在配置身份和访问管理器(也称为 IAM)时,您必须指定令牌生命周期和授权超时的设置。默认设置旨在反映安全标准和服务器负载。但是,您可以根据您组织的策略更改这些设置。
当令牌即将到期时,IAM 会自动重新颁发令牌。
下表列出了默认的令牌生命周期设置。
令牌生命周期设置
令牌 |
默认生命周期(以秒为单位) |
描述 |
|---|---|---|
身份令牌 (id_token) |
86400 |
OAuth 2.0 客户端(即 Kaspersky Security Center Web Console 或 Kaspersky Industrial CyberSecurity Console)使用的身份令牌。IAM 向客户端发送包含用户信息(即用户配置文件)的 ID 令牌。 |
访问令牌 (access_token) |
86400 |
OAuth 2.0 客户端用来代表 IAM 标识的资源所有者访问资源服务器的访问令牌。 |
刷新令牌 (refresh_token) |
172800 |
OAuth 2.0 客户端使用此令牌重新颁发身份令牌和访问令牌。 |
下表列出了 auth_code 和 login_consent_request 的超时时间。
授权超时设置
设置 |
默认超时时间(以秒为单位) |
描述 |
|---|---|---|
授权码 (auth_code) |
3600 |
交换令牌代码的超时时间。OAuth 2.0 客户端将此代码发送到资源服务器并获取访问令牌作为交换。 |
登录同意请求超时 (login_consent_request) |
3600 |
将用户权限委派给 OAuth 2.0 客户端的超时时间。 |
有关令牌的更多信息,请参见 OAuth 网站。
要为未检测到鼠标或键盘活动的客户端配置超时:
clientIdleTimeout参数指定时间(以毫秒为单位),在此时间之后不活动的客户端会显示警告弹出窗口。clientLogoutTimeout参数指定时间(以毫秒为单位),在此时间之后,不活动的客户端的 IAM 授权将终止。clientLogoutTimeout在clientIdleTimeout之后按顺序倒计时。