文档

如何调整登录会话时长或临时访问凭证有效期?

更新时间:

本文为您介绍不同场景下,登录会话时长或临时访问凭证有效期的限制因素及对应的调整方法。

RAM用户登录

  • 登录会话时长限制

    RAM用户通过用户名和密码、钉钉扫码登录的会话时长只受RAM用户安全策略中的登录会话的过期时间限制。

  • 调整方式

    通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见管理RAM用户安全设置

用户SSO

  • 登录会话时长限制

    用户SSO登录的会话时长只受RAM用户安全策略中的登录会话的过期时间限制。

  • 调整方式

    通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见管理RAM用户安全设置

基于SAML的角色SSO

控制台登录

  • 登录会话时长限制

    通过控制台进行角色SSO时,登录会话时长受以下配置限制:

    最终的登录会话时长取以上配置的最小值。

  • 调整方式

    由于最终的登录会话时长是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:

    • 调整SAML断言中的SessionDuration属性值。

      具体操作,取决于企业IdP配置,请参见各IdP的相关文档。

    • 调整SAML断言中AuthnStatement元素的SessionNotOnOrAfter属性值。

      具体操作,取决于企业IdP配置,请参见各IdP的相关文档。

    • 调整RAM用户安全策略中的登录会话的过期时间

      通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见管理RAM用户安全设置

    • 调整被扮演角色的最大会话时间。

      通过控制台或API设置RAM角色的最大会话时间。具体操作,请参见设置角色最大会话时间

程序访问

  • 临时访问凭证(STS Token)时长限制

    通过调用AssumeRoleWithSAML获取的STS Token的有效期受到以下配置的限制:

    • SAML断言中AuthnStatement元素的SessionNotOnOrAfter属性。

      更多信息,请参见角色SSO的SAML响应

    • 被扮演角色的最大会话时间。

      更多信息,请参见设置角色最大会话时间

    • 调用AssumeRoleWithSAML时指定的DurationSeconds

      如果DurationSeconds为空,则取默认值。更多信息,请参见AssumeRoleWithSAML

    最终的STS Token有效期取以上配置的最小值。

  • 调整方式

    由于最终的STS Token有效期是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:

    • 调整SAML断言中AuthnStatement元素的SessionNotOnOrAfter属性值。

      具体操作,取决于企业IdP配置,请参见各IdP的相关文档。

    • 调整被扮演角色的最大会话时间。

      通过控制台或API设置RAM角色的最大会话时间。具体操作,请参见设置角色最大会话时间

    • 调整调用AssumeRoleWithSAML时的DurationSeconds

      具体操作,请参见AssumeRoleWithSAML

基于OIDC的角色SSO

  • 临时访问凭证(STS Token)时长限制

    通过调用AssumeRoleWithOIDC接口获取的STS Token的有效期受到以下配置的限制:

    • 被扮演角色的最大会话时间。

      更多信息,请参见设置角色最大会话时间

    • 调用AssumeRoleWithOIDC时指定的DurationSeconds

      如果DurationSeconds为空,则取默认值。更多信息,请参见AssumeRoleWithOIDC

    最终的STS Token有效期取以上配置的最小值。

  • 调整方式

    由于最终的STS Token是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:

    • 调整被扮演角色的最大会话时间。

      通过控制台或API设置RAM角色的最大会话时间。具体操作,请参见设置角色最大会话时间

    • 调整调用AssumeRoleWithOIDC时的DurationSeconds

      具体操作,请参见AssumeRoleWithOIDC

RAM角色扮演

控制台切换身份

  • 登录会话时长限制

    在控制台上通过切换角色方式扮演RAM角色时,切换到RAM角色身份后,登录会话时长受以下配置的限制:

    最终的登录会话时长取以上配置的最小值。

  • 调整方式

    由于最终的登录会话时长是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:

    • 调整RAM用户安全策略中的登录会话的过期时间

      通过控制台或API调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见管理RAM用户安全设置

    • 调整被扮演角色的最大会话时间。

      通过控制台或API设置RAM角色的最大会话时间。具体操作,请参见设置角色最大会话时间

程序访问

  • 临时访问凭证(STS Token)时长限制

    RAM用户通过调用AssumeRole获取的STS Token的有效期受到以下配置的限制:

    • 被扮演角色的最大会话时间。

      更多信息,请参见设置角色最大会话时间

    • 调用AssumeRole时指定的DurationSeconds

      如果DurationSeconds为空,则取默认值。更多信息,请参见AssumeRole

    最终的STS Token有效期取以上配置的最小值。

  • 调整方式

    由于最终的STS Token有效期取上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:

    • 调整被扮演角色的最大会话时间。

      通过控制台或API设置RAM角色的最大会话时间。具体操作,请参见设置角色最大会话时间

    • 调整调用AssumeRole时的DurationSeconds

      具体操作,请参见AssumeRole

  • 本页导读 (1)