認証

ユーザーは自分のユーザー名を使用して AWS アクセスポータルにサインインします。その際、IAM Identity Center は、ユーザーの E メールアドレスに関連付けられたディレクトリに基づいて、IAM Identity Center 認証サービスにリクエストをリダイレクトします。認証されると、ユーザーは、追加のサインインプロンプトなしでポータルに表示されるアカウント AWS とサードパーティー software-as-a-service (SaaS) アプリケーションへのシングルサインオンアクセスが可能になります。つまり、ユーザーは、毎日使用するさまざまな割り当てられた AWS アプリケーションの複数のアカウント認証情報を追跡する必要がなくなります。

認証セッション

IAM Identity Center によって維持される認証セッションには、ユーザーの IAM Identity Center へのサインインを表す認証セッションと、Amazon SageMaker Studio や Amazon Managed Grafana などの AWS マネージドアプリケーションへのユーザーのアクセスを表す認証セッションの 2 種類があります。ユーザーが IAM アイデンティティセンターにサインインするたびに、IAM アイデンティティセンターで設定した期間 (最大 90 日間) のサインインセッションが作成されます。詳細については、「AWS アクセスポータルと IAM Identity Center 統合アプリケーションのセッション期間を管理する」を参照してください。ユーザーがアプリケーションにアクセスするたびに、IAM アイデンティティセンターサインインセッションを使用して、そのアプリケーションのアプリケーションセッションが取得されます。IAM Identity Center アプリケーションセッションの有効期間は 1 時間で、リフレッシュできます。ですので、IAM Identity Center アプリケーションセッションは、取得元の IAM Identity Center サインインセッションが有効である限り、1 時間ごとに自動的に更新されます。ユーザーが IAM Identity Center を使用して AWS Management Console または CLI にアクセスする場合、IAM Identity Center サインインセッションを使用して、対応する IAM Identity Center アクセス許可セットで指定されている IAM セッションを取得します (具体的には、IAM Identity Center は、IAM Identity Center が管理する IAM ロールをターゲットアカウントで引き受けます）。

IAM Identity Center でユーザーを無効または削除するとすぐに、そのユーザーは新しい IAM Identity Center のサインインできなくなり、セッションが作成されません。IAM Identity Center サインインセッションは 1 時間キャッシュされます。ですので、IAM Identity Center サインインセッションがアクティブな状態でユーザーを無効にしたり削除したりしても、そのユーザーの既存の IAM Identity Center サインインセッションは、サインインセッションが最後にリフレッシュされた時間に応じて、最大 1 時間まで継続されます。この間、ユーザーは新しい IAM Identity Center アプリケーションと IAM ロールセッションを開始することができます。

IAM Identity Center サインインセッションが終了すると、ユーザーは新しい IAM Identity Center アプリケーションまたは IAM ロールセッションを開始することができなくなります。IAM アイデンティティセンターアプリケーションのセッションは、最大 1 時間までキャッシュすることができ、IAM アイデンティティセンターサインインセッションが終了した後、ユーザーはアプリケーションへのアクセスを最大 1 時間まで保持することができます。既存の IAM ロールセッションは、IAM Identity Center アクセス権限セットで設定された持続時間 (管理者が設定可能、最大 12 時間) により継続されます。

以下の表は、これらの動作をまとめたものです。

ユーザーエクスペリエンス/システム動作	ユーザーが無効化または削除されてからの時間
ユーザーが IAM Identity Center にサインインできなくなり、ユーザーが新しい IAM Identity Center サインインセッションを取得できません	なし (すぐに有効)
ユーザーが IAM Identity Center を介して新しいアプリケーションまたは IAM ロールのセッションを開始できなくなりました	最長 1 時間
ユーザーがアプリケーションにアクセスできなくなります (すべてのアプリケーションのセッションが終了します)	最大 2 時間 (IAM アイデンティティセンターサインインセッションの有効期限は最大 1 時間、IAM アイデンティティセンターアプリケーションセッションの有効期限は最大 1 時間)。
ユーザーは IAM Identity Center AWS アカウント 経由で にアクセスできなくなります	最大 13 時間 (IAM Identity Center サインインセッションの有効期限が最大 1 時間、管理者が設定した IAM ロールのセッションの有効期限がアクセス権限セットの IAM Identity Center セッションの有効期限設定に応じて最大 12 時間)。

セッションの詳細については、「セッション期間の設定」を参照してください。