Autenticación mediante el Centro de identidades de IAM
Un usuario inicia sesión en el portal de acceso AWS con su nombre de usuario. Cuando lo hace, Centro de identidades de IAM redirige la solicitud al servicio de autenticación de Centro de identidades de IAM en función del directorio asociado a la dirección de correo electrónico del usuario. Tras la autenticación, los usuarios tienen acceso de inicio de sesión único en todas las cuentas de AWS y a las aplicaciones con software como servicio (SaaS) de terceros que se muestran en el portal, sin necesidad de solicitudes de inicio de sesión adicionales. Esto significa que los usuarios ya no tienen que realizar un seguimiento de las credenciales de las diferentes cuentas de las distintas aplicaciones de AWS que tienen asignadas y que utilizan diariamente.
Sesiones de autenticación
Centro de identidades de IAM mantiene dos tipos de sesiones de autenticación: una para representar el inicio de sesión de los usuarios en Centro de identidades de IAM y otra para representar el acceso de los usuarios a las aplicaciones administradas por AWS, como Amazon SageMaker Studio o Amazon Managed Grafana. Cada vez que un usuario inicia sesión en Centro de identidades de IAM, se crea una sesión de inicio de sesión durante el tiempo configurado en Centro de identidades de IAM, que puede ser de hasta 90 días. Para obtener más información, consulte Configure la duración de la sesión del portal de acceso AWS y de las aplicaciones integradas del Centro de identidades de IAM. Cada vez que el usuario accede a una aplicación, la sesión de inicio de sesión de Centro de identidades de IAM se utiliza para obtener una sesión de aplicación de Centro de identidades de IAM para esa aplicación. Las sesiones de las aplicaciones de Centro de identidades de IAM tienen una duración actualizable de 1 hora, es decir, las sesiones de aplicaciones de Centro de identidades de IAM se actualizan automáticamente cada hora, siempre que la sesión de inicio de sesión en Centro de identidades de IAM de la que se obtuvieron esas sesiones siga siendo válida. Si el usuario cierra sesión mediante el portal de acceso AWS, la sesión de inicio de sesión del usuario finaliza. La próxima vez que la aplicación actualice su sesión, la sesión de la aplicación finalizará.
Cuando el usuario utiliza Centro de identidades de IAM para acceder a la AWS Management Console o a la CLI, la sesión de inicio de sesión de Centro de identidades de IAM se utiliza para obtener una sesión de IAM, tal como se especifica en el conjunto de permisos de Centro de identidades de IAM correspondiente (más específicamente, Centro de identidades de IAM asume un rol de IAM, que administra Centro de identidades de IAM en la cuenta de destino). Las sesiones de IAM persisten incondicionalmente durante el tiempo especificado para el conjunto de permisos.
nota
El Centro de identidades de IAM no admite el cierre de sesión único con SAML iniciado por un proveedor de identidad que actúe como su fuente de identidad, ni envía el cierre de sesión único con SAML a las aplicaciones de SAML que utilizan el Centro de identidades de IAM como proveedor de identidad.
Al deshabilitar o eliminar un usuario de Centro de identidades de IAM, se impedirá inmediatamente que ese usuario inicie sesión para crear nuevas sesiones de inicio de sesión en Centro de identidades de IAM. Las sesiones de inicio de sesión en Centro de identidades de IAM se almacenan en caché durante una hora, lo que significa que si deshabilita o elimina a un usuario mientras tiene una sesión de inicio de sesión activa en Centro de identidades de IAM, su sesión de inicio de sesión actual continuará durante una hora, en función de cuándo se actualizó la sesión de inicio de sesión por última vez. Durante este tiempo, el usuario puede iniciar nuevas sesiones de aplicación de Centro de identidades de IAM y de rol de IAM.
Cuando caduque la sesión de inicio de sesión en Centro de identidades de IAM, el usuario ya no podrá iniciar nuevas sesiones de aplicación o de rol de IAM en Centro de identidades de IAM. Sin embargo, las sesiones de aplicación de Centro de identidades de IAM también se pueden almacenar en caché durante un máximo de una hora, de modo que el usuario puede conservar el acceso a una aplicación durante un máximo de una hora después de que haya expirado la sesión de inicio de sesión en Centro de identidades de IAM. Todas las sesiones de rol de IAM existentes continuarán en función de la duración configurada en el conjunto de permisos de Centro de identidades de IAM (configurable por el administrador; hasta 12 horas).
En la siguiente tabla se resumen estos comportamientos:
| Experiencia de usuario y comportamiento del sistema | Tiempo transcurrido desde la desactivación/eliminación del usuario |
|---|---|
| El usuario ya no puede iniciar sesión en Centro de identidades de IAM; no puede obtener una nueva sesión de inicio de sesión en Centro de identidades de IAM | Ninguno (con efecto inmediato) |
| El usuario ya no puede iniciar nuevas sesiones de aplicaciones o de rol de IAM a través de Centro de identidades de IAM | Hasta 1 hora |
| El usuario ya no puede acceder a ninguna aplicación (se terminan todas las sesiones de la aplicación) | Hasta 2 horas (hasta 1 hora para que caduque la sesión de inicio de sesión de Centro de identidades de IAM y hasta 1 hora para que caduque la sesión de la aplicación de Centro de identidades de IAM) |
| El usuario ya no puede acceder a ninguna Cuentas de AWS a través de Centro de identidades de IAM | Hasta 13 horas (hasta 1 hora si caduca la sesión de inicio de sesión en Centro de identidades de IAM y hasta 12 horas más si la sesión de rol de IAM configurada por el administrador se ajusta a la configuración de duración de sesión de Centro de identidades de IAM para el conjunto de permisos) |
Para obtener más información acerca de las sesiones, consulte Definir la duración de la sesión para Cuentas de AWS.
