AWS アクセスポータルと IAM アイデンティティセンター統合アプリケーションのセッション期間を設定する - AWS IAM Identity Center
前提条件と考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS アクセスポータルと IAM アイデンティティセンター統合アプリケーションのセッション期間を設定する

IAM アイデンティティセンター管理者は、IAM アイデンティティセンターおよび AWS アクセスポータルと統合された両方のアプリケーションについて、セッション期間を設定できます。 AWS アクセスポータル および IAM Identity Center 統合アプリケーションへの認証のセッション期間は、ユーザーが再認証なしでサインインできる最大時間です。IAM Identity Center 管理者は、アクティブな AWS アクセスポータルセッションを終了し、統合アプリケーションのセッションを終了することもできます。

デフォルトのセッション期間は 8 時間です。IAM アイデンティティセンター管理者は、最小 15 分から最大 90 日までの期間を指定できます。認証セッション期間とユーザー動作の詳細については、「IAM Identity Center での認証」を参照してください。

注記

AWS アクセスポータルセッション期間を変更し、 AWS アクセスポータルセッションを終了しても、アクセス許可セットで定義した AWS Management Console セッション期間には影響しません。

以下のトピックでは、 AWS アクセスポータルと IAM アイデンティティセンター統合アプリケーションのセッション期間の設定について説明します。

前提条件と考慮事項

AWS アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間を設定するための前提条件と考慮事項を次に示します。

アクティブディレクトリ

Active Directory を IAM Identity Center の ID ソースとして使用している場合、セッション管理は ではサポートされていません AWS Management Console。つまり、次のセッション管理タスクを表示または実行することはできません。

  • セッション期間を変更する

  • セッションを終了する

  • セッションを一覧表示する

外部 ID プロバイダー

IAM アイデンティティセンターは SAML アサーションの SessionNotOnOrAfter 属性を使用して、セッションを有効に維持できる期間を決定します。

  • SessionNotOnOrAfter が SAML アサーションで渡されない場合、 AWS アクセスポータルセッションの期間は、外部 IdP セッションの時間による影響を受けません。例えば、IdP セッション期間が 24 時間で、IAM Identity Center で 18 時間のセッション期間を設定した場合、ユーザーは 18 時間後に AWS アクセスポータルで再認証する必要があります。

  • SessionNotOnOrAfter が SAML アサーションで渡された場合、セッション期間は、 AWS アクセスポータルセッション期間と SAML IdP セッション期間のうち短い方に設定されます。IAM アイデンティティセンターで 72 時間のセッション期間を設定し、IdP のセッション期間が 18 時間の場合、ユーザーは IdP で定義された 18 時間の AWS リソースにアクセスできます。

  • IdP のセッション期間が IAM アイデンティティセンターで設定されたセッション期間よりも長い場合、ユーザーは IdP との有効なログインセッションに基づいて、認証情報を再入力することなく、新しい IAM アイデンティティセンターセッションを開始できます。

AWS CLI および SDK セッション

プログラムでサービスにアクセスするために AWS Command Line Interface、、 AWS Software Development Kit (SDKs)、またはその他の AWS 開発ツールを使用している場合は AWS 、 AWS アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間を設定するには、次の前提条件を満たす必要があります。

  • アクセスAWS ポータルセッション期間は、IAM Identity Center コンソールで設定する必要があります。

  • 共有 AWS 設定ファイルでシングルサインオン設定用のプロファイルを定義する必要があります。このプロファイルは、 AWS アクセスポータルに接続するために使用されます。SSO トークンプロバイダーの設定を使用することをお勧めします。この設定により、 AWS SDK またはツールは更新された認証トークンを自動的に取得できます。詳細については、AWS SDK とツールリファレンスガイドの「SSO トークンプロバイダーの設定」を参照してください。

  • ユーザーは、セッション管理をサポートするバージョンの AWS CLI または SDK を実行する必要があります。

AWS CLI セッション管理をサポートする最小バージョン

セッション管理 AWS CLI をサポートする の最小バージョンを次に示します。

  • AWS CLI V2 2.9 以降

  • AWS CLI V1 1.27.10 以降

AWS CLI 最新バージョンをインストールまたは更新する方法については、「 の最新バージョンのインストールまたは更新 AWS CLI」を参照してください。

ユーザーが を実行している場合 AWS CLI、IAM Identity Center セッションの有効期限が切れる直前にアクセス許可セットを更新し、アクセス許可セットの期間が 12 時間に設定されている間、セッションは最大 20 時間 + 12 時間、合計 32 時間 AWS CLI 実行されます。IAM Identity Center CLI の使用の詳細については、AWS CLI コマンドリファレンス を参照してください。

IAM アイデンティティセンターのセッション管理をサポートする SDK の最小バージョン

IAM アイデンティティセンターのセッション管理をサポートする SDK の最小バージョンは次のとおりです。

SDK 最小バージョン
Python 1.26.10
PHP 3.245.0
Ruby aws-sdk-core 3.167.0
Java V2 AWS SDK for Java v2 (2.18.13)
Go V2 SDK 全体: リリース-2022-11-11 および特定の Go モジュール: 認証情報/v1.13.0、構成/v1.18.0
JS V2 2.1253.0
JS V3 v3.210.0
C++ 1.9.372
.NET v3.7.400.0
トピック