IAM Identity Center 中的身份验证 - AWS IAM Identity Center

IAM Identity Center 中的身份验证

用户使用其用户名登录 AWS 访问门户。用户执行此操作时,IAM Identity Center 会根据与用户电子邮件地址关联的目录将请求重定向到 IAM Identity Center 身份验证服务。经过身份验证后,用户便对门户中显示的任何 AWS 帐户和第三方软件即服务(SaaS)应用程序拥有单点登录访问权限,而无需额外登录提示。这意味着,用户不再需要为自己每天使用的各种分配的 AWS 应用程序跟踪多个帐户凭证。

身份验证会话

IAM Identity Center 维护两种类型的身份验证会话:一种代表用户登录 IAM Identity Center,另一种是代表用户访问 AWS 托管的应用程序,例如 Amazon SageMaker Studio 或 Amazon Managed Grafana。用户每次登录 IAM Identity Center 时,都会创建一个登录会话,持续时间为 IAM Identity Center 中配置的持续时间,最长可达 90 天。有关更多信息,请参阅 配置 AWS 访问门户和 IAM Identity Center 集成应用程序的会话持续时间。用户每次访问应用程序时,都会使用 IAM Identity Center 登录会话来获取该应用程序的 IAM Identity Center 应用程序会话。IAM Identity Center 应用程序会话的生命周期为 1 小时,也就是说,只要获得这些会话的 IAM Identity Center 登录会话仍然有效,IAM Identity Center 应用程序会话就会每小时自动刷新一次。如果用户使用 AWS 访问门户注销,则用户的登录会话将结束。应用程序下次刷新会话时,应用程序会话将结束。

当用户使用 IAM Identity Center 访问 AWS Management Console 或 CLI 时,将使用 IAM Identity Center 登录会话来获取 IAM 会话,如相应的 IAM Identity Center 权限集所述(更具体地说,IAM Identity Center 在目标帐户中担任 IAM 角色,由 IAM Identity Center 管理)。IAM 会话在为权限集指定的时间内无条件持续存在。

注意

IAM Identity Center 不支持由充当身份源的身份提供者发起的 SAML 单点注销,也不向使用 IAM Identity Center 作为身份提供者的 SAML 应用程序发送 SAML 单点注销。

当您在 IAM Identity Center 中禁用或删除用户时,将立即阻止该用户登录以创建新的 IAM Identity Center 登录会话。IAM Identity Center 登录会话会被缓存一小时,这意味着,当您在用户的 IAM Identity Center 登录会话处于活动状态时禁用或删除该用户时,他们现有的 IAM Identity Center 登录会话将持续长达一个小时,具体取决于上次刷新登录会话的时间。在此期间,用户可以启动新的 IAM Identity Center 应用程序和 IAM 角色会话。

IAM Identity Center 登录会话到期后,用户无法再启动新的 IAM Identity Center 应用程序或 IAM 角色会话。但是,IAM Identity Center 应用程序会话也可以缓存长达一个小时,这样,在 IAM Identity Center 登录会话到期后,用户可以将应用程序的访问权限保留长达一个小时。任何现有的 IAM 角色会话都将根据在 IAM Identity Center 权限集中配置的持续时间继续进行(管理员可配置,最长 12 小时)。

下表总结了这些行为:

用户体验/系统行为 用户被禁用/删除后的时间
用户无法再登录 IAM Identity Center;用户无法获得新的 IAM Identity Center 登录会话 无(立即生效)
用户无法再通过 IAM Identity Center 启动新的应用程序或 IAM 角色会话 最长 1 小时
用户无法再访问任何应用程序(所有应用程序会话都已终止) 最长 2 小时(IAM Identity Center 登录会话到期时间最长 1 小时,加上 IAM Identity Center 应用程序会话到期时间最长 1 小时)
用户无法再通过 IAM Identity Center 访问任何 AWS 账户 最长 13 小时(根据权限集的 IAM Identity Center 会话持续时间设置,IAM Identity Center 登录会话到期时间最长 1 小时,管理员配置的 IAM 角色会话到期时间最长 12 小时)

有关会话的更多信息,请参阅设置 AWS 账户 的会话持续时间