本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

身份中心中的IAM身份验证

用户使用其用户名登录 AWS 访问门户。当他们这样做时，IAMIdentity Center 会根据与用户电子邮件地址关联的目录将请求重定向到 Ident IAM ity Center 身份验证服务。经过身份验证后，用户可以单点登录访问门户中显示的任何 AWS 账户和第三方 software-as-a-service (SaaS) 应用程序，而无需其他登录提示。这意味着用户不再需要跟踪他们每天使用的各种已分配 AWS 应用程序的多个账户凭证。

身份验证会话

身份中心维护的身份验证会话有两种类型：一种代表用户登录IAM身份中心，另一种代表用户对IAM AWS 托管应用程序（例如 Amazon A SageMaker I Studio 或 Amazon Managed Grafana）的访问权限。用户每次登录 Ident IAM ity Center 时，都会创建一个登录会话，持续时间为 Ident IAM ity Center 中配置的持续时间，最长可达 90 天。有关更多信息，请参阅 配置 AWS 访问门户和 Ident IAM ity Center 集成应用程序的会话持续时间。用户每次访问应用程序时，都会使用 Ident IAM ity Center 登录会话来获取该应用程序的 Ident IAM ity Center 应用程序会话。 IAMIdentity Center 应用程序会话的生命周期为 1 小时，也就是说，只要从中获取IAM身份中心应用程序会话的登录会话仍然有效，Ident IAM ity Center 应用程序会话就会每小时自动刷新一次。如果用户使用 AWS 访问门户注销，则用户的登录会话将结束。应用程序下次刷新会话时，应用程序会话将结束。

当用户使用 Ident IAM ity Center 访问 AWS Management Console 或时CLI，将使用IAM身份中心登录会话来获取相应的 Identit IAM y Center 权限集中指定的IAM会话（更具体地说，Ident IAM ity Center 在目标账户中IAM扮演一个角色，由 Ident IAM ity Center 管理）。 IAM会话将无条件地持续到为权限集指定的时间内。

当您在 Ident IAM ity Center 中禁用或删除用户时，将立即阻止该用户登录以创建新的 Ident IAM ity Center 登录会话。 IAMIdentity Center 登录会话将缓存一小时，这意味着当您在用户处于活动状态的 Ident IAM ity Center 登录会话时禁用或删除他们时，他们现有的 Ident IAM ity Center 登录会话将持续长达一个小时，具体取决于上次刷新登录会话的时间。在此期间，用户可以启动新的 Ident IAM ity Center 应用程序和IAM角色会话。

Ident IAM ity Center 登录会话到期后，用户将无法再启动新的 Ident IAM ity Center 应用程序或IAM角色会话。但是，I IAM dentity Center 应用程序会话也可以缓存长达一个小时，这样，在 Ident IAM ity Center 登录会话到期后，用户最多可以在一个小时内保留对应用程序的访问权限。任何现有IAM角色会话都将根据在 Ident IAM ity Center 权限集中配置的持续时间继续进行（管理员可配置，最长 12 小时）。

下表总结了这些行为：

有关会话的更多信息，请参阅设置 AWS 账户的会话持续时间。