主體

主體定義策略將影響的使用者或使用者集合 (例如，擁有特定角色的群組或使用者)。主體的一般原則是，只有當使用者為策略中至少一個主體的成員時，策略才適用。預設主體為：

Access Manager 識別主體

此主體暗指您於 [範圍主體] 標籤下建立與管理的識別可做為主體的一個成員增加。

經認證的使用者

此主體類型表示具有有效 SSOToken 的任何使用者均為此主體的成員。

所有認證的使用者都將成為此主體的成員，即使這些使用者已在與定義策略之組織不同的範圍內進行認證。如果資源所有者想要將存取權限授予其他組織的使用者所管理的資源，這個功能很有用。若要限制對特定組織的成員存取保護的資源，請使用組織主體。

Web 服務用戶端

此主體類型表示，如果包含在 SSOToken 中的任何主體之 DN 與此主體的任意所選值相符，則由 SSOToken 識別的 Web 服務用戶端 (WSC) 為此主體的成員。有效值為本機 JKS 鍵值儲存區中可信任憑證的 DN (與可信任 WSC 的憑證相對應)。此主體取決於 Liberty Web 服務架構，並且僅應該由 Liberty 服務提供者用來授權 WSC。

確定建立鍵值儲存區後再將此主體加入策略。以下位置可以找到設定鍵值儲存區的資訊：

AccessManager-base /SUNWam/samples/saml/xmlsig/keytool.html

在範圍的 [策略配置服務] 中選取下列的附加主體後，便可使用它們：

Access Manager 角色

此主體類型表示 Access Manager 角色的任何成員均為此主體的成員。使用舊有模式下的 Access Manager 及基於版本 6.3 的主控台，可以建立 Access Manager 角色。這些角色具有 Access Manager 代管的物件類別。Access Manager 角色僅可透過代管 Access Manager 策略服務存取。

LDAP 群組

此主體類型表示 LDAP 群組的任何成員均為此主體的成員。

LDAP 角色

此主體類型表示 LDAP 角色的任何成員均為此主體的成員。LDAP 角色是使用 Directory Server 角色功能的任何角色定義。這些角色具有 Directory Server 角色定義代管的物件類別。可以在策略配置服務中修改 LDAP 角色搜尋篩選器，以縮小範圍和改善效能。

LDAP 使用者

此主體類型表示任何 LDAP 使用者均為此主體的成員。

組織

此主體類型表示範圍的任何成員均為此主體的成員。

Access Manager 角色與 LDAP 角色的比較

Access Manager 角色是使用 Access Manager 建立的，這些角色具有 Access Manager 指派的物件類別。LDAP 角色是使用 Directory Server 角色功能的任何角色定義。這些角色具有 Directory Server 角色定義代管的物件類別。所有 Access Manager 角色皆可用來做為 Directory Server 角色。不過，不是所有的 Directory Server 角色都一定會是 Access Manager 角色。藉由配置策略配置服務，您可從現有目錄取用 LDAP 角色。Access Manager 角色僅可透過代管 Access Manager 策略服務存取。可以在策略配置服務中修改 LDAP 角色搜尋篩選器，以縮小範圍和改善效能。

巢式角色

在策略定義中，巢式角色可以正確評估為 LDAP 角色。