策略代理程式程序

當網路瀏覽器請求一個駐留在受策略代理程式保護的伺服器之 URL 時，保護網路資源的程序即開始。伺服器的已安裝策略代理程式會截取請求，並檢查現有的認證憑證 (階段作業記號)。

如果代理程式截獲請求並驗證現有階段作業記號，將遵循下列程序。

1. 如果階段作業記號為有效，允許或拒絕使用者存取。如果記號為無效，使用者僅限於認證服務，如下列步驟所述。

   假設代理程式截獲一個沒有現存階段作業記號的請求，代理程式將重新導向使用者到登入頁，不論該資源是否已經使用不同的認證方法保護。

2. 一旦正確的認證了使用者的憑證，代理程式會核發一個請求給命名服務，以將使用的 URL 定義為連接至 Access Manager 的內部服務。

3. 若資源符合在代理程式配置的不予執行清單，則允許存取。

4. [命名服務] 會傳回策略服務、階段作業服務和記錄服務的定址器。

5. 代理程式會傳送請求給 [策略服務]，以取得適用於使用者的策略決策。

6. 基於存取資源的策略決策，決定使用者是否可以存取。如果策略決策建議不同的認證層級或認證機制，代理程式將重新導向請求到認證服務，直到驗證所有準則為止。