Rule 元素

Rule 元素定義策略特性並可接受三個子元素：ServiceName、ResourceName 或 AttributeValuePair。可定義為其建立策略服務類型或應用程式，以及於其中執行的資源和動作。規則可被定義為不具任何動作；例如，參照策略規則不具任何動作。

已定義策略不含已定義 ResourceName 元素是可接受的。

ServiceName 元素

ServiceName 元素定義套用策略的服務之名稱。此元素代表服務類型。不包含任何其他元素。此值與服務的 XML 檔案中定義之值完全相同 (以 sms.dtd 為根據)。ServiceName 元素的 XML 服務屬性為服務的名稱 (可接受字串值)。

ResourceName 元素

ResourceName 元素定義據以行動的物件。策略已經特別配置為保護這個物件。不包含任何其他元素。ResourceName 元素的 XML 服務屬性為物件的名稱。ResourceName 的範例可以是 http://www.sunone.com:8080/images (在 Web 伺服器上) 或 ldap://sunone.com:389/dc=example,dc=com (在目錄伺服器上)。更特定的資源可以是 salary://uid=jsmith,ou=people,dc=example,dc=com，其中將據以行動的物件是 John Smith 的薪資資訊。

AttributeValuePair 元素

AttributeValuePair 元素定義動作和動作的值。它被用來做為 Subject 元素、Referral 元素及 Condition 元素的子元素。其同時包含 Attribute 與 Value 元素，而且沒有 XML 服務屬性。

Attribute 元素

Attribute 元素定義動作的名稱。一個動作為在資源上執行的作業或事件。POST 或 GET 為 Web 伺服器資源上執行的動作，READ 或 SEARCH 為目錄伺服器上執行的動作。Attribute 元素必須與 Value 元素配對使用。Attribute 元素本身不包含其他任何元素。Attribute 元素的 XML 服務屬性為動作的名稱。

Value 元素

Value 元素定義動作值。Allow/deny 或 yes/no 為動作值範例。其他動作值可以是布林值、數字或字串。其值在定義於服務的 XML 檔案中 (以 sms.dtd 為根據)。Value 元素不包含其他任何元素，而且也不包含 XML 服務屬性。

拒絕規則永遠優先於允許規則。例如，如果一個策略是拒絕，另一種是允許，則結果是拒絕 (假如同時滿足這兩種策略條件)。由於拒絕策略可能導致這兩種策略之間產生潛在的衝突，因此建議您使用拒絕策略時要非常謹慎。如果使用明確的拒絕規則，透過不同主旨 (如角色和/或群組成員身份) 為給定使用者指定的策略也可能會導致拒絕對資源存取。通常，策略定義程序應該僅使用允許規則。如果未套用其他策略則可能使用預設的拒絕。