本文为您介绍不同场景下,登录会话时长或临时访问凭证有效期的限制因素及对应的调整方法。
RAM用户登录
- 登录会话时长限制
RAM用户通过用户名和密码、钉钉扫码登录的会话时长只受RAM用户安全策略中的登录会话的过期时间限制。
- 调整方式
通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见设置RAM用户安全策略。
用户SSO
- 登录会话时长限制
用户SSO登录的会话时长只受RAM用户安全策略中的登录会话的过期时间限制。
- 调整方式
通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见设置RAM用户安全策略。
基于SAML的角色SSO
控制台登录
- 登录会话时长限制
通过控制台进行角色SSO时,登录会话时长受以下配置限制:
- SAML断言中的
SessionDuration属性。更多信息,请参见角色SSO的SAML响应。
- SAML断言中
AuthnStatement元素的SessionNotOnOrAfter属性。更多信息,请参见角色SSO的SAML响应。
- RAM用户安全策略中的登录会话的过期时间。
更多信息,请参见设置RAM用户安全策略。
- 被扮演角色的最大会话时间。
更多信息,请参见设置角色最大会话时间。
最终的登录会话时长取以上配置的最小值。
- SAML断言中的
- 调整方式
由于最终的登录会话时长是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:
- 调整SAML断言中的
SessionDuration属性值。具体操作,取决于企业IdP配置,请参见各IdP的相关文档。
- 调整SAML断言中
AuthnStatement元素的SessionNotOnOrAfter属性值。具体操作,取决于企业IdP配置,请参见各IdP的相关文档。
- 调整RAM用户安全策略中的登录会话的过期时间。
通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见设置RAM用户安全策略。
- 调整被扮演角色的最大会话时间。
通过控制台或API设置RAM角色的最大会话时间。具体操作,请参见设置角色最大会话时间。
- 调整SAML断言中的
程序访问
- 临时访问凭证(STS Token)时长限制
通过调用AssumeRoleWithSAML获取的STS Token的有效期受到以下配置的限制:
- SAML断言中
AuthnStatement元素的SessionNotOnOrAfter属性。更多信息,请参见角色SSO的SAML响应。
- 被扮演角色的最大会话时间。
更多信息,请参见设置角色最大会话时间。
- AssumeRoleWithSAML时指定的
DurationSeconds。如果
DurationSeconds为空,则取默认值。更多信息,请参见AssumeRoleWithSAML。
最终的STS Token有效期取以上配置的最小值。
- SAML断言中
- 调整方式
由于最终的STS Token有效期是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:
- 调整SAML断言中
AuthnStatement元素的SessionNotOnOrAfter属性值。具体操作,取决于企业IdP配置,请参见各IdP的相关文档。
- 调整被扮演角色的最大会话时间。
通过控制台或API设置RAM角色的最大会话时间。具体操作,请参见设置角色最大会话时间。
- 调整AssumeRoleWithSAML的
DurationSeconds。具体操作,请参见AssumeRoleWithSAML。
- 调整SAML断言中
基于OIDC的角色SSO
- 临时访问凭证(STS Token)时长限制
通过调用AssumeRoleWithOIDC接口获取的STS Token的有效期受到以下配置的限制:
- 被扮演角色的最大会话时间。
更多信息,请参见设置角色最大会话时间。
- AssumeRoleWithOIDC时指定的
DurationSeconds。如果
DurationSeconds为空,则取默认值。更多信息,请参见AssumeRoleWithOIDC。
最终的STS Token有效期取以上配置的最小值。
- 被扮演角色的最大会话时间。
- 调整方式
由于最终的STS Token是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:
- 调整被扮演角色的最大会话时间。
通过控制台或API设置RAM角色的最大会话时间。具体操作,请参见设置角色最大会话时间。
- 调整AssumeRoleWithOIDC的
DurationSeconds。具体操作,请参见AssumeRoleWithOIDC。
- 调整被扮演角色的最大会话时间。
RAM角色扮演
控制台切换身份
- 登录会话时长限制
在控制台上通过切换角色方式扮演RAM角色时,切换到RAM角色身份后,登录会话时长受以下配置的限制:
- RAM用户安全策略中的登录会话的过期时间。
更多信息,请参见设置RAM用户安全策略。
- 被扮演角色的最大会话时间。
更多信息,请参见设置角色最大会话时间。
最终的登录会话时长取以上配置的最小值。
- RAM用户安全策略中的登录会话的过期时间。
- 调整方式
由于最终的登录会话时长是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:
- 调整RAM用户安全策略中的登录会话的过期时间。
通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见设置RAM用户安全策略。
- 调整被扮演角色的最大会话时间。
通过控制台或API设置RAM角色的最大会话时间。具体操作,请参见设置角色最大会话时间。
- 调整RAM用户安全策略中的登录会话的过期时间。
程序访问
- 临时访问凭证(STS Token)时长限制
RAM用户通过调用AssumeRole获取的STS Token的有效期受到以下配置的限制:
- 被扮演角色的最大会话时间。
更多信息,请参见设置角色最大会话时间。
- AssumeRole时指定的
DurationSeconds。如果
DurationSeconds为空,则取默认值。更多信息,请参见AssumeRole。
最终的STS Token有效期取以上配置的最小值。
- 被扮演角色的最大会话时间。
- 调整方式
由于最终的STS Token有效期取上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:
- 调整被扮演角色的最大会话时间。
通过控制台或API设置RAM角色的最大会话时间。具体操作,请参见设置角色最大会话时间。
- 调整AssumeRole的
DurationSeconds。具体操作,请参见AssumeRole。
- 调整被扮演角色的最大会话时间。