La revisión 5 permite que distintas aplicaciones tengan valores de tiempo de espera inactivo de diferentes sesiones. En una empresa, puede que algunas aplicaciones necesiten valores de tiempo de espera inactivo de sesión inferiores al tiempo de espera inactivo de sesión especificado en el servicio de sesión. Por ejemplo, suponga que ha establecido el valor de tiempo de espera de inactividad de sesión en el servicio de sesión en 30 minutos, pero una aplicación de RR.HH. debe agotar el tiempo de espera si un usuario ha estado inactivo durante más de 10 minutos.
Los requisitos para utilizar esta función son:
Los agentes que protegen la aplicación deben configurarse de tal manera que cumplan las decisiones de la directiva URL de Access Manager.
Deben configurarse los agentes para ejecutarse en modo de caché de decisiones de directiva automática. Consulte las siguientes propiedades:
Para agentes web: com.sun.am.policy.am.fetch_from_root_resource
Para agentes de J2EE: com.sun.identity.policy.client.cacheMode
El archivo AMConfig.properties de Access Manager debe especificar un orden de evaluación de componentes de directiva tal que esa condición se evalúe al final. Consulte la siguiente propiedad:
com.sun.identity.policy.Policy.policy_evaluation_weights
El acceso a la aplicación permitido por el agente basado en una decisión almacenada en caché local será desconocido para la condición sobre Access Manager. Por tanto, el tiempo de espera inactivo de la aplicación actual estará entre el tiempo de espera inactivo de la aplicación y el tiempo de espera inactivo de la aplicación menos la duración de la caché del agente.
Para usar esta función:
Agregue una condición de esquema de autenticación a las directivas que protegen la aplicación que necesita el tiempo de espera inactivo de sesión específico de la aplicación.
Especifique el nombre de la aplicación y el valor de tiempo de espera en la condición de esquema de autenticación.
Utilice el mismo nombre de la aplicación y valor de tiempo de espera en todas las directivas aplicables a los recursos de la aplicación.
Especifique el valor de tiempo de espera en minutos. Si el valor es 0 o superior al valor de tiempo de espera inactivo de la sesión especificado en el servicio de sesión, se ignorará el valor y se aplicará el tiempo de espera del servicio de sesión.
Por ejemplo, considere una directiva http://host.sample.com/hr/*, con esta condición de esquema de autenticación:
Esquema de autenticación: LDAP
Nombre de aplicación: RR.HH.
Valor de tiempo de espera: 10
Si hay varias directivas definidas para proteger los recursos de la aplicación de RR.HH., debe agregar la condición a todas ellas.
Si un usuario intenta acceder, en una sesión distinta, a la aplicación de RR.HH. protegida por el agente de Access Manager, se le solicitará su autenticación para el esquema LDAP (si aún no se ha autenticado).
Si ya se ha autenticado para el esquema LDAP, podrá acceder sólo si el tiempo es inferior a 10 minutos desde la última autenticación o si el tiempo es inferior a 10 minutos desde el último acceso del usuario a la aplicación de RR.HH. De lo contrario, el usuario debe autenticarse de nuevo para el esquema LDAP para acceder a la aplicación.