Lors de la configuration du Gestionnaire des identités et des accès (également appelé IAM), vous devez indiquer les paramètres de durée de vie du jeton et de délai d'expiration de l'autorisation. Les paramètres par défaut sont conçus pour refléter à la fois les normes de sécurité et la charge du serveur. Cependant, vous pouvez modifier ces paramètres en fonction des stratégies de votre organisation.
IAM réémet automatiquement un jeton lorsqu'il est sur le point d'expirer.
Le tableau ci-dessous indique les paramètres de durée de vie du jeton par défaut.
Paramètres de durée de vie du jeton
|
Jeton |
Durée de vie par défaut (en secondes) |
Description |
|---|---|---|
|
Jeton d'identité (id_token) |
86400 |
Jeton d'identité utilisé par le client OAuth 2.0 (c'est-à-dire Kaspersky Security Center Web Console ou Kaspersky Industrial CyberSecurity Console). IAM envoie au client le jeton d'identification contenant des informations sur l'utilisateur (c'est-à-dire le profil utilisateur). |
|
Jeton d'accès (access_token) |
86400 |
Jeton d'accès utilisé par le client OAuth 2.0 pour accéder au serveur de ressources au nom du propriétaire de la ressource identifié par IAM. |
|
Jeton d'actualisation (refresh_token) |
172800 |
Le client OAuth 2.0 utilise ce jeton pour réémettre le jeton d'identité et le jeton d'accès. |
Le tableau ci-dessous répertorie les délais d'expiration pour auth_code et login_consent_request.
Paramètres du délai d'expiration de l'autorisation
|
Paramètre |
Délai d'expiration par défaut (en secondes) |
Description |
|---|---|---|
|
Code d'autorisation (auth_code) |
3600 |
Délai d'expiration pour l'échange de code pour le jeton. Le client OAuth 2.0 envoie ce code au serveur de ressources et obtient le jeton d'accès en échange. |
|
Délai d'expiration de la demande d'accord de connexion (login_consent_request) |
3600 |
Délai d'expiration pour la délégation des droits d'utilisateur au client OAuth 2.0. |
Pour obtenir plus d'informations sur les jetons, consultez le site Web d'OAuth.
Pour configurer le délai d'attente pour les clients qui ne détectent aucune activité de la souris ou du clavier, procédez comme suit :
clientIdleTimeout pour indiquer le délai, en millisecondes, après lequel un client inactif affiche une fenêtre contextuelle d'avertissement.clientLogoutTimeout pour indiquer le délai, en millisecondes, après lequel les autorisations IAM pour le client inactif prennent fin. clientLogoutTimeout commence un compte à rebours séquentiel après clientIdleTimeout.