Beim Konfigurieren der Identitäts- und Zugriffsverwaltung (auch als IAM bezeichnet) müssen Sie die Einstellungen für die Lebensdauer der Token und das Timeout der Autorisierungen angeben. Die Standardeinstellungen sind so konzipiert, dass sie sowohl die Sicherheitsstandards als auch die Serverlast berücksichtigen. Sie können diese Einstellungen jedoch gemäß den Richtlinien Ihrer Organisation ändern.
Wenn ein Token abläuft, stellt IAM diesen automatisch erneut aus.
In der folgenden Tabelle sind die Standardeinstellungen für die Token-Lebensdauer aufgeführt.
Einstellungen der Token-Lebensdauer
Token |
Standardlebensdauer (in Sekunden) |
Beschreibung |
---|---|---|
Identitätstoken (id_token) |
86400 |
Identitätstoken, das vom OAuth 2.0-Client verwendet wird (d. h. entweder Kaspersky Security Center Web Console oder Kaspersky Industrial CyberSecurity Console). IAM sendet ID-Token, die Informationen über den Benutzer enthalten (d. h. das Benutzerprofil) an den Client. |
Zugriffstoken (access_token) |
86400 |
Zugriffstoken, der vom OAuth 2.0-Client verwendet wird, um im Namen des von IAM identifizierten Ressourcenbesitzers auf den Ressourcenserver zuzugreifen. |
Aktualisierungstoken (refresh_token) |
172800 |
Der OAuth 2.0-Client verwendet diesen Token zum erneuten Ausstellen des Identitätstokens und des Zugriffstokens. |
In der folgenden Tabelle sind die Timeouts für "auth_code" und "login_consent_request" aufgeführt.
Einstellungen des Autorisierungs-Timeouts
Einstellung |
Standard-Timeout (in Sekunden) |
Beschreibung |
---|---|---|
Autorisierungscode (auth_code) |
3600 |
Timeout für das Austauschen von Code des Tokens. Der OAuth 2.0-Client sendet diesen Code an den Ressourcenserver und erhält im Gegenzug den Zugriffstoken. |
Zeitüberschreitung von Login- und Übereinstimmungsanfragen (login_consent_request) |
3600 |
Timeout für das Delegieren von Benutzerrechten an den OAuth 2.0-Client. |
Weitere Informationen zu Token finden Sie auf der Website von OAuth.
So konfigurieren Sie den Timeout für Clients, für die keine Maus- oder Tastaturaktivität erkannt wurde:
clientIdleTimeout
, um die Zeit in Millisekunden anzugeben, nach deren Ablauf ein inaktiver Client eine Pop-up-Warnung anzeigt.clientLogoutTimeout
, um die Zeit in Millisekunden anzugeben, nach deren Ablauf die IAM-Autorisierung für den inaktiven Client beendet wird. Der clientLogoutTimeout
zählt nach Eintreten des clientIdleTimeout
sequentiell rückwärts.