条件

条件允许您定义对策略的限制。例如，为某个薪金应用程序定义策略时，可以为该操作定义一个条件，限定只能在特定的时间内访问该应用程序。另外，您还可以定义另一种条件，限定只有当请求是来自指定的一组 IP 地址或公司内部网时才允许执行该操作。

此外，条件还可以用于配置同一个域的不同 URI 上的不同策略。例如，http://org.example.com/hr/*jsp 只能通过 org.example.net 在 9 a.m. 到 5 p.m. 之间进行访问。同时使用“IP 条件”和“时间条件”便可实现上述目的。将规则资源指定为 http://org.example.com/hr/*.jsp，策略将应用到 http://org.example.com/hr 下的所有 JSP 文件，包括子目录中的 JSP 文件。

引用、规则、资源、主题、条件、操作和值等术语分别对应于 policy.dtd 中的 Referral、Rule、ResourceName、Subject、Condition、Attribute 和 Value 等元素。

可以添加的默认条件是：

活动会话时间

根据用户会话数据设置条件。您可以修改的字段包括：

最长会话时间

指定从发起会话起，策略可应用的最长持续时间。

终止会话

如果选择该字段，当会话时间超过“最长会话时间”字段中定义的最长允许时间时，系统将终止该用户会话。

验证链

如果用户已在指定领域中向验证链成功验证，则应用该策略。如果未指定领域，则向任何领域中的验证链进行验证均满足条件。

验证级别（大于或等于）

如果用户的验证级别大于或等于条件中设置的验证级别，则应用该策略。 该属性表明指定领域内的验证信任级别。

验证级别（小于或等于）

如果用户的验证级别低于或等于在条件中设置的验证级别，则应用该策略。该属性表明指定领域内的验证信任级别。

验证模块实例

如果用户已在指定领域内向验证模块成功进行验证，则应用该策略。如果未指定领域，则向任何领域中的验证模块进行验证均满足条件。

当前会话属性

根据用户的 Access Manager 会话中设置的属性值来决定策略是否适用于相应的请求。策略评估期间，仅当用户会话的每个属性值均符合条件中的定义时，条件才会返回 "true"。对于在条件中定义了多个值的属性，令牌只要具有条件的属性中列出的一个值就足够了。

IP 地址/DNS 名称

根据 IP 地址的范围设置条件。您可以定义的字段包括：

起始/结束 IP 地址

指定 IP 地址的范围。

DNS 名称

指定 DNS 的名称。此字段可以是全限定主机名，也可以是采用以下格式之一的字符串：

domainname

*.domainname

LDAP 过滤条件

当已定义的 LDAP 过滤器在 LDAP 目录（在“策略配置”服务中指定）中查找用户条目时，应用该策略。该条件仅在定义该策略的领域内适用。

领域验证

如果用户已向指定领域进行验证，则应用此策略。

时间（天、日期、时间和时区）

根据时间限制设置条件。这些字段包括：

起始/结束日期

指定日期的范围。

时间

指定一天中的时间范围。

日

指定表示天数的范围。

时区

指定一个标准的或自定义的时区。自定义的时区只能是可由 Java 识别的时区 ID（例如，PST）。如果未指定值，默认值为 Access Manager JVM 中设置的时区。