一般策略

在 Access Manager 中，定義存取權限的策略是指一般策略。一般策略由規則、主旨、條件與回應提供者組成。

規則

規則包含一個資源、一或多個動作及一個值。每個動作可以有一或數個值。

• 資源定義受保護的特定物件；例如，使用人力資源服務存取的 HTML 網頁或使用者之薪資資訊。

• 動作為一項可於資源上執行的作業之名稱；Web 伺服器動作的範例有：POST 或 GET。例如，變更為住家電話號碼為人力資源服務可允許的一個動作。

• 值定義動作的權限，例如允許或拒絕。

部份服務可接受只定義動作但沒有資源。

主旨

主旨定義策略影響的使用者或使用者集合 (例如：擁有特定角色的群組或人員)。指定主旨到策略。主旨的一般原則是，只有當使用者為策略中至少一個主旨的成員時，策略才適用。預設主旨為：

AM 識別主旨

您在 [範圍主旨] 標籤下建立和管理的識別可新增為主旨的一個值。

Access Manager 角色

任何 LDAP 角色皆可新增為此主旨的一個值。LDAP 角色是使用 Directory Server 角色功能定義的任何角色。這些角色具有 Directory Server 角色定義寄存的物件類別。可以在策略配置服務中修改 LDAP 角色搜尋篩選器，以縮小範圍和改善效能。

經認證的使用者

具備有效 SSOToken 的使用者都是此主旨的成員。所有認證的使用者將成為此主旨的成員，即使這些使用者被認證到與定義策略之組織不同的組織。如果資源所有者想要將存取權限授與其他組織的使用者所管理的資源，這個功能很有用。

LDAP 群組

LDAP 群組的任何成員皆可新增為此主旨的一個值。

LDAP 角色

任何 LDAP 角色皆可新增為此主旨的一個值。LDAP 角色是使用 Directory Server 角色功能定義的任何角色。這些角色具有 Directory Server 角色定義寄存的物件類別。可以在策略配置服務中修改 LDAP 角色搜尋篩選器，以縮小範圍和改善效能。

LDAP 使用者

任何 LDAP 使用皆可新增為此主旨的一個值。

組織

組織的任何成員都是此主旨的成員。

Web 服務用戶端

有效值為本機 JKS 鍵值儲存區中可信任憑證的 DN (與可信任 WSC 的憑證相對應)。此主旨取決於 Liberty Web 服務架構，並且僅應該由 Liberty 服務提供者用來授權 WSC。如果包含在 SSOToken 中的任何主體之 DN 與此主旨的任意所選值相符，則由 SSOToken 識別的 Web 服務用戶端 (WSC) 為此主旨的成員。

確定建立鍵值儲存區後再將此主旨加入策略。以下位置可以找到設定鍵值儲存區的資訊：

AccessManager-base /SUNWam/samples/saml/xmlsig/keytool.html

Access Manager 角色與 LDAP 角色的比較

Access Manager 角色是使用 Access Manager 建立的，這些角色具有 Access Manager 指派的物件類別。LDAP 角色是使用 Directory Server 角色功能定義的任何角色。這些角色具有 Directory Server 角色定義寄存的物件類別。所有 Access Manager 角色皆可用來做為 Directory Server 角色。不過，不是所有的 Directory Server 角色都一定會是 Access Manager 角色。藉由配置策略配置服務，您可從現有目錄取用 LDAP 角色。Access Manager 角色僅可透過託管 Access Manager 策略服務存取。可以在策略配置服務中修改 LDAP 角色搜尋篩選器，以縮小範圍和改善效能。

巢式角色

在策略定義中，巢式角色可以正確評估為 LDAP 角色。

條件

此條件允許您定義對策略的限制。例如，如果您在為薪金應用程式定義策略，可以定義僅在特定幾小時限制此動作存取應用程式的條件。或者，如果請求來自給定 IP 位址集或企業內部網路，可能希望定義僅允許此動作存取的條件。

此條件可能還用於在同一網域的不同 URL 中配置不同的策略。例如，http://org.example.com/hr/*jsp 只可由 org.example.net 在 9 a.m. 至 5 p.m. 之間存取，而 http://org.example.com/finance/*.jsp 可由 org.example2.net 在 5 a.m. 至 11 p.m. 之間存取。這可藉由使用 [IP 條件] 和 [時間條件] 來達成。將規則資源指定為 http://org.example.com/hr/*.jsp，此策略會套用於 http://org.example.com/hr 下的所有 JSP (包括子目錄中的 JSP)。

