修补程序 5 允许不同的应用程序拥有不同的会话闲置超时值。在企业中,某些应用程序可能需要比会话服务中指定的会话闲置超时更短的会话闲置超时值。例如,您在会话服务中将会话的闲置超时值指定为 30 分钟,但 HR 应用程序应在用户闲置超过 10 分钟后即超时。
使用此功能的要求如下:
必须将保护应用程序的代理配置为从 Access Manager 强制执行 URL 策略决定。
代理必须配置为在自我策略决定高速缓存模式下运行。参见以下属性:
对于 Web 代理:com.sun.am.policy.am.fetch_from_root_resource
对于 J2EE 代理:com.sun.identity.policy.client.cacheMode
Access Manager AMConfig.properties 文件必须指定策略组件评估顺序以便最后评估“条件”。参见以下属性:
com.sun.identity.policy.Policy.policy_evaluation_weights
Access Manager 上的“条件”无法得知代理根据本地高速缓存的决策所允许的应用程序访问。因此,实际的应用程序闲置超时将介于应用程序闲置超时与应用程序闲置超时减去代理高速缓存持续时间之间。
要使用此功能:
将“验证模式条件”添加到保护应用程序(这些应用程序需要特定于应用程序的会话闲置超时)的策略中。
在“验证模式条件”中指定“应用程序名称”和“超时值”。
在所有适用于应用程序资源的策略中使用相同的“应用程序名称”和“超时值”。
指定“超时值”(单位为分钟)。如果该值为 0 或大于在会话服务中指定的会话闲置超时值,则忽略该值并应用来自会话服务的超时。
例如,考虑具有如下“验证模式条件”的策略 http://host.sample.com/hr/*:
验证模式:LDAP
应用程序名称:HR
超时值:10
如果定义了多个策略来保护 HR 应用程序的资源,则您必须将该“条件”添加到所有策略。
当不同会话中的用户尝试访问 Access Manager 代理所保护的 HR 应用程序时,系统会提示该用户进行 LDAP 模式验证(如果用户尚未通过验证)。
如果用户已通过 LDAP 模式验证,则仅当距上次验证的时间小于 10 分钟或距用户上次访问 HR 应用程序的时间小于 10 分钟时,才允许用户执行访问。否则,系统会再次提示用户进行 LDAP 模式验证以访问应用程序。