Zdefiniuj niestandardowy czas trwania sesji i zakończ aktywne sesje w IAM Identity Center

17 lutego 2023

Zdefiniuj niestandardowy czas trwania sesji i zakoncz aktywne sesje w IAM Identity Center

Zarządzanie dostępem do kont i aplikacji wymaga równowagi między utrzymywaniem prostego, wygodnego dostępu a zarządzaniem ryzykiem związanym z aktywnymi sesjami użytkowników. W zależności od potrzeb Twojej organizacji możesz czuć potrzebę, aby ułatwić użytkownikom końcowym logowanie się i działanie na tyle długo, aby wykonać swoją pracę, bez zakłóceń związanych z koniecznością ponownego uwierzytelniania. Możesz również rozważyć skrócenie sesji, aby spełnić wymagania dotyczące zgodności lub bezpieczeństwa. Jednocześnie możesz zakończyć aktywne sesje, których Twoi użytkownicy nie potrzebują, takie jak sesje dla byłych pracowników, sesje, z których użytkownik nie wylogował się na drugim urządzeniu lub sesje z wykrytą podejrzaną aktywnością.

Za pomocą tego artykułu autorzy pokażą Ci, w jaki sposób korzystać z nowych funkcji w IAM Identity Center. Najpierw przeprowadzą Cię przez proces konfigurowania czasu trwania sesji dla użytkowników IAM Identity Center. Następnie zaprezentują, jak zidentyfikować istniejące aktywne sesje i je zakończyć.

Czym jest IAM Identity Center?

IAM Identity Center pomaga bezpiecznie tworzyć lub łączyć tożsamości pracowników i w sposób centralny zarządzać ich dostępem do kont i aplikacji AWS. IAM Identity Center to zalecana metoda w przypadku tożsamości pracowników w celu uzyskania dostępu do zasobów AWS. W IAM Identity Center możesz zintegrować się z zewnętrznym dostawcą tożsamości (IdP), takim jak Okta Universal Directory, Microsoft Azure Active Directory lub Microsoft Active Directory Domain Services, jako źródło tożsamości lub możesz tworzyć użytkowników bezpośrednio w IAM Identity Center. Usługa opiera się na możliwościach AWS Identity and Access Management (IAM) i jest oferowana bez dodatkowych kosztów.

Logowania i sesje IAM Identity Center

Możesz użyć IAM Identity Center, aby uzyskać dostęp do aplikacji i kont oraz uzyskać poświadczenia dla konsoli zarządzania AWS, interfejsu wiersza poleceń AWS (AWS CLI) i sesji AWS SDK. Gdy logujesz się do IAM Identity Center przez przeglądarkę lub AWS CLI, tworzona jest sesja portalu dostępu AWS. Gdy łączysz się z konsolą, IAM Identity Center używa ustawienia czasu trwania sesji w zestawie uprawnień do kontrolowania czasu trwania sesji.

Uwaga: czas trwania sesji portalu dostępu dla IAM Identity Center różni się od czasu trwania sesji zestawu uprawnień IAM, który określa, jak długo użytkownik może uzyskiwać dostęp do swojego konta za pośrednictwem konsoli IAM Identity Center.

Przed udostępnieniem nowej funkcji zarządzania sesjami czas trwania sesji portalu dostępowego AWS był ustalony na 8 godzin. Teraz możesz skonfigurować czas trwania sesji dla portalu dostępu AWS w IAM Identity Center w czasie od 15 minut do 7 dni. Czas trwania sesji portalu dostępu określa, jak długo użytkownik może uzyskiwać dostęp do portalu, aplikacji i kont oraz uruchamiać polecenia CLI bez ponownego uwierzytelniania. Jeśli posiadasz zewnętrznego dostawcę tożsamości połączonego z IAM Identity Center, czas trwania sesji portalu dostępu będzie krótszy od czasu trwania sesji ustawionego w dostawcy tożsamości lub czasu trwania sesji zdefiniowanego w IAM Identity Center. Użytkownicy mogą uzyskiwać dostęp do kont i aplikacji do momentu wygaśnięcia sesji portalu dostępu i zainicjowania ponownego uwierzytelnienia.