參考、規則、資源、主旨、條件、動作及值分別對應於 policy.dtd 中之元素 Referral、Rule、ResourceName、Subject、Condition、Attribute 及 Value。

您可新增的預設條件有：

認證層級

若使用者的認證層級大於或等於條件中設定的認證層級，則會套用策略。

此屬性指示認證的可信度。

認證層級條件可用來指定該範圍的已註冊認證層級以外的層級。要將策略套用到其他範圍認證的使用者時，這會很有用。

對於「LE 認證」，若使用者的認證層級低於或等於條件中設定的認證層級，則會套用策略。認證層級條件可用來指定該範圍的已註冊認證層級以外的層級。要將策略套用到其他範圍認證的使用者時，這會很有用。

認證方案

從下拉式功能表中選擇條件的認證方案。這些認證方案是在範圍的核心認證服務中定義的認證模組。

IP 位址

根據 IP 位址的範圍設定條件。您可以定義的欄位為：

• 起始/終止 IP 位址 — 指定 IP 位址的範圍。

• DNS 名稱 — 指定 DNS 名稱。此欄位可以為完整的主機名稱或以下之一格式的字串：

  domainname

  *.domainname

階段作業

根據使用者階段作業資料設定條件。您可以修改的欄位為：

• 最長階段作業時間 — 指定自階段作業初始開始時可套用策略的最長持續時間。

• 終止階段作業 — 選取時，如果階段作業時間超過 [最長階段作業時間] 欄位中定義所允許的最長時間，使用者階段作業將被終止。

  您可使用此條件來保護機密資源，限制認證後能使用資源的時間。

階段作業特性

根據設定於使用者 Access Manager 階段作業中的特性值來決定策略是否適用於請求。於策略評估期間，僅當使用者階段作業具有條件中定義的特性值時，條件才傳回 true。對於條件中以多重值定義於的特性，需記號具有至少一個條件中為特性列出的值。例如，您可使用此條件，根據外部儲存庫中的屬性套用策略。認證後外掛程式可根據外部屬性設定階段作業特性。

時間

根據時間限制設定條件。這些欄位包括：

• 起始/終止日期 — 指定日期的範圍。

• 時間 — 指定一天內的時間範圍。

• 日 — 指定天數範圍。

• 時區 — 指定時區 (標準或自訂)。自訂時區僅可為 Java 識別的時區 ID (例如，PST)。如果未指定值，則預設值為 Access Manager JVM 中設定的時區。

回應提供者

回應提供者為提供策略型回應屬性的外掛程式。回應提供者屬性會和策略決策一起傳送給 PEP。Access Manager 包括一個實作，即 IDResponseProvider。此版本的 Access Manager 不支援自訂回應提供者。代理程式 PEP 通常會將這些回應以標頭的形式傳遞給應用程式。應用程式通常使用這些屬性將應用程式頁面個人化，例如入口網站頁面。

策略建議

如果無法根據條件的決定來套用策略，條件可能會產生建議訊息，指出無法將策略套用至請求的原因。這些建議訊息會在策略決策中傳播至 [策略執行點]。[策略執行點] 可以擷取此建議，並嘗試採取適當的行動，例如將使用者重新導向回認證機制，以便進行更高層級認證。採取建議的適當行動後，接著，使用者可能會收到更高層級認證的提示，只要能夠使用策略，使用者可能可以存取資源。

以下類別有更多資訊：

com.sun.identity.policy.ConditionDecision.getAdvices()

如果條件不符，只有 AuthLevelCondiiton 和 AuthSchemeCondition 會提供建議。

AuthLevelCondition 建議與以下鍵值相關聯：

com.sun.identity.policy.plugin.AuthLevelCondition.AUTH_LEVEL_CONDITION_ADVICE

AuthSchemeCondition 建議與以下鍵值相關聯：

com.sun.identity.policy.plugin.AuthLevelCondition.AUTH_SCHEME_CONDITION_ADVICE

自訂條件也會產生建議。但是，Access Manager 策略代理程式僅回應認證層級認證和認證方案建議。可以寫入自訂代理程式來瞭解及回應其他建議，而現有 Access Manager 代理程式可以延伸來瞭解及回應其他建議。如需更多資訊，請參閱「Sun Java System Access Manager Policy Agent 2.2 User’s Guide」。