AWS アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間を設定する
IAM Identity Center 管理者は、IAM Identity Center および AWS アクセスポータルと統合された両方のアプリケーションについて、セッション期間を設定できます。AWS アクセスポータルおよび IAM Identity Center 統合アプリケーションへの認証セッション期間は、ユーザーが再認証なしでサインインを維持できる最大時間です。IAM Identity Center 管理者は、アクティブな AWS アクセスポータルセッションを終了することで、統合アプリケーションのセッションも終了できます。
デフォルトのセッション期間は 8 時間です。IAM Identity Center 管理者は、最小 15 分から最大 90 日までの期間を指定できます。認証セッション期間とユーザー動作の詳細については、「IAM Identity Center を使用した認証」を参照してください。
注記
AWS アクセスポータルセッション期間を変更したり、AWS アクセスポータルセッションを終了しても、アクセス権限セットで定義した AWS Management Consoleのセッション期間には影響しません。
以下のトピックでは、AWS アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間の設定について説明します。
前提条件と考慮事項
以下は、AWS アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間を設定する際の前提条件と考慮事項です。
外部 ID プロバイダー
IAM Identity Center は SAML アサーションの SessionNotOnOrAfter 属性を使用して、セッションを有効に維持できる期間を決定します。
-
SAML アサーションで
SessionNotOnOrAfterが渡されない場合、AWS アクセスポータルセッションの期間は、外部 IdP セッション期間に影響されません。例えば、IdP セッション時間が 24 時間で、IAM Identity Center で 18 時間のセッション時間を設定した場合、ユーザーは 18 時間後に AWS アクセスポータルで再認証する必要があります。 -
SAML アサーションで
SessionNotOnOrAfterが渡された場合、セッション期間の値は、AWS アクセスポータルセッション期間と SAML IdP セッション期間のうちの短い方に設定されます。IAM Identity Center で 72 時間のセッション期間を設定し、IdP のセッション期間が 18 時間の場合、ユーザーは IdP で定義されている 18 時間の間、AWS リソースにアクセスできます。 -
IdP のセッション期間が IAM Identity Center で設定されたセッション期間よりも長い場合、ユーザーは IdP との有効なログインセッションに基づいて、認証情報を再入力することなく、新しい IAM Identity Center セッションを開始できます。
AWS CLI と SDK セッション
AWS Command Line Interface、AWS Software Development Kit (SDK)、またはその他の AWS 開発ツールを使用してプログラムで AWS サービスにアクセスする場合、AWS アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間を設定するには、次の前提条件を満たす必要があります。
-
IAM Identity Center コンソールで AWS アクセスポータルセッションの期間を設定する必要があります。
-
共有 AWS 設定ファイルでシングルサインオン設定用のプロファイルを定義する必要があります。このプロファイルは、AWS アクセスポータルへの接続に使用されます。SSO トークンプロバイダーの設定を使用することをお勧めします。この設定を使用して、AWS SDK、またはツールは、更新された認証トークンを自動的に取得できます。詳細については、AWS SDK とツールリファレンスガイドの「SSO トークンプロバイダーの設定」を参照してください。
-
ユーザーは、セッション管理をサポートするバージョンの AWS CLI または SDK を実行する必要があります。
AWS CLI セッション管理をサポートする最小バージョン
AWS CLI セッション管理をサポートする最小バージョンは次のとおりです。
-
AWS CLI V2 2.9 以降
-
AWS CLI V1 1.27.10 以降
最新の AWS CLI バージョンをインストールまたは更新する方法については、「最新バージョンの AWS CLI のインストールまたは更新」を参照してください。
ユーザーが AWS CLI を実行している場合、IAM Identity Center セッションの有効期限が切れる直前に権限セットを更新し、セッション期間を 20 時間に設定し、アクセス権限セットの期間を 12 時間に設定すると、AWS CLI セッションは最大 20 時間に 12 時間を加えた合計 32 時間が実行されます。IAM Identity Center CLI の使用の詳細については、AWS CLIコマンドリファレンス を参照してください。
IAM Identity Center のセッション管理をサポートする SDK の最小バージョン
IAM Identity Center のセッション管理をサポートする SDK の最小バージョンは次のとおりです。
| SDK | 最小バージョン |
|---|---|
| Python | 1.26.10 |
| PHP | 3.245.0 |
| Ruby | aws-sdk-core 3.167.0 |
| Java V2 | AWS SDK for Java v2 (2.18.13) |
| Go V2 | SDK 全体: リリース-2022-11-11 および特定の Go モジュール: 認証情報/v1.13.0、構成/v1.18.0 |
| JS V2 | 2.1253.0 |
| JS V3 | v3.210.0 |
| C++ | 1.9.372 |
| .NET | v3.7.400.0 |