Gdy użytkownicy uzyskują dostęp do kont lub aplikacji za pośrednictwem IAM Identity Center, tworzy to dodatkową sesję, która jest oddzielna, ale powiązana z sesją portalu dostępu AWS. AWS CLI używają sesji portalu dostępu AWS do uzyskiwania dostępu do ról. Czas trwania sesji konsoli jest zdefiniowany jako część zestawu uprawnień, do którego użytkownik uzyskał dostęp. Po uruchomieniu jest ona kontynuowana do momentu wygaśnięcia czasu trwania lub zakończenia sesji przez użytkownika. Sesje aplikacji obsługujące IAM Identity Center ponownie weryfikują sesję portalu dostępu AWS co około 60 minut. Sesje te trwają do momentu zakończenia sesji portalu dostępu AWS, innego warunku specyficznego dla aplikacji lub samodzielnego zakończenia sesji przez użytkownika.

Podsumowując:

  • Gdy użytkownik zaloguje się do IAM Identity Center, może uzyskać dostęp do przypisanych mu ról i aplikacji przez określony czas, po którym musi ponownie przejść proces uwierzytelniania.
  • Jeśli użytkownik uzyskuje dostep do przypisanego zestawu uprawnień, ma on dostęp do odpowiedniej roli przez czas określony w zestawie uprawnień (lub przez zakończenie sesji przez użytkownika).
  • AWS CLI używa sesji portalu dostępu AWS do uzyskiwania dostępu do ról. AWS CLI odświeża zestaw uprawnień IAM w tle. Zadanie CLI będzie działać do momentu wygaśnięcia sesji portalu dostępu.
  • Jeśli użytkownicy uzyskują dostęp do aplikacji obsługującej IAM Identity Center, mogą zachować dostęp do aplikacji przez maksymalnie godzinę po wygaśnięciu sesji portalu dostępu.

Uwaga: IAM Identity Center obecnie nie obsługuje funkcji zarządzania sesją dla Active Directory identity sources.

Aby uzyskać więcej informacji na temat funkcji zarządzania sesjami, zobacz Sesje uwierzytelniania w dokumentacji.

Konfigurowanie czasu trwania sesji

W tej sekcji zobaczysz, jak skonfigurować czas trwania sesji dla portalu dostępowego AWS w IAM Identity Center. Możesz wybrać czas trwania sesji w zakresie od 15 minut do 7 dni.

Czas trwania sesji to ustawienie globalne w IAM Identity Center. Po ustawieniu czasu trwania sesji jej maksymalny czas trwania dotyczy użytkowników IAM Identity Center.

Aby skonfigurować czas trwania sesji poprzez portal dostepu AWS:

  1. Otwórz konsolę IAM Identity Center.
  2. W lewym okienku nawigacyjnym wybierz Ustawienia.
  3. Na stronie Ustawienia wybierz kartę Uwierzytelnianie.
  4. W obszarze Uwierzytelnianie obok opcji Ustawienia sesji wybierz opcję Konfiguruj.
  5. W obszarze Konfiguruj ustawienia sesji wybierz maksymalny czas trwania sesji z listy wstępnie zdefiniowanych czasów trwania sesji w menu rozwijanym. Aby ustawić niestandardowy czas trwania sesji, wybierz Custom duration, wprowadź długość sesji w minutach, a następnie wybierz Zapisz.

Zdefiniuj niestandardowy czas trwania sesji i zakoncz aktywne sesje w IAM Identity Center

Gratulacje! Właśnie zmodyfikowałeś czas trwania sesji dla swoich użytkowników. Nowy czas trwania zacznie obowiązywać przy następnym logowaniu każdego użytkownika.

Znajdź i zakończ sesje portalu dostępu AWS

Dzięki nowej wersji możesz znaleźć aktywne sesje portalu dla użytkowników IAM Identity Center, a w razie potrzeby możesz także zakończyć te sesje. Może to okazać się przydatne w następujących sytuacjach:

  • Użytkownik nie pracuje już w Twojej organizacji lub został usunięty z projektów, które dały mu dostęp do aplikacji lub zestawów uprawnień, z których nie powinien już korzystać.
  • Jeśli urządzenie zostanie zgubione lub skradzione, użytkownik może skontaktować się z Tobą w celu zakończenia sesji. Zmniejsza to ryzyko, że ktoś uzyska dostęp do urządzenia i skorzysta z otwartej sesji.

W takich przypadkach możesz znaleźć aktywne sesje użytkownika w portalu dostępowym AWS, wybrać interesującą Cię sesję i zakończyć ją. W zależności od sytuacji możesz również dezaktywować logowanie użytkownika z systemu przed odwołaniem sesji użytkownika. Logowanie użytkowników można dezaktywować w konsoli IAM Identity Center lub w zewnętrznym dostawcy tożsamości (IdP).

