パッチ 5 では、アプリケーションごとに異なるセッションアイドルタイムアウト値を設定できます。企業では、セッションサービスに指定されたセッションアイドルタイムアウトより小さいセッションアイドルタイムアウト値が一部のアプリケーションで必要になる場合があります。たとえば、セッションサービスのセッションアイドルタイムアウト値を 30 分に指定したが、HR アプリケーションはユーザーが 10 分以上アイドル状態だったらタイムアウトするべきである場合などです。
この機能を使用するための要件は、次のとおりです。
アプリケーションを保護するエージェントは、Access Manager から URL ポリシー決定を適用するように設定する必要があります。
エージェントは、自己ポリシー決定キャッシュモードで動作するように設定する必要があります。次のプロパティーを参照してください。
Web エージェントの場合: com.sun.am.policy.am.fetch_from_root_resource
J2EE エージェントの場合: com.sun.identity.policy.client.cacheMode
Access Manager の AMConfig.properties ファイルで、条件が最後に評価されるようにポリシーコンポーネントの評価順序を指定する必要があります。次のプロパティーを参照してください。
com.sun.identity.policy.Policy.policy_evaluation_weights
エージェントがローカルにキャッシュされた決定に基づいて許可したアプリケーションアクセスは、Access Manager の条件では認識されません。このため、実際のアプリケーションアイドルタイムアウトの範囲は、アプリケーションのアイドルタイムアウト値から、アプリケーションのアイドルタイムアウトからエージェントのキャッシュ期間を引いた値までになります。
この機能を使用するには、次の手順に従います。
アプリケーション固有のセッションアイドルタイムアウトを必要とするアプリケーションを保護するポリシーに認証方式条件を追加します。
認証方式条件にアプリケーション名とタイムアウト値を指定します。
アプリケーションのリソースに適用されるすべてのポリシーで、同じアプリケーション名とタイムアウト値を使用します。
タイムアウト値は分単位で指定します。値が 0 であるか、セッションサービスに指定されたセッションアイドルタイムアウト値より大きい場合、その値は無視され、セッションサービスのタイムアウトが適用されます。
たとえば次の認証方式条件を持つポリシー http://host.sample.com/hr/* があるとします。
認証方式: LDAP
アプリケーション名: HR
タイムアウト値: 10
HR アプリケーションのリソースを保護するために定義されたポリシーが複数ある場合は、すべてのポリシーに条件を追加してください。
個別のセッション内のユーザーが Access Manager エージェントによって保護された HR アプリケーションにアクセスしようとすると、そのユーザーは LDAP 方式への認証を要求されます (ユーザーがまだ認証されていない場合)。
ユーザーがすでに LDAP 方式に認証されている場合は、最後に認証が行われた時間またはそのユーザーが HR アプリケーションに最後にアクセスした時間から 10 分以上経過していなければ、そのユーザーにアクセスが許可されます。それ以外の場合は、ユーザーがアプリケーションにアクセスしようとすると、再度 LDAP 方式への認証が要求されます。