Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Considerazioni sulla durata della sessione per l'utilizzo delle fonti di identità, della AWS CLI e AWS SDKs
Di seguito sono riportate alcune considerazioni per la configurazione della durata della sessione se si utilizza Microsoft Active Directory (AD) o un provider di identità esterno (IdP) come origine dell'identità, oppure i AWS Software Development Kit (SDKs) o altri strumenti di sviluppo per accedere ai servizi a livello di AWS programmazione. AWS Command Line Interface AWS
Microsoft Active Directory, sessioni interattive per gli utenti e sessioni estese per Kiro
Se utilizzi Microsoft Active Directory (AD) come origine dell'identità e configuri la durata della sessione per le sessioni interattive con l'utente o le sessioni estese per Kiro, tieni a mente le seguenti considerazioni.
Nota
Queste considerazioni non si applicano alle sessioni utente in background.
Indipendentemente dal fatto che si utilizzi AD AWS Managed Microsoft AD Connector o sia configurato in AWS Directory Service, la durata massima dei ticket utente Kerberos definita in Microsoft AD può influire sulla durata di validità delle sessioni interattive utente e delle sessioni estese per Kiro. Per ulteriori informazioni su questa impostazione, vedi Durata massima del ticket utente
-
AWS Managed Microsoft AD: Se si utilizza configure AWS Managed Microsoft AD in AWS Directory Service, la durata massima dei ticket utente Kerberos è fissata a 10 ore. Pertanto, la durata della sessione interattiva dell'utente è impostata sull'impostazione più breve tra quelle dell'impostazione IAM Identity Center e su 10 ore. Ad esempio, se imposti la durata della sessione interattiva dell'utente su 12 ore, gli utenti devono autenticarsi nuovamente nel portale di AWS accesso dopo 10 ore. Lo stesso limite di 10 ore si applica alle sessioni prolungate per Kiro.
-
AD Connector: se si utilizza AD Connector configurato in AWS Directory Service, la durata massima per i ticket Kerberos utente è definita in Microsoft AD dietro AD Connector. Il valore predefinito è 10 ore e ha lo stesso effetto sulle sessioni interattive degli utenti e sulle sessioni estese. AWS Managed Microsoft AD Sebbene questo limite possa essere configurabile in Microsoft AD, si consiglia di collaborare con l'amministratore IT per valutare i rischi, soprattutto perché questa impostazione può influire sulla durata della sessione per altre applicazioni client Microsoft AD.
Provider di identità esterni, sessioni interattive con gli utenti e sessioni estese per Kiro
Se utilizzi un provider di identità (IdP) esterno e configuri la durata della sessione per sessioni interattive utente o sessioni estese per Kiro, tieni a mente le seguenti considerazioni.
Nota
Queste considerazioni non si applicano alle sessioni utente in background.
IAM Identity Center utilizza gli SessionNotOnOrAfter attributi delle asserzioni SAML per determinare per quanto tempo la sessione può essere valida.
-
Se non
SessionNotOnOrAfterviene passato in un'asserzione SAML, la durata di una sessione del portale di AWS accesso (interattiva per l'utente) e di una sessione estesa non è influenzata dalla durata della sessione IdP esterna. Ad esempio, se la durata della sessione IdP è di 24 ore e imposti una durata della sessione di 18 ore in IAM Identity Center, gli utenti devono autenticarsi nuovamente nel portale di accesso dopo 18 ore. AWS Allo stesso modo, se imposti una sessione estesa di 90 giorni per Kiro, gli utenti Kiro devono autenticarsi nuovamente dopo 90 giorni. -
Se
SessionNotOnOrAfterviene passato in un'asserzione SAML, il valore della durata della sessione viene impostato sul valore più breve tra la sessione del portale di AWS accesso (interattiva per l'utente) o la durata della sessione estesa e la durata della sessione IdP SAML. Se imposti una durata della sessione di 72 ore in IAM Identity Center e il tuo IdP ha una durata della sessione di 18 ore, i tuoi utenti avranno accesso alle AWS risorse per le 18 ore definite nel tuo IdP. Allo stesso modo, se imposti una sessione estesa di 90 giorni per Kiro, gli utenti Kiro devono autenticarsi nuovamente in Kiro dopo 18 ore. -
Se la durata della sessione del tuo IdP è più lunga di quella impostata in IAM Identity Center, i tuoi utenti possono iniziare una nuova sessione di IAM Identity Center senza reinserire le proprie credenziali, in base alla sessione di accesso ancora valida con il tuo IdP.
AWS CLI e sessioni SDK
Se si utilizza la AWS CLI o altri strumenti di AWS sviluppo per accedere ai AWS servizi in modo programmatico, è necessario soddisfare i seguenti prerequisiti per impostare la durata della sessione per il portale di AWS accesso e le applicazioni gestite. AWS SDKs AWS
-
È necessario configurare la durata della sessione del portale di AWS accesso nella console IAM Identity Center.
-
È necessario definire un profilo per le impostazioni Single Sign-On nel file di AWS configurazione condiviso. Questo profilo viene utilizzato per connettersi al portale di accesso. AWS Si consiglia di utilizzare la configurazione del provider di token SSO. Con questa configurazione, l' AWS SDK o lo strumento possono recuperare automaticamente i token di autenticazione aggiornati. Per ulteriori informazioni, consulta la configurazione del provider di token SSO nella Guida di riferimento per AWS SDK e strumenti.
-
Gli utenti devono eseguire una versione AWS CLI o un SDK che supporti la gestione delle sessioni.
Versioni minime di AWS CLI che supportano la gestione delle sessioni
Di seguito sono riportate le versioni minime di quelle AWS CLI che supportano la gestione delle sessioni.
-
AWS CLI V2 2.9 o versione successiva
-
AWS CLI V1 1.27.10 o versione successiva
Nota
Per i casi d'uso di accesso all'account, se gli utenti utilizzano il set di autorizzazioni AWS CLI, se aggiorni il set di autorizzazioni appena prima della scadenza della sessione di IAM Identity Center e la durata della sessione è impostata su 20 ore mentre la durata del set di autorizzazioni è impostata su 12 ore, la AWS CLI sessione dura per un massimo di 20 ore più 12 ore per un totale di 32 ore. Per ulteriori informazioni sulla CLI di IAM Identity Center, consulta AWS CLI Command Reference.
Le versioni minime SDKs supportano la gestione delle sessioni di IAM Identity Center
Di seguito sono elencate le versioni minime SDKs che supportano la gestione delle sessioni di IAM Identity Center.
| SDK | Versione minima |
|---|---|
| Python | 1.26.10 |
| PHP | 3,245,0 |
| Ruby | aws-sdk-core 3,167,0 |
| Java V2 | AWS SDK per Java v2 (2.18.13) |
| Vai a V2 | SDK completo: release 2022-11-11 e moduli Go specifici: 1.18.0 credentials/v1.13.0, config/v |
| È V2 | 2,1253,0 |
| È V3 | v3.210.0 |
| C++ | 1,9,372 |
| .NET | v3.7.400.0 |
