使用身分來源、CLI 和 SDK AWS 的工作階段持續時間考量 AWS SDKs

AWS Managed Microsoft AD：如果您在 中使用 AWS Managed Microsoft AD 設定 AWS Directory Service，使用者 Kerberos 票證的生命週期上限固定為 10 小時。因此，使用者互動式工作階段持續時間設定為較短的 IAM Identity Center 設定和 10 小時。例如，如果您將使用者互動式工作階段持續時間設定為 12 小時，您的使用者必須在 10 小時後在 AWS 存取入口網站中重新驗證身分。相同的 10 小時限制適用於 Kiro 的延伸工作階段。

AD Connector：如果您使用在 中設定的 AD Connector AWS Directory Service，使用者 Kerberos 票證的最長生命週期會在 AD Connector 後方的 Microsoft AD 中定義。預設值為 10 小時，且對使用者互動式工作階段和延伸工作階段的影響與 相同 AWS Managed Microsoft AD。雖然此限制可能可在 Microsoft AD 中設定，但我們建議您與 IT 管理員合作考慮風險，尤其是因為此設定可能會影響其他 Microsoft AD 用戶端應用程式的工作階段持續時間。

如果 SessionNotOnOrAfter 未在 SAML 聲明中傳遞，則 AWS 存取入口網站 （使用者互動式） 工作階段的持續時間和延伸工作階段不受外部 IdP 工作階段的持續時間影響。例如，如果您的 IdP 工作階段持續時間為 24 小時，而且您在 IAM Identity Center 中設定了 18 小時的工作階段持續時間，您的使用者必須在 18 小時後在 AWS 存取入口網站中重新驗證。同樣地，如果您為 Kiro 設定 90 天的延長工作階段，您的 Kiro 使用者需要在 90 天後重新驗證。

如果SessionNotOnOrAfter傳入 SAML 聲明，工作階段持續時間值會設定為較短的 AWS 存取入口網站 （使用者互動式） 工作階段或延長工作階段持續時間和您的 SAML IdP 工作階段持續時間。如果您在 IAM Identity Center 中設定 72 小時的工作階段持續時間，且 IdP 的工作階段持續時間為 18 小時，您的使用者將有權存取 IdP 中定義的 18 小時 AWS 的資源。同樣地，如果您為 Kiro 設定 90 天的延長工作階段，您的 Kiro 使用者需要在 18 小時後在 Kiro 中重新驗證身分。

如果 IdP 的工作階段持續時間超過 IAM Identity Center 中設定的工作階段持續時間，您的使用者可以啟動新的 IAM Identity Center 工作階段，而無需根據其使用 IdP 的仍然有效登入工作階段重新輸入其憑證。

您必須在 IAM Identity Center 主控台中設定 AWS 存取入口網站工作階段持續時間。

您必須為共用 AWS 組態檔案中的單一登入設定定義設定檔。此設定檔用於連線至 AWS 存取入口網站。我們建議您使用 SSO 權杖提供者組態。使用此組態，您的 AWS SDK 或工具可以自動擷取重新整理的身分驗證字符。如需詳細資訊，請參閱 AWS SDK 和工具參考指南中的 SSO 權杖提供者組態。

使用者必須執行支援工作階段管理的 AWS CLI 或 SDK 版本。

AWS CLI V2 2.9 或更新版本

AWS CLI V1 1.27.10 或更新版本