Jeśli najpierw dezaktywujesz logowanie użytkownika w IdP, a następnie logowanie użytkownika w IAM Identity Center, dezaktywacja zacznie obowiązywać w IAM Identity Center bez opóźnienia synchronizacji. Jeśli jednak najpierw dezaktywujesz użytkownika w IAM Identity Center, dostawca tożsamości może ponownie aktywować użytkownika. Dezaktywując najpierw logowanie użytkownika w swoim dostawcy tożsamości, możesz uniemożliwić użytkownikowi ponowne zalogowanie się, gdy anulujesz jego sesję. Ta czynność jest zalecana przede wszystkim w sytuacji, gdy użytkownik opuścił organizację i nie powinien już mieć dostępu lub jeśli podejrzewasz, że ważne poświadczenia użytkownika zostały skradzione i chcesz zablokować dostęp do czasu zresetowania jego haseł.

Zakończenie sesji portalu dostępu nie ma wpływu na aktywną sesję zestawu uprawnień uruchomioną z portalu dostępu. Czas trwania sesji roli IAM przyjęty z portalu dostępu będzie trwał tak długo, jak czas określony w zestawie uprawnień. W przypadku sesji AWS CLI może minąć nawet godzina, zanim interfejs CLI zostanie przerwany po zakończeniu sesji portalu dostępu.

 

Wskazówka: jeśli to możliwe, aktywuj uwierzytelnianie wieloskładnikowe (MFA). Usługa MFA oferuje dodatkową warstwę ochrony, która pomaga zapobiegać uzyskiwaniu dostępu do systemów lub danych przez osoby nieupoważnione.

Aby zarządzać aktywnymi sesjami portalu dostępu w AWS Access Portal:

  1. Otwórz konsolę IAM Identity Center.
  2. W lewym okienku nawigacyjnym wybierz Użytkownicy.
  3. Na stronie Użytkownicy wybierz nazwę użytkownika, którego sesjami chcesz zarządzać. Spowoduje to przejście do strony z informacjami o użytkowniku.
  4. Na stronie użytkownika wybierz zakładkę Aktywne sesje. Liczba w nawiasie obok opcji Aktywne sesje wskazuje liczbę bieżących aktywnych sesji dla tego użytkownika.

Zdefiniuj niestandardowy czas trwania sesji i zakoncz aktywne sesje w IAM Identity Center

Wybierz sesje, które chcesz usunąć, a następnie wybierz pozycję Usuń sesję. Pojawi się okno dialogowe potwierdzające usuwanie aktywnych sesji dla tego użytkownika.

Zdefiniuj niestandardowy czas trwania sesji i zakoncz aktywne sesje w IAM Identity Center

  1. Przejrzyj informacje w oknie dialogowym i jeśli chcesz kontynuować, wybierz opcję Usuń sesję.

Wnioski

Dzięki temu tekstowi dowiedziałeś się, jak IAM Identity Center zarządza sesjami, jak modyfikować czas trwania sesji dla portalu dostępu AWS oraz jak przeglądać, wyszukiwać i kończyć aktywne sesje portalu dostępu. Twórcy podzielili się również kilkoma wskazówkami, jak myśleć o odpowiednim czasie trwania sesji dla danego przypadku użycia i powiązanych krokach, które należy podjąć, kończąc sesje dla użytkowników, którzy nie powinni mieć uprawnień do ponownego zalogowania się po zakończeniu sesji.

Dzięki nowej funkcji posiadasz teraz większą kontrolę nad zarządzaniem sesjami użytkowników. Konsoli można używać do ustawiania konfigurowalnych długości sesji w oparciu o wymagania bezpieczeństwa organizacji i pożądane wrażenia użytkowników końcowych, a także można przerywać sesje, umożliwiając zarządzanie sesjami, które nie są już potrzebne lub potencjalnie podejrzane.

Aby dowiedzieć się więcej zobacz: Manage IAM Identity Center integrated application sessions.

Źródło: AWS

Case Studies
Migracja Rapid Delivery Analytics do chmury AWS, współfinansowana z programu Startup Migrate Asses
Migracja infrastruktury Rapid Delivery Analytics do chmury AWS, współfinansowana z programu StartUp Migrate Asses
7 Aut x Budda
Testy penetracyjne, ochrona anty-DDoS i opieka administracyjna dla organizatora jednej z największych loterii w polskim Internecie, „7 Aut x Budda”
Referencje

Jesteśmy ogromnie zadowoleni ze współpracy z firmą Hostersi. Ich specjaliści doradzili nam rozwiązanie, które dało nam stabilną, skalowalną infrastrukturę, która umożliwia obsłużenie ciągle rosnącego ruchu związanego z COVID-19

Jakub Sperczyński
Prezes Zarządu EduNect
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.