Patch 5 ermöglicht die Einstellung unterschiedlicher Zeitüberschreitungswerte für den Sitzungsleerlauf in den verschiedenen Anwendungen. In einem Unternehmen erfordern manche Anwendungen möglicherweise kleinere Zeitüberschreitungswerte für den Sitzungsleerlauf als den im Sitzungsdienst angegebenen Zeitüberschreitungswert für den Sitzungsleerlauf. Zum Beispiel: Im Sitzungsdienst ist der Zeitüberschreitungswert auf 30 Minuten festgelegt, in einer HR-Anwendung soll jedoch eine Zeitüberschreitung eintreten, wenn sich die Benutzersitzung länger als 10 Minuten im Leerlauf befindet.
Voraussetzungen für die Verwendung dieser Funktion:
Die zum Schutz der Anwendung eingesetzten Agenten müssen so konfiguriert sein, dass sie die URL-Richtlinienentscheidungen von Access Manager durchsetzen.
Agenten müssen für die Ausführung eigener Richtlinienentscheidungen im Cachemodus konfiguriert sein. Siehe folgende Eigenschaften:
Für Webagenten: com.sun.am.policy.am.fetch_from_root_resource
Für J2EE-Agenten: com.sun.identity.policy.client.cacheMode
In der Access Manager-Datei AMConfig.properties muss die Auswertungsreihenfolge für Richtlinienkomponenten so angegeben sein, dass die Bedingung (Condition) zuletzt ausgewertet wird. Siehe folgende Eigenschaft:
com.sun.identity.policy.Policy.policy_evaluation_weights
Der vom Agenten erlaubte Anwendungszugriff, der auf der im lokalen Cache enthaltenen Bedingung basiert, wird der Bedingung in Access Manager nicht bekannt gemacht. Daher liegt der tatsächliche Zeitüberschreitungswert zwischen dem Zeitüberschreitungswert der Anwendung und dem Zeitüberschreitungswert der Anwendung minus der Cachedauer.
So verwenden Sie diese Funktion
Fügen Sie den Richtlinien, die die Anwendung schützen und für die ein bestimmter Zeitüberschreitungswert für den Sitzungsleerlauf erforderlich ist, eine Bedingung für das Authentifizierungsschema (Authentication Scheme Condition) hinzu.
Geben Sie in der Bedingung für das Authentifizierungsschema einen Anwendungsnamen und einen Zeitüberschreitungswert an.
Verwenden Sie in allen Richtlinien, die auf die Ressourcen für die Anwendung angewendet werden, denselben Anwendungsnamen und Zeitüberschreitungswert.
Geben Sie den Zeitüberschreitungswert in Minuten an. Wenn der Wert 0 oder höher als der im Sitzungsdienst angegebene Zeitüberschreitungswert ist, wird der Wert ignoriert und der Zeitüberschreitungswert des Sitzungsdienstes angewendet.
Gehen Sie beispielsweise von einer Richtlinie http://host.sample.com/hr/* mit folgender Bedingung für das Authentifizierungsschema aus:
Authentifizierungsschema: LDAP
Anwendungsname: HR
Zeitüberschreitungswert: 10
Wenn mehrere Richtlinien zum Schutz der Ressourcen der HR-Anwendung festgelegt wurden, müssen Sie die Bedingung allen Richtlinien hinzufügen.
Wenn ein Benutzer in einer Sitzung auf die vom Access Manager-Agenten geschützte HR-Anwendung zugreifen möchte, wird der Benutzer zur Authentifizierung mit dem LDAP-Schema aufgefordert (falls der Benutzer nicht bereits authentifiziert ist).
Ist der Benutzer bereits mit dem LDAP-Schema authentifiziert, wird dem Benutzer nur dann Zugriff auf die Anwendung gewährt, wenn seit der letzten Authentifizierung weniger als 10 Minuten vergangen sind oder der Benutzer zuletzt vor weniger als 10 Minuten auf die HR-Anwendung zugegriffen hat. Anderenfalls wird der Benutzer zur erneuten Authentifizierung mit dem LDAP-Schema aufgefordert, um auf die Anwendung zugreifen zu können.