條件

條件可讓您定義對策略的限制。例如，如果您在為薪津應用程式定義策略，可以定義僅在特定幾小時限制此動作存取應用程式的條件。或者，如果請求來自給定 IP 位址集或企業內部網路，可能希望定義僅允許此動作存取的條件。

此條件可能還用於在同一網域的不同 URL 中配置不同的策略。例如，http://org.example.com/hr/*jsp 僅可以藉由 org.example.net 在上午 9 時至下午 5 時之間進行存取。配合使用 IP 條件與時間條件便可達此目的。將規則資源指定為 http://org.example.com/hr/*.jsp，此策略會套用於 http://org.example.com/hr 下的所有 JSP (包括子目錄中的 JSP)。

參照、規則、資源、主體、條件、動作及值等術語分別對應於 policy.dtd 中的元素 Referral、Rule、ResourceName、Subject、Condition、Attribute 及 Value。

您可增加的預設條件有：

作用中的階段作業時間

根據使用者階段作業資料設定條件。您可以修改的欄位為：

最長階段作業時間

指定自階段作業初始開始時可套用策略的最大持續時間。

終止階段作業

選取此欄位時，如果階段作業時間超過 [最大階段作業時間] 欄位中定義所允許的最大時間，則使用者階段作業將被終止。

認證鏈

若使用者成功認證到指定範圍內的認證鏈接，則會套用策略。若未指定範圍，則在任何範圍內的認證鏈接中進行的認證都滿足條件。

認證層級 (大於或等於)

若使用者的認證層級大於或等於條件中設定的認證層級，則會套用策略。此屬性指示指定範圍內認證的信任層級。

認證層級 (小於或等於)

若使用者的認證層級小於或等於條件中設定的認證層級，則會套用策略。此屬性指示指定範圍內認證的信任層級。

認證模組實例

若使用者成功認證到指定範圍內的認證模組，則會套用策略。若未指定範圍，則在任何範圍內認證模組的認證都滿足條件。

目前的階段作業特性

根據使用者的 Access Manager 階段作業中設定的特性值來判定策略是否適用於請求。於策略評估期間，僅當使用者階段作業具有條件中定義的每個特性值時，條件才傳回 true。對於條件中以多重值定義於的特性，若記號具有至少一個條件中為特性列出的值即可。

IP 位址/DNS 名稱

根據 IP 位址範圍設定條件。您可以定義的欄位為：

IP 位址自/至

指定 IP 位址的範圍。

DNS 名稱

指定 DNS 名稱。此欄位可以為完整的主機名稱或以下之一格式的字串：

domainname

*.domainname

LDAP 篩選條件

當定義的 LDAP 篩選器在策略配置服務中指定的 LDAP 目錄中尋找使用者項目時，就會套用策略。這僅於定義策略所在的範圍內才適用。

範圍認證

若使用者成功認證到指定範圍，則會套用策略。

時間 (星期幾、日期、時間和時區)

根據時間限制來設定條件。這些欄位包括：

日期自/至

指定日期範圍。

時間

指定一天內的時間範圍。

星期幾

指定星期幾的範圍。

時區

指定時區 (標準或自訂)。自訂時區僅可為 Java 識別的時區 ID (例如，PST)。如果未指定值，則預設值為 Access Manager JVM 中設定的時區。