使用外部 IdPs、CLI AWS 和 AWS SDKs工作階段持續時間考量

如果您使用外部身分提供者 (IdP) 或 AWS 軟體開發套件 (SDKs) 或其他 AWS 開發工具以程式設計方式存取 AWS 服務 AWS Command Line Interface，則設定工作階段持續時間的考量如下。

Amazon Q Developer 的外部身分提供者、使用者互動式工作階段和延伸工作階段

如果您使用外部身分提供者 (IdP)，且您正在為 Amazon Q Developer 的使用者互動式工作階段或延伸工作階段設定工作階段持續時間，請謹記下列考量。

注意

這些考量不適用於使用者背景工作階段。

IAM Identity Center 使用來自 SAML 聲明的SessionNotOnOrAfter屬性，以協助判斷工作階段的有效時間長度。

• 如果 SessionNotOnOrAfter 未在 SAML 聲明中傳遞， AWS 則存取入口網站工作階段的持續時間不會受到外部 IdP 工作階段的持續時間影響。例如，如果您的 IdP 工作階段持續時間為 24 小時，且您在 IAM Identity Center 中設定了 18 小時的工作階段持續時間，您的使用者必須在 18 小時後在 AWS 存取入口網站中重新驗證。

• 如果SessionNotOnOrAfter傳入 SAML 聲明，工作階段持續時間值會設定為 AWS 存取入口網站工作階段持續時間和 SAML IdP 工作階段持續時間的較短。如果您在 IAM Identity Center 中設定 72 小時的工作階段持續時間，且 IdP 的工作階段持續時間為 18 小時，則您的使用者將可存取 IdP 中定義的 18 小時 AWS 的資源。

• 如果 IdP 的工作階段持續時間超過 IAM Identity Center 中設定的工作階段持續時間，您的使用者可以啟動新的 IAM Identity Center 工作階段，而無需根據其使用 IdP 的仍然有效登入工作階段重新輸入其憑證。

AWS CLI 和 SDK 工作階段

如果您使用 AWS CLI、 AWS SDKs 或其他 AWS 開發工具以程式設計方式存取 AWS 服務，則必須符合下列先決條件，才能設定 AWS 存取入口網站和 AWS 受管應用程式的工作階段持續時間。

• 您必須在 IAM Identity Center 主控台中設定 AWS 存取入口網站工作階段持續時間。

• 您必須為共用 AWS 組態檔案中的單一登入設定定義設定檔。此設定檔用於連線至 AWS 存取入口網站。我們建議您使用 SSO 權杖提供者組態。透過此組態，您的 AWS SDK 或工具可以自動擷取重新整理的身分驗證字符。如需詳細資訊，請參閱 AWS SDK 和工具參考指南中的 SSO 字符提供者組態。

• 使用者必須執行支援工作階段管理的 AWS CLI 或 SDK 版本。

AWS CLI 支援工作階段管理的 最低版本

以下是 AWS CLI 支援工作階段管理的 最低版本。

• AWS CLI V2 2.9 或更新版本

• AWS CLI V1 1.27.10 或更新版本

注意

對於帳戶存取使用案例，如果您的使用者正在執行 AWS CLI，如果您在 IAM Identity Center 工作階段設定為過期之前重新整理許可集，且工作階段持續時間設定為 20 小時，而許可集持續時間設定為 12 小時，則 AWS CLI 工作階段的執行時間最長為 20 小時，加上 12 小時，總計為 32 小時。如需 IAM Identity Center CLI 的詳細資訊，請參閱 AWS CLI 命令參考。

支援 IAM Identity Center 工作階段管理的SDKs最低版本

以下是支援 IAM Identity Center 工作階段管理的SDKs最低版本。

SDK	最低版本
Python	1.26.10
PHP	3.245.0
Ruby	aws-sdk-core 3.167.0
Java V2	AWS 適用於 Java 的 SDK v2 (2.18.13)
Go V2	整個 SDK： Release-2022-11-11 和特定 Go 模組： credentials/v1.13.0、config/v1.18.0
JS V2	2.1253.0
JS V3	v3.210.0
C++	1.9.372
.NET	v3.7.400.0