Изменение длительности сессии пользователя
1. Способы изменения длительности сессии
1.1. При использовании AAA-JDBC
Для настройки пользовательских параметров в системе zvirt можно использовать утилиту engine-config (для режима НЕ необходимо войти в консоль ВМ Hosted Engine).
Один из настраиваемых параметров - назначение времени сессий для пользователя.
Изменить время сессии для пользователя в системе zvirt можно:
-
Глобально для всех пользователей, для этого:
-
Войдите в консоль Менеджера управления.
-
С помощью утилиты engine-config установите необходимое значение для параметра UserSessionTimeOutInterval.
Параметр устанавливает значение для всех доступов: Пользовательский портал/Портал администрирования/API.
Задание значения для параметра UserSessionTimeOutInterval:
engine-config -s UserSessionTimeOutInterval=20Время пользовательской сессии устанавливается в минутах -
Перезапустите службу ovirt-engine:
systemctl restart ovirt-engine -
Проверьте, что значение сохранено и назначено:
engine-config -g UserSessionTimeOutIntervalОжидаемый вывод:
UserSessionTimeOutInterval: 20 version: general
-
-
Для отдельного пользователя системы посредством UI. Для этого:
-
На портале администрирования перейдите в .
-
Выделите нужного пользователя и нажмите Управление ограничениями.
-
В появившемся окне установите значение для параметра Время сессий (минуты).
-
Нажмите Сохранить.
-
Войдите в консоль Менеджера управления.
-
Перезапустите службу ovirt-engine:
systemctl restart ovirt-engine
-
По умолчанию время пользовательской сессии (параметр UserSessionTimeOutInterval) равно 30 мин. Значения времени пользовательской сессии устанавливается в пределах от 1 до 100000 минут (UserSessionTimeOutInterval.validValues=1..100000).
|
1.2. При использовании Keycloak
В zVirt 4.4 с интергрированным Keycloak для настройки длительности сессии пользователей необходимо выполнить следующее:
-
Подключитесь к порталу Keycloak с ролью администратора пространства zvirt-internal (по умолчанию admin@zvirt).
-
Перейдите в раздел Realm settings.
-
На вкладке Sessions настройте необходимые параметры длительности сессии и нажмите Save:
-
SSO Session Idle: определяет максимальное время неактивности сессии Single Sign-On (SSO), после которого она автоматически завершается и пользователь снова будет вынужден пройти аутентификацию. В общем случае для управления длительностью сессии пользователя, необходимо настраивать именно этот параметр.
-
SSO Session Max: определяет максимальную продолжительность жизни сессии Single Sign-On (SSO). Это абсолютная длительность существования сессии независимо от уровня активности пользователя.
-
SSO Session Idle Remember Me: действует аналогично SSO Session Idle, но применяется только к пользователям, которые воспользовались функцией Remember me. Если значение не задано, будет использоваться параметр SSO Session Idle.
-
SSO Session Max Remember Me: действует аналогично SSO Session Max, но применяется только к пользователям, которые воспользовались функцией Remember me. Если значение не задано, будет использоваться параметр SSO Session Max.
Функция Remember me по умолчанию отключена.
-
Client Session Idle: действует аналогично SSO Session Idle, но применяется к каждой клиентской сессии, установленной с отдельным клиентом (application). Если значение не задано, будет использоваться параметр SSO Session Idle.
-
Client Session Max: действует аналогично SSO Session Max, но применяется к каждой клиентской сессии, установленной с отдельным клиентом (application). Если значение не задано, будет использоваться параметр SSO Session Max.
-
-
На вкладке Tokens в разделе Access Tokens настройте необходимые сроки действия токенов и нажмите Save:
-
Access Token Lifespan: определяет срок действия токенов доступа (access tokens), используемых клиентами для авторизированного доступа к ресурсам (например, для выполнения запросов к API). После истечения указанного времени токен становится недействительным и требуется запрос нового токена. Рекомендуется указывать значение меньшее, чем установленное для параметра SSO Session Idle.
-
Access Token Lifespan For Implicit Flow: определяет срок действия токенов доступа (access tokens), выданных в рамках протокола OAuth 2.0.
-
-
Настройте необходимые значения для глобального параметра UserSessionTimeOutInterval и для отдельных пользователей.
Время жизни сессии, настроенное с помощью параметра UserSessionTimeOutInterval, должно быть меньше значения SSO Session Idle в Keycloak.
2. Приоритеты значений длительности пользовательской сессии
-
Для пользователей (включая admin), у которых в настройках Время сессий на портале администрирования выставлено значение 0, применяется глобальная настройка.
-
При развертывании Менеджера управления для пользователя admin по умолчанию устанавливается длительность сессии 0, для остальных пользователей - 60.
-
Если через портал администрирования для пользователя установлено время сессии, отличное от 0, то оно имеет приоритет над временем, заданным глобально через параметр UserSessionTimeOutInterval. При этом порядок ввода значений (для конкретного пользователя или глобально) не имеет значения.
|
В zVirt 4.4 и выше, при настроенной интеграции с Keycloak необходимо учитывать следующее:
|