條件可讓您定義對策略的限制。例如,如果您在為薪津應用程式定義策略,可以定義僅在特定幾小時限制此動作存取應用程式的條件。或者,如果請求來自給定 IP 位址集或企業內部網路,可能希望定義僅允許此動作存取的條件。
此條件可能還用於在同一網域的不同 URL 中配置不同的策略。例如,http://org.example.com/hr/*jsp 僅可以藉由 org.example.net 在上午 9 時至下午 5 時之間進行存取。配合使用 IP 條件與時間條件便可達此目的。將規則資源指定為 http://org.example.com/hr/*.jsp,此策略會套用於 http://org.example.com/hr 下的所有 JSP (包括子目錄中的 JSP)。
參照、規則、資源、主體、條件、動作及值等術語分別對應於 policy.dtd 中的元素 Referral、Rule、ResourceName、Subject、Condition、Attribute 及 Value。
您可增加的預設條件有:
指定自階段作業初始開始時可套用策略的最大持續時間。
選取此欄位時,如果階段作業時間超過 [最大階段作業時間] 欄位中定義所允許的最大時間,則使用者階段作業將被終止。
若使用者成功認證到指定範圍內的認證鏈接,則會套用策略。若未指定範圍,則在任何範圍內的認證鏈接中進行的認證都滿足條件。
若使用者的認證層級大於或等於條件中設定的認證層級,則會套用策略。此屬性指示指定範圍內認證的信任層級。
若使用者的認證層級小於或等於條件中設定的認證層級,則會套用策略。此屬性指示指定範圍內認證的信任層級。
若使用者成功認證到指定範圍內的認證模組,則會套用策略。若未指定範圍,則在任何範圍內認證模組的認證都滿足條件。
根據使用者的 Access Manager 階段作業中設定的特性值來判定策略是否適用於請求。於策略評估期間,僅當使用者階段作業具有條件中定義的每個特性值時,條件才傳回 true。對於條件中以多重值定義於的特性,若記號具有至少一個條件中為特性列出的值即可。
指定 IP 位址的範圍。
指定 DNS 名稱。此欄位可以為完整的主機名稱或以下之一格式的字串:
domainname
*.domainname
當定義的 LDAP 篩選器在策略配置服務中指定的 LDAP 目錄中尋找使用者項目時,就會套用策略。這僅於定義策略所在的範圍內才適用。
指定日期範圍。
指定一天內的時間範圍。
指定星期幾的範圍。
指定時區 (標準或自訂)。自訂時區僅可為 Java 識別的時區 ID (例如,PST)。如果未指定值,則預設值為 Access Manager JVM 中設定的時區。