對特定應用程式閒置階段作業逾時值的支援

修補程式 5 允許不同的應用程式具有不同的階段作業閒置逾時值。在企業中，某些應用程式所需的階段作業閒置逾時值可能要少於在階段作業服務中指定的階段作業閒置逾時。例如，您已在階段作業服務中指定階段作業的閒置逾時值為 30 分鐘，但在使用 HR 應用程式時，如果使用者已閒置超過 10 分鐘時就應視為逾時。

使用此功能的條件為：

• 保護應用程式的代理程式必須配置為從 Access Manager 強制執行 URL 策略決定。

• 代理程式必須配置為在自我策略決定快取模式下執行。請參閱下列特性：

  • 對於 Web 代理程式：com.sun.am.policy.am.fetch_from_root_resource

  • 對於 J2EE 代理程式：com.sun.identity.policy.client.cacheMode

• Access Manager AMConfig.properties 檔案必須指定策略元件評估順序，使條件在最後進行評估。請參閱下列特性：

  com.sun.identity.policy.Policy.policy_evaluation_weights

• 代理程式根據在本機快取的決定而允許的應用程式存取不被 Access Manager 上的條件所知。因此，實際的應用程式閒置逾時將介於應用程式閒置逾時以及應用程式閒置逾時減去代理程式快取持續時間之間。

若要使用此功能：

• 將認證方案條件加入用來保護應用程式的策略中，該應用程式需有其特定的階段作業閒置逾時。

• 在認證方案條件中指定應用程式名稱和逾時值。

• 在套用至應用程式資源的所有策略中使用相同的應用程式名稱和逾時值。

• 指定「逾時值」(以分鐘為單位)。如果該值為 0 或大於在階段作業服務中指定的階段作業閒置逾時值，則該值會被忽略，並套用階段作業服務中的逾時。

例如，使用下列認證方案條件來考量策略 http://host.sample.com/hr/*：

• 認證方案：LDAP

• 應用程式名稱：HR

• 逾時值：10

如果已定義多重策略來保護 HR 應用程式的資源，您必須將該條件加入所有策略中。

當個別階段作業中的使用者嘗試存取由 Access Manager 代理程式所保護的 HR 應用程式時，系統會提示該使用者需取得 LDAP 方案的認證 (如果使用者尚未取得認證)。

如果使用者已取得 LDAP 方案的認證，則只有在上次認證之後的 10 分鐘以內，或在使用者上次存取 HR 應用程式時間後的 10 分鐘以內，該使用者才被允許進行存取。否則，系統會提示該使用者需再次取得 LDAP 方案的認證才能存取應用程式。