策略管理功能

策略管理功能提供建立及管理策略的策略服務。策略服務允許管理員定義、修改、取得、取消及刪除權限，以保護 Access Manager 部署內的資源。通常，策略服務包括資料庫、允許建立、管理及評估策略的介面之程式庫、及策略執行程式或策略代理程式。依預設，Access Manager 將 Sun Java Enterprise System Directory Server 用於資料存放區，為策略評估和策略服務自訂提供 Java 和 C API (如需更多資訊，請參閱「Sun Java System Access Manager 7 2005Q4 Developer’s Guide」)。它也讓管理員可使用 Access Manager 主控台來管理策略。Access Manager 提供一個啟用策略的服務，即「URL 策略代理程式」服務，它使用可下載的策略代理程式來強制執行策略。

URL 策略代理程式服務

在安裝時，Access Manager 提供的「URL 策略代理程式」服務可定義策略來保護 HTTP URL。此服務可讓管理員透過策略執行程式或策略代理程式建立與管理策略。

策略代理程式

策略代理程式是儲存企業資源的伺服器之策略執行點 (PEP)。策略代理程式與安裝在不同的 Web 伺服器上，且於使用者發出對受保護的 Web 伺服器上的網路資源的請求時，做為一個額外的認證步驟。此認證在執行資源的任何使用者認證請求之外。此代理程式保護 Web 伺服器，並且資源也會受到認證外掛程式的保護。

例如，受遠端安裝的 Access Manager 保護之人力資源 Web 伺服器可能已安裝一個代理程式。此代理程式可以防止沒有適當策略的人員檢視機密薪資資訊或其他敏感資料。策略是由 Access Manager 管理員所定義、儲存在 Access Manager 部署中，且由策略代理程式用於允許或拒絕使用者存取遠端 Web 伺服器的內容。

最新的 Access Manager 策略代理程式可以從 Sun Microsystems 下載中心下載。

有關安裝與管理策略代理程式的詳細資訊，請參閱「Sun Java System Access Manager Policy Agent 2.2 User’s Guide」。

策略是以一般順序進行評估，但在評估時，如果一個動作值評估為 deny，就不會評估後續策略，除非策略配置服務中已啟用 [繼續評估拒絕決定] 屬性。

Access Manager 策略代理程式只會強制執行 Web URL (http://... 或 https://...) 的決策。然而，可使用 Java 和 C 策略評估 API 編寫代理程式，以在其他資源上強制執行策略。

此外，策略配置服務中的 [資源比較程式] 屬性可能也需要從預設配置變更為：

serviceType=Name_of_LDAPService |class=com.sun.identity.policy.plugins.SuffixResourceName|wildcard=*

|delimiter=,|caseSensitive=false

或者，也可以提供如 LDAPResourceName 等實作來實作 com.sun.identity.policy.interfaces.ResourceName，並正確配置 [資源比較程式]。

策略代理程式程序

當網路瀏覽器請求一個駐留在受策略代理程式保護的伺服器之 URL 時，保護網路資源的程序即開始。伺服器的已安裝策略代理程式會截取請求，並檢查現有的認證憑證 (階段作業記號)。

如果代理程式截獲請求並驗證現有階段作業記號，將遵循下列程序。

1. 如果階段作業記號為有效，允許或拒絕使用者存取。如果記號為無效，使用者僅限於認證服務，如下列步驟所述。

   假設代理程式截獲一個沒有現存階段作業記號的請求，代理程式將重新導向使用者到登入頁，不論該資源是否已經使用不同的認證方法保護。

2. 一旦正確的認證了使用者的憑證，代理程式會核發一個請求給命名服務，以將使用的 URL 定義為連接至 Access Manager 的內部服務。

3. 若資源符合在代理程式配置的不予執行清單，則允許存取。

4. [命名服務] 會傳回策略服務、階段作業服務和記錄服務的定址器。

5. 代理程式會傳送請求給 [策略服務]，以取得適用於使用者的策略決策。

6. 基於存取資源的策略決策，決定使用者是否可以存取。如果策略決策建議不同的認證層級或認證機制，代理程式將重新導向請求到認證服務，直到驗證所有準則為止。