此條件允許您定義對策略的限制。例如,如果您在為薪金應用程式定義策略,可以定義僅在特定幾小時限制此動作存取應用程式的條件。或者,如果請求來自給定 IP 位址集或企業內部網路,可能希望定義僅允許此動作存取的條件。
此條件可能還用於在同一網域的不同 URL 中配置不同的策略。例如,http://org.example.com/hr/*jsp 只可由 org.example.net 在 9 a.m. 至 5 p.m. 之間存取,而 http://org.example.com/finance/*.jsp 可由 org.example2.net 在 5 a.m. 至 11 p.m. 之間存取。這可藉由使用 [IP 條件] 和 [時間條件] 來達成。將規則資源指定為 http://org.example.com/hr/*.jsp,此策略會套用於 http://org.example.com/hr 下的所有 JSP (包括子目錄中的 JSP)。
參考、規則、資源、主旨、條件、動作及值分別對應於 policy.dtd 中之元素 Referral、Rule、ResourceName、Subject、Condition、Attribute 及 Value。
您可新增的預設條件有:
若使用者的認證層級大於或等於條件中設定的認證層級,則會套用策略。
此屬性指示認證的可信度。
認證層級條件可用來指定該範圍的已註冊認證層級以外的層級。要將策略套用到其他範圍認證的使用者時,這會很有用。
對於「LE 認證」,若使用者的認證層級低於或等於條件中設定的認證層級,則會套用策略。認證層級條件可用來指定該範圍的已註冊認證層級以外的層級。要將策略套用到其他範圍認證的使用者時,這會很有用。
起始/終止 IP 位址 — 指定 IP 位址的範圍。
DNS 名稱 — 指定 DNS 名稱。此欄位可以為完整的主機名稱或以下之一格式的字串:
domainname
*.domainname
根據使用者階段作業資料設定條件。您可以修改的欄位為:
最長階段作業時間 — 指定自階段作業初始開始時可套用策略的最長持續時間。
終止階段作業 — 選取時,如果階段作業時間超過 [最長階段作業時間] 欄位中定義所允許的最長時間,使用者階段作業將被終止。
您可使用此條件來保護機密資源,限制認證後能使用資源的時間。
根據設定於使用者 Access Manager 階段作業中的特性值來決定策略是否適用於請求。於策略評估期間,僅當使用者階段作業具有條件中定義的特性值時,條件才傳回 true。對於條件中以多重值定義於的特性,需記號具有至少一個條件中為特性列出的值。例如,您可使用此條件,根據外部儲存庫中的屬性套用策略。認證後外掛程式可根據外部屬性設定階段作業特性。
根據時間限制設定條件。這些欄位包括:
起始/終止日期 — 指定日期的範圍。
時間 — 指定一天內的時間範圍。
日 — 指定天數範圍。
時區 — 指定時區 (標準或自訂)。自訂時區僅可為 Java 識別的時區 ID (例如,PST)。如果未指定值,則預設值為 Access Manager JVM 中設定的時區。