité externe (IdP) comme source d'identité, ou si vous utilisez des AWS Command Line Interface kits de développement AWS logiciel (SDKs) ou d'autres outils de AWS développement pour accéder aux AWS services par programmation.

Microsoft Active Directory, sessions interactives avec les utilisateurs et sessions étendues pour Kiro

Si vous utilisez Microsoft Active Directory (AD) comme source d'identité et que vous configurez la durée de session pour les sessions interactives des utilisateurs ou les sessions étendues pour Kiro, tenez compte des considérations suivantes.

Note

Ces considérations ne s'appliquent pas aux sessions d'arrière-plan des utilisateurs.

Que vous utilisiez AWS Managed Microsoft AD ou configuriez AD Connector AWS Directory Service, la durée de vie maximale des tickets Kerberos définis dans Microsoft AD peut affecter la durée de validité des sessions interactives utilisateur et des sessions étendues pour Kiro. Pour plus d'informations sur ce paramètre, consultez la section Durée de vie maximale du ticket utilisateur sur le site Web de Microsoft.

  • AWS Managed Microsoft AD: Si vous utilisez AWS Managed Microsoft AD Configuré dans AWS Directory Service, la durée de vie maximale des tickets Kerberos des utilisateurs est fixée à 10 heures. Par conséquent, la durée de la session interactive de l'utilisateur est définie sur la plus courte des valeurs suivantes : le paramètre IAM Identity Center et 10 heures. Par exemple, si vous définissez la durée de la session interactive des utilisateurs sur 12 heures, vos utilisateurs doivent s'authentifier à nouveau dans le portail d' AWS accès au bout de 10 heures. La même limite de 10 heures s'applique aux sessions prolongées pour Kiro.

  • AD Connector : si vous utilisez AD Connector configuré dans AWS Directory Service, la durée de vie maximale des tickets Kerberos utilisateur est définie dans Microsoft AD derrière l'AD Connector. La valeur par défaut est de 10 heures, et elle a le même effet sur les sessions interactives des utilisateurs et les sessions prolongées que pour AWS Managed Microsoft AD. Bien que cette limite puisse être configurable dans Microsoft AD, nous vous recommandons de consulter votre administrateur informatique pour prendre en compte les risques, notamment parce que ce paramètre peut affecter la durée de session pour d'autres applications clientes Microsoft AD.

Fournisseurs d'identité externes, sessions interactives pour les utilisateurs et sessions étendues pour Kiro

Si vous utilisez un fournisseur d'identité (IdP) externe et que vous configurez la durée de session pour les sessions interactives des utilisateurs ou les sessions étendues pour Kiro, tenez compte des considérations suivantes.

Note

Ces considérations ne s'appliquent pas aux sessions d'arrière-plan des utilisateurs.

IAM Identity Center utilise les SessionNotOnOrAfter attributs des assertions SAML pour déterminer la durée de validité de la session.

  • Si SessionNotOnOrAfter aucune assertion SAML n'est transmise, la durée d'une session de portail d' AWS accès (interactive utilisateur) et d'une session prolongée n'est pas affectée par la durée de votre session IdP externe. Par exemple, si la durée de votre session IdP est de 24 heures et que vous définissez une durée de session de 18 heures dans IAM Identity Center, vos utilisateurs doivent s'authentifier à nouveau sur le portail d'accès au AWS bout de 18 heures. De même, si vous définissez une session prolongée de 90 jours pour Kiro, vos utilisateurs de Kiro doivent se réauthentifier après 90 jours.

  • Si une assertion SAML SessionNotOnOrAfter est transmise, la valeur de durée de session est définie sur la durée la plus courte entre la session du portail d' AWS accès (interaction utilisateur) ou la durée de session prolongée et la durée de votre session IDP SAML. Si vous définissez une durée de session de 72 heures dans IAM Identity Center et que votre IdP a une durée de session de 18 heures, vos utilisateurs auront accès aux AWS ressources pendant les 18 heures définies dans votre IdP. De même, si vous définissez une session prolongée de 90 jours pour Kiro, vos utilisateurs de Kiro doivent se réauthentifier dans Kiro au bout de 18 heures.

  • Si la durée de session de votre IdP est plus longue que celle définie dans IAM Identity Center, vos utilisateurs peuvent démarrer une nouvelle session IAM Identity Center sans avoir à saisir à nouveau leurs informations d'identification, sur la base de leur session de connexion toujours valide avec votre IdP.

AWS CLI et sessions du SDK

Si vous utilisez la AWS CLI ou d'autres outils de AWS développement pour accéder aux AWS services par programmation, les conditions préalables suivantes doivent être remplies pour définir la durée de session pour le portail d' AWS accès et les AWS applications gérées. AWS SDKs

  • Vous devez configurer la durée de session du portail d' AWS accès dans la console IAM Identity Center.

  • Vous devez définir un profil pour les paramètres d'authentification unique dans votre fichier de AWS configuration partagé. Ce profil est utilisé pour se connecter au portail AWS d'accès. Nous vous recommandons d'utiliser la configuration du fournisseur de jetons SSO. Avec cette configuration, votre AWS SDK ou outil peut récupérer automatiquement des jetons d'authentification actualisés. Pour plus d'informations, consultez la section Configuration du fournisseur de jetons SSO dans le Guide de référence du AWS SDK et des outils.

  • Les utilisateurs doivent exécuter une version du AWS CLI ou un SDK qui prend en charge la gestion des sessions.

Versions minimales du AWS CLI qui prennent en charge la gestion des sessions

Vous trouverez ci-dessous les versions minimales AWS CLI qui prennent en charge la gestion des sessions.

  • AWS CLI V2 2.9 ou version ultérieure

  • AWS CLI V1 1.27.10 ou version ultérieure

Note

Pour les cas d'utilisation de l'accès au compte, si vos utilisateurs exécutent le AWS CLI, si vous actualisez votre ensemble d'autorisations juste avant l'expiration de la session IAM Identity Center et que la durée de la session est fixée à 20 heures alors que la durée de l'ensemble d'autorisations est fixée à 12 heures, la AWS CLI session dure au maximum 20 heures plus 12 heures pour un total de 32 heures. Pour plus d'informations sur la CLI IAM Identity Center, consultez la section AWS CLI Command Reference.

Les versions minimales de SDKs celui-ci prennent en charge la gestion des sessions IAM Identity Center

Vous trouverez ci-dessous les versions minimales SDKs qui prennent en charge la gestion des sessions IAM Identity Center.

Kit SDK Version minimale
Python 1,26,10
PHP 3,245,0
Ruby aws-sdk-core 3,167,0
Java V2 AWS SDK pour Java v2 (2.18.13)
Go V2 SDK complet : version 011-11 et modules Go spécifiques : 1.18.0 credentials/v1.13.0, config/v
JS V2 2,1253,0
JS V3 version 3.210.0
C++ 1,9,372
.NET v3.7.400.0