RAM用戶登錄

• 登錄會話時長限制

  RAM用戶通過用戶名和密碼、釘釘掃碼登錄的會話時長只受RAM用戶安全策略中的登錄會話的過期時間限制。

• 調整方式

  通過控制臺或API調整RAM用戶安全策略中的登錄會話的過期時間。具體操作，請參見管理RAM用戶安全設置。

用戶SSO

• 登錄會話時長限制

  用戶SSO登錄的會話時長只受RAM用戶安全策略中的登錄會話的過期時間限制。

• 調整方式

  通過控制臺或API調整RAM用戶安全策略中的登錄會話的過期時間。具體操作，請參見管理RAM用戶安全設置。

基于SAML的角色SSO

控制臺登錄

• 登錄會話時長限制

  通過控制臺進行角色SSO時，登錄會話時長受以下配置限制：

  • SAML斷言中的SessionDuration屬性。

    更多信息，請參見角色SSO的SAML響應。

  • SAML斷言中AuthnStatement元素的SessionNotOnOrAfter屬性。

    更多信息，請參見角色SSO的SAML響應。

  • RAM用戶安全策略中的登錄會話的過期時間。

    更多信息，請參見管理RAM用戶安全設置。

  • 被扮演角色的最大會話時間。

    更多信息，請參見設置角色最大會話時間。

  最終的登錄會話時長取以上配置的最小值。

• 調整方式

  由于最終的登錄會話時長是上述配置的最小值，因此，需要將各配置全部調整到大于等于目標時長。具體的調整方式如下：

  • 調整SAML斷言中的SessionDuration屬性值。

    具體操作，取決于企業IdP配置，請參見各IdP的相關文檔。

  • 調整SAML斷言中AuthnStatement元素的SessionNotOnOrAfter屬性值。

    具體操作，取決于企業IdP配置，請參見各IdP的相關文檔。

  • 調整RAM用戶安全策略中的登錄會話的過期時間。

    通過控制臺或API調整RAM用戶安全策略中的登錄會話的過期時間。具體操作，請參見管理RAM用戶安全設置。

  • 調整被扮演角色的最大會話時間。

    通過控制臺或API設置RAM角色的最大會話時間。具體操作，請參見設置角色最大會話時間。

程序訪問

• 臨時訪問憑證（STS Token）時長限制

  通過調用AssumeRoleWithSAML獲取的STS Token的有效期受到以下配置的限制：

  • SAML斷言中AuthnStatement元素的SessionNotOnOrAfter屬性。

    更多信息，請參見角色SSO的SAML響應。

  • 被扮演角色的最大會話時間。

    更多信息，請參見設置角色最大會話時間。

  • 調用AssumeRoleWithSAML時指定的DurationSeconds。

    如果DurationSeconds為空，則取默認值。更多信息，請參見AssumeRoleWithSAML。

  最終的STS Token有效期取以上配置的最小值。

• 調整方式

  由于最終的STS Token有效期是上述配置的最小值，因此，需要將各配置全部調整到大于等于目標時長。具體的調整方式如下：

  • 調整SAML斷言中AuthnStatement元素的SessionNotOnOrAfter屬性值。

    具體操作，取決于企業IdP配置，請參見各IdP的相關文檔。

  • 調整被扮演角色的最大會話時間。

    通過控制臺或API設置RAM角色的最大會話時間。具體操作，請參見設置角色最大會話時間。

  • 調整調用AssumeRoleWithSAML時的DurationSeconds。

    具體操作，請參見AssumeRoleWithSAML。

基于OIDC的角色SSO

• 臨時訪問憑證（STS Token）時長限制

  通過調用AssumeRoleWithOIDC接口獲取的STS Token的有效期受到以下配置的限制：

  • 被扮演角色的最大會話時間。

    更多信息，請參見設置角色最大會話時間。

  • 調用AssumeRoleWithOIDC時指定的DurationSeconds。

    如果DurationSeconds為空，則取默認值。更多信息，請參見AssumeRoleWithOIDC。

  最終的STS Token有效期取以上配置的最小值。

• 調整方式

  由于最終的STS Token是上述配置的最小值，因此，需要將各配置全部調整到大于等于目標時長。具體的調整方式如下：

  • 調整被扮演角色的最大會話時間。

    通過控制臺或API設置RAM角色的最大會話時間。具體操作，請參見設置角色最大會話時間。

  • 調整調用AssumeRoleWithOIDC時的DurationSeconds。

    具體操作，請參見AssumeRoleWithOIDC。

RAM角色扮演

控制臺切換身份

• 登錄會話時長限制

  在控制臺上通過切換角色方式扮演RAM角色時，切換到RAM角色身份后，登錄會話時長受以下配置的限制：

  • RAM用戶安全策略中的登錄會話的過期時間。

    更多信息，請參見管理RAM用戶安全設置。

  • 被扮演角色的最大會話時間。

    更多信息，請參見設置角色最大會話時間。

  最終的登錄會話時長取以上配置的最小值。

• 調整方式

  由于最終的登錄會話時長是上述配置的最小值，因此，需要將各配置全部調整到大于等于目標時長。具體的調整方式如下：

  • 調整RAM用戶安全策略中的登錄會話的過期時間。

    通過控制臺或API調整RAM用戶安全策略中的登錄會話的過期時間。具體操作，請參見管理RAM用戶安全設置。

  • 調整被扮演角色的最大會話時間。

    通過控制臺或API設置RAM角色的最大會話時間。具體操作，請參見設置角色最大會話時間。

程序訪問

• 臨時訪問憑證（STS Token）時長限制

  RAM用戶通過調用AssumeRole獲取的STS Token的有效期受到以下配置的限制：

  • 被扮演角色的最大會話時間。

    更多信息，請參見設置角色最大會話時間。

  • 調用AssumeRole時指定的DurationSeconds。

    如果DurationSeconds為空，則取默認值。更多信息，請參見AssumeRole。

  最終的STS Token有效期取以上配置的最小值。

• 調整方式

  由于最終的STS Token有效期取上述配置的最小值，因此，需要將各配置全部調整到大于等于目標時長。具體的調整方式如下：

  • 調整被扮演角色的最大會話時間。

    通過控制臺或API設置RAM角色的最大會話時間。具體操作，請參見設置角色最大會話時間。

  • 調整調用AssumeRole時的DurationSeconds。

    具體操作，請參見AssumeRole。