Autenticação no IAM Identity Center - AWS IAM Identity Center

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação no IAM Identity Center

Um usuário entra no portal de AWS acesso usando seu nome de usuário. Quando isso acontece, o IAM Identity Center redireciona a solicitação para o serviço de autenticação do IAM Identity Center com base no diretório associado ao endereço de e-mail do usuário. Depois de autenticados, os usuários têm acesso de login único a qualquer uma das AWS contas e aplicativos de terceiros ( software-as-a-serviceSaaS) que aparecem no portal sem solicitações adicionais de login. Isso significa que os usuários não precisam mais acompanhar várias credenciais de conta para os vários AWS aplicativos atribuídos que eles usam diariamente.

Sessões de autenticação

Há dois tipos de sessões de autenticação mantidas pelo IAM Identity Center: uma para representar o login dos usuários no IAM Identity Center e outra para representar o acesso dos usuários aos aplicativos AWS gerenciados, como o Amazon SageMaker AI Studio ou o Amazon Managed Grafana. Cada vez que um usuário faz login no IAM Identity Center, uma sessão de login é criada para a duração configurada no IAM Identity Center, que pode ser de até 90 dias. Para obter mais informações, consulte Configure a duração da sessão do portal acesso AWS e das aplicações integradas do IAM Identity Center. Cada vez que o usuário acessa um aplicativo, a sessão de login do IAM Identity Center é usada para obter uma sessão do aplicativo IAM Identity Center para esse aplicativo. IAM As sessões do aplicativo do Identity Center têm uma vida útil atualizável de 1 hora — ou seja, as sessões do aplicativo do IAM Identity Center são atualizadas automaticamente a cada hora, desde que a sessão de login do IAM Identity Center da qual foram obtidas ainda seja válida. Se o usuário sair usando o portal de AWS acesso, a sessão de login do usuário será encerrada. Na próxima vez que a aplicação atualizar sua sessão, a sessão da aplicação terminará.

Quando o usuário usa o IAM Identity Center para acessar o AWS Management Console ouCLI, a sessão de login do IAM Identity Center é usada para obter uma IAM sessão, conforme especificado no conjunto de permissões correspondente do IAM Identity Center (mais especificamente, o IAM Identity Center assume uma IAM função gerenciada pelo IAM Identity Center na conta de destino). IAMas sessões persistem pelo tempo especificado para o conjunto de permissões, incondicionalmente.

nota

IAMO Identity Center não oferece suporte ao Logout SAML Único iniciado por um provedor de identidade que atua como sua fonte de identidade e não envia o Logout SAML Único para SAML aplicativos que usam o IAM Identity Center como provedor de identidade.

Quando você desativa ou exclui um usuário no IAM Identity Center, esse usuário será imediatamente impedido de entrar para criar novas sessões de login no IAM Identity Center. IAM As sessões de login do Identity Center são armazenadas em cache por uma hora, o que significa que quando você desativa ou exclui um usuário enquanto ele tem uma sessão ativa de login do IAM IAM Identity Center, a sessão de login existente do Identity Center continuará por até uma hora, dependendo de quando a sessão de login foi atualizada pela última vez. Durante esse período, o usuário pode iniciar novas sessões de aplicativos e IAM funções do IAM Identity Center.

Depois que a sessão de login do IAM Identity Center expirar, o usuário não poderá mais iniciar novas sessões de aplicativos ou IAM funções do IAM Identity Center. No entanto, as sessões do aplicativo IAM Identity Center também podem ser armazenadas em cache por até uma hora, de forma que o usuário possa manter o acesso a um aplicativo por até uma hora após a expiração da sessão de login do IAM Identity Center. Todas as sessões de IAM função existentes continuarão com base na duração configurada no conjunto de permissões do IAM Identity Center (configurável pelo administrador, até 12 horas).

A tabela abaixo resume esses comportamentos:

Experiência do usuário/comportamento do sistema Tempo após o usuário ser desativado/excluído
O usuário não pode mais entrar no IAM Identity Center; o usuário não pode obter uma nova sessão de login do IAM Identity Center Nenhuma (efeito imediato)
O usuário não pode mais iniciar novas sessões de aplicativos ou IAM funções por meio do IAM Identity Center Até 1 hora
O usuário não consegue mais acessar nenhuma aplicação (todas as sessões da aplicação foram encerradas) Até 2 horas (até 1 hora para a expiração da sessão de login do IAM Identity Center, mais até 1 hora para a expiração da sessão do aplicativo IAM Identity Center)
O usuário não pode mais acessar nenhum Contas da AWS por meio do IAM Identity Center Até 13 horas (até 1 hora para a expiração da sessão de login do IAM Identity Center, mais até 12 horas para a expiração da sessão de IAM função configurada pelo administrador de acordo com as configurações de duração da sessão do IAM Identity Center para o conjunto de permissões)

Para obter mais informações sobre sessões, consulte Defina a duração da sessão para Contas da AWS.

Tópicos