授权

Access Manager 还包括策略服务，该服务提供对 Java ES 环境中基于 Web 的资源的访问控制。policy（策略）是描述授权何人在特定条件下访问特定资源的规则。下图显示了授权顺序。

图 3–3 授权顺序

当经过验证的用户对受 Access Manager 保护的任何资源提出请求时 (1)，策略代理会通知策略服务 (2)，后者使用 Directory Server 中的信息对控制该资源的访问策略进行判断 (3)，以查明该用户是否有权访问该资源 (4)。如果该用户有访问权限 (5)，则履行资源请求 (6)。

Access Manager 为在企业内部定义、修改、准许、撤销和删除策略提供了相应的手段。策略存储在 Directory Server 中，通过组织条目中与策略相关的属性进行配置。还可以为用户定义角色并将其合并到策略定义中。

Access Manager 策略代理是策略的实施者。当策略服务拒绝某一访问请求时，策略代理会阻止该请求用户访问受安全保护的资源。