Identity and Access Manager(IAM とも表記)を設定する際、トークンの有効期間と認証タイムアウトを設定する必要があります。既定の設定はセキュリティ標準とサーバーの負荷を反映するよう設計されています。組織のポリシーに従ってこれらの設定を変更することができます。
IAM は有効期間が終了しそうになると、自動的にトークンを再発行します。
以下の表に既定のトークンの有効期間の設定を示します。
トークンの有効期間の設定
トークン |
既定の有効期間(秒) |
説明 |
---|---|---|
ID トークン(id_token) |
86400 |
認証トークンは OAuth 2.0 クライアント(Kaspersky Security Center Web コンソールまたは Kaspersky Industrial CyberSecurity コンソール)によって使用されます。IAM はユーザーに関する情報(ユーザープロファイル)を含む ID トークンをクライアントに送信します。 |
アクセストークン(access_token) |
86400 |
IAM で識別されるリソースの所有者の代わりにリソースサーバーにアクセスするために OAuth 2.0 クライアントにより使用されるアクセストークンです。 |
リフレッシュトークン(refresh_token) |
172800 |
ID トークンおよびアクセストークンの再発行に OAuth 2.0 クライアントが個のトークンを使用します。 |
以下の表に auth_code および login_consent_request のタイムアウトを示します。
認証タイムアウトの設定
設定 |
既定のタイムアウト(秒) |
説明 |
---|---|---|
認証コード(auth_code) |
3600 |
トークンのコード交換のタイムアウトです。OAuth 2.0 クライアントはこのコードをリソースサーバーに送信し、代わりにアクセストークンを取得します。 |
ログイン同意リクエストのタイムアウト(login_consent_request) |
3600 |
ユーザー権限を OAuth 2.0 クライアントに委任するタイムアウトです。 |
トークンの詳細は、OAuth の Web サイトを参照してください。
マウスまたはキーボードのアクティビティが検知されないクライアントのタイムアウトを構成するには:
clientIdleTimeout
パラメータを使用して、非アクティブなクライアントが警告ポップアップを表示するまでの時間をミリ秒単位で指定します。clientLogoutTimeout
パラメータを使用して、非アクティブなクライアントの IAM 認証が終了するまでの時間をミリ秒単位で指定します。clientLogoutTimeout
は clientIdleTimeout
の後に順次カウントダウンします。