いわさです。
IAM Identity Center では認証に外部 IdP を使用することが出来ます。
その場合、ユーザーが認証を行うと外部 IdP と IAM Identity Center とどちらもセッションが存在することになるのですが、そのどちらかのセッション期限を迎えるとユーザーは再認証が必要になります。
1 年前に IAM Identity Center ではユーザーがアクセスポータルにサインインした際のセッションに関して、継続する期間を設定することが出来るようになっていました。
この時は最短が 15 分で最長 7 日まで設定することが出来ました。
しかし、IdP によっては 7 日以上のセッション期間が有効なものがあり、より長い期間を設定したい場合がありました。
こちらが本日のアップデートで最長 90 日まで設定出来るようになりました。
本日は実際に設定してユーザーセッションの様子を観察してみましたので紹介します。
30 日と 90 日が追加されている
設定箇所は 1 年前と変わってなかったです。
IAM Identity Center の設定メニューから「セッション設定」で設定が可能です。
次のように 30 日と 90 日が選択肢に追加されています。
カスタム期間で分単位で設定可能
カスタム期間は本日時点では翻訳の関係か設定可能な最大値が 10080 分(7 日間)のままになっていました。
こちらはおそらく画面表示が誤っていて(フィードバック済み)、試してみると 90 日(129,600 分)まで入力することが出来ました。
ちなみに 129,599 分を入力すると、最大セッション期間は 89 日 23 時間 59 分と設定されたので、30 日 と 90 日以外にも細かく分単位で設定が出来ます。
129,600 分を超えると入力エラーとなりました。やはり上限は 90 日のようです。
サインイン期間
実際にユーザーをサインインさせてセッション期間を確認してみました。
次のように認証後ポータルへアクセス出来る状態です。
管理者は対象ユーザーの「アクティブなセッション」タブでユーザーセッションの詳細情報を確認することが出来ます。
デフォルトでは非表示になっていますが、UI のカスタマイズから「必要なサインイン」を表示させるとサインインが必要なタイミング、つまりセッションが継続される期限を確認することが出来ます。
次のように約 90 日後が設定されていることが確認出来ました。
さいごに
本日は IAM Identity Center の最大セッション期間が 90 日まで設定出来るようになってみたので使ってみました。
ただ上限が 90 日まで設定出来るように拡張されただけではありますが、今まで外部 IdP と上限が合っていなくて組織のポリシーに合っていない中妥協して使っていた方は嬉しいのではないでしょうか。
これを機に、最大セッション期間を見直してみてください。
5
