Enterprise 管理员可以要求控制台用户按照符合组织安全策略的计划重新进行身份验证。有两个独立的控件决定控制台会话何时结束:
- 空闲会话时长:会话在用户被登出前可以保持不活动的时长。
- 最大会话生命周期:会话的绝对生命周期,与活动状态无关。超过该时长后,用户将被登出并必须重新进行身份验证。
如果未配置某项设置,则应用 Mintlify 的默认值。两项设置均接受介于 5 分钟到 14 天(20,160 分钟)之间的值。
要查看或更改会话安全设置,请前往控制台的 单点登录 页面。
空闲会话时长控制会话在过期前可以保持不活动的时长。用户发出的任何控制台请求都会重置空闲计时器。
使用较短的空闲时长可以降低无人值守的会话被登录用户之外的其他人使用的风险,例如在共享或未锁定的设备上。
最大会话生命周期是对单次登录持续时长的绝对上限。它从用户登录的那一刻起计算,不会因活动而延长。达到最大生命周期时,即使用户正在积极使用控制台,也会被登出。
使用最大生命周期可以确保用户按固定周期重新进行身份验证,这有助于满足合规要求,或在身份提供商变更后重新验证访问权限。
两项设置独立生效。用户的会话在任一限制先达到时结束:
- 如果用户处于不活动状态超过 空闲会话时长,会话结束。
- 如果自登录起已过 最大会话生命周期,即使用户处于活跃状态,会话也会结束。
例如,如果你将空闲时长设为 1 小时,最大生命周期设为 8 小时,那么持续工作的用户在 8 小时后被登出,而空闲用户在 1 小时后被登出。
使用 IP 允许列表将控制台访问限制为一组受信任的网络。当允许列表中包含一个或多个条目时,只有来自这些 IP 或范围的请求才能登录或使用控制台。当允许列表为空时,可从任何 IP 地址访问控制台。
如果你当前的 IP 地址不在允许列表中,你可能会将自己锁定在控制台之外。请在保存前确认你的 IP 已包含在内。
要配置允许列表,请前往控制台的 网络访问 页面。
- 添加条目:输入 IPv4 或 IPv6 地址,或 CIDR 范围(例如
203.0.113.7 或 10.0.0.0/8),然后选择 Add。添加第一个条目将启用允许列表。
- 移除条目:选择任意条目上的 ×。移除最后一个条目将停用允许列表。
- 检查你的 IP:你当前的 IP 地址会显示在条目列表下方,便于你在保存更改前确认它已被覆盖。
Allowed IP addresses 旁边的状态徽章在至少存在一个条目时显示为 Active,在列表为空时显示为 Disabled。
对会话安全设置的更改会记录在你组织的 审计日志 中,归入 org 类别。查找以下操作以查看谁在何时更新了设置:
org.session_security_session_duration_updated
org.session_security_session_duration_deleted
org.session_security_max_session_lifetime_updated
org.session_security_max_session_lifetime_deleted
org.session_security_ip_allowlist_updated