身分驗證

使用者使用其使用者名稱登入 AWS 存取入口網站。當他們這樣做時，IAM 身分中心會根據與使用者電子郵件地址關聯的目錄，將請求重新導向至 IAM 身分中心身分驗證服務。通過驗證後，使用者可以對入口網站中顯示的任何 AWS 帳戶和第三方 software-as-a-service (SaaS) 應用程式進行單一登入存取，而無需額外的登入提示。這表示使用者不再需要針對每天使用的各種指派 AWS 應用程式追蹤多個帳戶認證。

驗證工作階

IAM 身分中心會維護兩種身分驗證工作階段：一種代表使用者登入 IAM 身分中心，另一種代表使用者對 AWS 受管理應用程式的存取權，例如 Amazon SageMaker Studio 或 Amazon 受管的 Grafana。每次使用者登入 IAM 身分中心時，系統就會針對 IAM 身分中心中設定的持續時間建立登入工作階段，最長可達 90 天。如需詳細資訊，請參閱 管理 AWS 存取入口網站和 IAM 身分中心整合應用程式的工作階段持續時間。每次使用者存取應用程式時，就會使用 IAM 身分中心登入工作階段來取得該應用程式的 IAM 身分中心應用程式工作階段。IAM Identity Center 應用程式工作階段具有可重新整理的 1 小時存留期，也就是說，只要從中取得 IAM 身分中心的登入工作階段仍然有效，IAM Identity Center 應用程式工作階段就會每小時自動重新整理一次。當使用者使用 IAM 身分中心存取 AWS Management Console 或 CLI 時，會使用 IAM 身分中心登入工作階段來取得 IAM 工作階段，如對應的 IAM 身分中心權限集中所指定 (更具體地說，IAM 身分中心會在目標帳戶中擔任 IAM 角色，該角色由 IAM 身分中心管理)。

當您在 IAM 身分中心停用或刪除使用者時，該使用者將立即無法登入以建立新的 IAM 身分中心登入工作階段。IAM Identity Center 登入工作階段會快取一小時，這表示當您在使用中的 IAM 身分中心登入工作階段期間停用或刪除使用者時，其現有的 IAM 身分中心登入工作階段最多可持續一小時，具體取決於上次重新整理登入工作階段的時間。在此期間，使用者可以啟動新的 IAM 身分中心應用程式和 IAM 角色工作階段。

IAM 身分中心登入工作階段到期後，使用者將無法再啟動新的 IAM 身分中心應用程式或 IAM 角色工作階段。不過，IAM Identity Center 應用程式工作階段最多可快取一個小時，如此使用者可能會在 IAM 身分中心登入工作階段過期後保留對應用程式的存取權最多一小時。任何現有的 IAM 角色會話都將根據 IAM 身分中心權限集中設定的持續時間（管理員可配置，最多 12 小時）繼續進行。

下表總結了這些行為：

使用者體驗/系統行為	使用者停用/刪除後的時間
使用者無法再登入 IAM 身分中心；使用者無法取得新的 IAM 身分中心登入工作階段	無 (立即生效)
使用者無法再透過 IAM 身分中心啟動新的應用程式或 IAM 角色工作階段	最多 1 小時
使用者無法再存取任何應用程式 (所有應用程式工作階段皆終止)	最多 2 小時 (IAM 身分中心登入工作階段到期最多 1 小時，加上 IAM 身分中心應用程式工作階段到期最多 1 小時)
使用者無法再 AWS 帳戶 透過 IAM 身分中心存取任何內容	最多 13 小時 (IAM 身分中心登入工作階段到期最多 1 小時，以及每個權限集的 IAM 身分中心工作階段持續時間設定，管理員設定的 IAM 角色工作階段到期最多 12 小時)

如需工作階段的詳細資訊，請參閱設定工作階段期。