策略代理过程

当 Web 浏览器向驻留于策略代理所保护的服务器中的 URL 发出请求后，即开始受保护 Web 资源的过程。服务器中已安装的策略代理会截取请求并检查现有的验证凭证（会话标记）。

如果代理已截取请求并验证了现有的会话标记，随后将发生以下过程。

1. 如果会话标记有效，则允许或拒绝用户的访问。如果会话标记无效，则用户将被重定向到“验证服务”，如下列各步骤所述。

   假设代理截取了某一请求，而对于该请求不存在任何现有会话标记，则代理将用户重定向到登录页面，即使用不同验证方法保护资源也是如此。

2. 正确验证用户凭证后，代理会向定义用于连接到 Access Manager 内部服务的 URL 的“命名服务”发布请求。

3. 如果资源与在代理处配置的非执行列表匹配，则允许访问。

4. “命名服务”返回策略服务、会话服务和日志记录服务的定位器。

5. 代理将请求发送到“策略服务”以获取适用于用户的策略决策。

6. 是允许用户访问还是拒绝用户访问，需根据当前访问资源的策略决策而定。如果对策略决策的建议指示出不同的验证级别或验证机制，代理会将请求重定向到“验证服务”，直到所有条件都经过验证为止。