本文为您介绍不同场景下,登录会话时长和临时访问凭证(STS Token)有效期的限制因素及对应的调整方法。
RAM用户登录
限制因素
RAM用户通过用户名和密码、钉钉扫码登录的会话时长只受RAM用户安全策略中的登录会话的过期时间限制。
调整方式
控制台:调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见管理RAM用户安全设置。
API:调用SetSecurityPreference时设置LoginSessionDuration参数。
用户SSO
限制因素
用户SSO登录的会话时长只受RAM用户安全策略中的登录会话的过期时间限制。
调整方式
控制台:调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见管理RAM用户安全设置。
API:调用SetSecurityPreference时设置LoginSessionDuration参数。
角色SSO
基于SAML的角色SSO
控制台登录
限制因素
通过控制台进行角色SSO时,登录会话时长受以下因素的限制:
SAML断言中的
SessionDuration属性。更多信息,请参见角色SSO的SAML响应。
SAML断言中
AuthnStatement元素的SessionNotOnOrAfter属性。更多信息,请参见角色SSO的SAML响应。
RAM用户安全策略中的登录会话的过期时间。
更多信息,请参见管理RAM用户安全设置。
被扮演角色的最大会话时间。
更多信息,请参见设置RAM角色最大会话时间。
最终的登录会话时长取以上配置的最小值。
调整方式
由于最终的登录会话时长是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:
调整SAML断言中的
SessionDuration属性值。具体操作,取决于企业IdP配置,请参见各IdP的相关文档。
调整SAML断言中
AuthnStatement元素的SessionNotOnOrAfter属性值。具体操作,取决于企业IdP配置,请参见各IdP的相关文档。
调整RAM用户安全策略中的登录会话的过期时间。
控制台:调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见管理RAM用户安全设置。
API:调用SetSecurityPreference时设置LoginSessionDuration参数。
调整被扮演角色的最大会话时间。
控制台:调整RAM角色的最大会话时间。具体操作,请参见设置RAM角色最大会话时间。
API:调用CreateRole时设置MaxSessionDuration参数或调用UpdateRole时设置NewMaxSessionDuration参数。
程序访问
限制因素
通过调用AssumeRoleWithSAML时获取的STS Token的有效期受到以下因素的限制:
SAML断言中
AuthnStatement元素的SessionNotOnOrAfter属性。更多信息,请参见角色SSO的SAML响应。
被扮演角色的最大会话时间。
更多信息,请参见设置RAM角色最大会话时间。
调用AssumeRoleWithSAML时指定的DurationSeconds。
如果DurationSeconds为空,则取默认值。
最终的STS Token有效期取以上配置的最小值。
调整方式
由于最终的STS Token有效期是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:
调整SAML断言中
AuthnStatement元素的SessionNotOnOrAfter属性值。具体操作,取决于企业IdP配置,请参见各IdP的相关文档。
调整被扮演角色的最大会话时间。
控制台:调整RAM角色的最大会话时间。具体操作,请参见设置RAM角色最大会话时间。
API:调用CreateRole时设置MaxSessionDuration参数或调用UpdateRole时设置NewMaxSessionDuration参数。
调用AssumeRoleWithSAML时设置DurationSeconds参数。
基于OIDC的角色SSO
限制因素
通过调用AssumeRoleWithOIDC时获取的STS Token的有效期受到以下因素的限制:
被扮演角色的最大会话时间。
更多信息,请参见设置RAM角色最大会话时间。
调用AssumeRoleWithOIDC时指定的DurationSeconds。
如果DurationSeconds为空,则取默认值。
最终的STS Token有效期取以上配置的最小值。
调整方式
由于最终的STS Token是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:
调整被扮演角色的最大会话时间。
控制台:调整RAM角色的最大会话时间。具体操作,请参见设置RAM角色最大会话时间。
API:调用CreateRole时设置MaxSessionDuration参数或调用UpdateRole时设置NewMaxSessionDuration参数。
调用AssumeRoleWithOIDC时设置DurationSeconds参数。
RAM角色扮演
控制台切换身份
限制因素
在控制台上通过切换角色方式扮演RAM角色时,切换到RAM角色身份后,登录会话时长受以下因素的限制:
RAM用户安全策略中的登录会话的过期时间。
更多信息,请参见管理RAM用户安全设置。
被扮演角色的最大会话时间。
更多信息,请参见设置RAM角色最大会话时间。
最终的登录会话时长取以上配置的最小值。
调整方式
由于最终的登录会话时长是上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:
调整RAM用户安全策略中的登录会话的过期时间。
控制台:调整RAM用户安全策略中的登录会话的过期时间。具体操作,请参见管理RAM用户安全设置。
API:调用SetSecurityPreference时设置LoginSessionDuration参数。
调整被扮演角色的最大会话时间。
控制台:调整RAM角色的最大会话时间。具体操作,请参见设置RAM角色最大会话时间。
API:调用CreateRole时设置MaxSessionDuration参数或调用UpdateRole时设置NewMaxSessionDuration参数。
程序访问
限制因素
RAM用户通过调用AssumeRole获取的STS Token的有效期受到以下因素的限制:
被扮演角色的最大会话时间。
更多信息,请参见设置RAM角色最大会话时间。
调用AssumeRole时指定的DurationSeconds。
如果DurationSeconds为空,则取默认值。
最终的STS Token有效期取以上配置的最小值。
调整方式
由于最终的STS Token有效期取上述配置的最小值,因此,需要将各配置全部调整到大于等于目标时长。具体的调整方式如下:
调整被扮演角色的最大会话时间。
控制台:调整RAM角色的最大会话时间。具体操作,请参见设置RAM角色最大会话时间。
API:调用CreateRole时设置MaxSessionDuration参数或调用UpdateRole时设置NewMaxSessionDuration参数。
调用AssumeRole时设置DurationSeconds。
相关文档
关于RAM用户、RAM角色、用户SSO、角色SSO等的概念,请参见基本概念。