Los administradores de Enterprise pueden exigir que los usuarios del dashboard vuelvan a autenticarse siguiendo una programación que se ajuste a las políticas de seguridad de tu organización. Dos controles independientes determinan cuándo finaliza una sesión del dashboard:
- Duración de sesión inactiva: Cuánto tiempo puede permanecer inactiva una sesión antes de que se cierre la sesión del usuario.
- Duración máxima de sesión: La duración absoluta de una sesión, independientemente de la actividad. Cuando se supera, se cierra la sesión del usuario y debe volver a autenticarse.
Si no se configura un ajuste, se aplica el valor predeterminado de Mintlify. Ambos ajustes aceptan valores entre 5 minutos y 14 días (20.160 minutos).
Para revisar o cambiar la configuración de seguridad de sesión, ve a la página de Single Sign-On de tu dashboard.
Duración de sesión inactiva
La duración de sesión inactiva controla cuánto tiempo puede permanecer inactiva una sesión antes de que expire. Cualquier solicitud del usuario al dashboard reinicia el temporizador de inactividad.
Utiliza una duración de inactividad más corta para reducir el riesgo de que sesiones desatendidas sean utilizadas por alguien que no sea el usuario que inició sesión, por ejemplo en dispositivos compartidos o desbloqueados.
Duración máxima de sesión
La duración máxima de sesión es el límite absoluto de cuánto puede durar un único inicio de sesión. Se mide desde el momento en que el usuario inició sesión y no se extiende con la actividad. Cuando se alcanza la duración máxima, se cierra la sesión del usuario incluso si está utilizando activamente el dashboard.
Utiliza una duración máxima para garantizar que los usuarios vuelvan a autenticarse con una cadencia regular, lo que puede ayudarte a cumplir con requisitos normativos o revalidar el acceso tras cambios en el proveedor de identidad.
Cómo interactúan los ajustes
Los dos ajustes se aplican de forma independiente. La sesión de un usuario finaliza cuando se alcanza el primero de los límites:
- Si el usuario permanece inactivo durante más tiempo que la duración de sesión inactiva, la sesión finaliza.
- Si transcurre la duración máxima de sesión desde el inicio de sesión, la sesión finaliza incluso si el usuario está activo.
Por ejemplo, si estableces la duración de inactividad en 1 hora y la duración máxima en 8 horas, un usuario que esté trabajando activamente cerrará sesión después de 8 horas, y un usuario inactivo cerrará sesión después de 1 hora.
Restringir el acceso al dashboard por IP
Utiliza la lista de IP permitidas para restringir el acceso al dashboard a un conjunto de redes de confianza. Cuando la lista tiene una o más entradas, solo las solicitudes desde esas IP o rangos pueden iniciar sesión o utilizar el dashboard. Cuando la lista está vacía, el dashboard es accesible desde cualquier dirección IP.
Si tu dirección IP actual no está en la lista de IP permitidas, puedes bloquearte a ti mismo el acceso al dashboard. Confirma que tu IP esté incluida antes de guardar.
Para configurar la lista de IP permitidas, ve a la página de Acceso a la red de tu dashboard.
- Añadir una entrada: Introduce una dirección IPv4 o IPv6, o un rango CIDR (por ejemplo,
203.0.113.7 o 10.0.0.0/8), y luego selecciona Add. Añadir la primera entrada habilita la lista de IP permitidas.
- Eliminar una entrada: Selecciona la × en cualquier entrada. Eliminar la última entrada deshabilita la lista de IP permitidas.
- Comprueba tu IP: Tu dirección IP actual se muestra debajo de la lista de entradas para que puedas confirmar que está cubierta antes de guardar los cambios.
La insignia de estado junto a Allowed IP addresses muestra Active cuando hay al menos una entrada presente y Disabled cuando la lista está vacía.
Los cambios en la configuración de seguridad de sesión se registran en los registros de auditoría de tu organización bajo la categoría org. Busca estas acciones para revisar quién actualizó los ajustes y cuándo:
org.session_security_session_duration_updated
org.session_security_session_duration_deleted
org.session_security_max_session_lifetime_updated
org.session_security_max_session_lifetime_deleted
org.session_security_ip_allowlist_updated