Czas życia tokenów i limit czasu autoryzacji dla Identity and Access Manager

Podczas konfigurowania Identity and Access Manager (zwany również IAM) należy określić ustawienia okresu istnienia tokena i limitu czasu autoryzacji. Ustawienia domyślne mają odzwierciedlać zarówno standardy bezpieczeństwa, jak i obciążenie serwera. Jednakże możesz zmienić te ustawienia zgodnie z zasadami Twojej organizacji.

IAM automatycznie ponownie wystawiają token, gdy zbliża się jego ważność.

Poniższa tabela zawiera domyślne ustawienia okresu istnienia tokena.

Ustawienia czasu życia tokena

Token

Domyślna żywotność (w sekundach)

Opis

Token tożsamości (id_token)

86400

Token tożsamości używany przez klienta OAuth 2.0 (czyli Kaspersky Security Center Web Console lub Kaspersky Industrial CyberSecurity Console). IAM wysyła token identyfikatora zawierający informacje o użytkowniku (czyli profil użytkownika) do klienta.

Token dostępu (access_token)

86400

Token dostępu używany przez klienta OAuth 2.0 do uzyskiwania dostępu do serwera zasobów w imieniu właściciela zasobu zidentyfikowanego przez IAM.

Token odświeżania (refresh_token)

172800

Klient OAuth 2.0 używa tego tokena do ponownego wystawiania tokena tożsamości i tokena dostępu.

Poniższa tabela zawiera listę limitów czasu dla auth_code i login_consent_request.

Ustawienia limitu czasu autoryzacji

Ustawienie

Domyślny limit czasu (w sekundach)

Opis

Kod autoryzacji (auth_code)

3600

Limit czasu wymiany kodu na token. Klient OAuth 2.0 wysyła ten kod do serwera zasobów i otrzymuje w zamian token dostępu.

Przekroczono limit czasu żądania zgody na logowanie (login_consent_request)

3600

Limit czasu na delegowanie uprawnień użytkownika do klienta OAuth 2.0.

Aby uzyskać więcej informacji o tokenach, zajrzyj na stronę internetową OAuth.

Aby skonfigurować limit czasu dla klientów, u których nie wykryto żadnej aktywności myszy lub klawiatury:

  1. W folderze instalacyjnym Kaspersky Security Center Web Console znajdź i otwórz plik config.json. Plik zawiera parametry umożliwiające konfigurację limitu czasu dla bezczynnych klientów.
  2. Użyj parametru clientIdleTimeout, aby określić czas (w ms), po którym na nieaktywnym kliencie wyświetli się okno ostrzegawcze.
  3. Użyj parametru clientLogoutTimeout, aby określić czas (w ms), po którym autoryzacja IAM dla nieaktywnego klienta zostanie zakończona. Odliczanie clientLogoutTimeout jest sekwencyjne po odliczaniu clientIdleTimeout.

Zobacz również:

Włączanie Identity and Access Manager: scenariusz

Przejdź do góry