本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 控制在亚马逊安全浏览器中重新验证 SAML IdP 令牌的时间间隔 WorkSpaces 当用户访问 WorkSpaces 安全浏览器门户时,他们可以登录以启动直播会话。除非他们在不到 5 分钟前登录,否则每个会话都从起始页开始。门户会检查身份提供者(IdP)令牌,以确定是否在启动会话时提示用户输入凭证。没有有效 IdP 令牌的用户必须输入用户名、密码,以及多因素身份验证(MFA,可选),才能启动流会话。如果用户已经通过登录自己的 IdP 或受同一 IdP 保护的应用程序生成 SAML IdP 令牌,则不会要求他们提供登录凭证。 如果用户拥有有效的 SAML IdP 令牌,则他们可以 WorkSpaces 访问安全浏览器。您可以控制重新验证 SAML IdP 令牌所需的时间间隔。 控制重新验证 SAML IdP 令牌的时间间隔 1. 与您的 SAML IdP 提供者一起设置 IdP 超时时间。建议将 IdP 超时时间配置为用户完成任务所需的最短时间。 + 有关 Okta 的更多信息,请参阅[为所有策略强制使用有限的会话生命周期](https://help.okta.com/en/prod/Content/Topics/Security/healthinsight/session-lifetime.htm)。 + 有关 Azure AD 的更多信息,请参阅[配置身份验证会话控制](https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-session-lifetime#configuring-authentication-session-controls)。 + 有关 Ping 的更多信息,请参阅[会话](https://docs.pingidentity.com/bundle/pingfederate-93/page/pqn1564002990312.html)。 + 有关的更多信息 AWS IAM Identity Center,请参阅[设置会话持续时间](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html)。 1. 设置 WorkSpaces 安全浏览器门户的非活动状态和空闲超时值。这些值控制从用户上次互动到 WorkSpaces 安全浏览器会话因不活动而结束的时间间隔。会话结束后,用户将失去其会话状态(包括打开的选项卡、未保存的 Web 内容和历史记录),并在下一个会话开始时恢复到全新状态。有关更多信息,请参阅[为 Amazon WorkSpaces 安全浏览器创建门户](getting-started-step1.md)中的步骤 5。 **注意** 如果用户的会话超时,但该用户仍有有效的 SAML IdP 令牌,则他们无需输入用户名和密码即可开始 WorkSpaces 新的安全浏览器会话。要控制如何重新验证令牌,请按照上一步中的指南进行操作。