关于登录应用程序

登录应用程序定义登录模块组的集合，登录模块组进一步定义用户登录 Identity Manager 时使用的登录模块的集合和顺序。每个登录应用程序都由一个或多个登录模块组构成。

登录时，登录应用程序会检查其登录模块组集。如果只设置了一个登录模块组，则会使用这个组，并按组中登录模块的定义顺序处理包含的登录模块。如果登录应用程序中含有多个定义的登录模块组，则 Identity Manager 将检查应用于每个登录模块组的登录约束规则以确定要处理的组。

登录约束规则

可以将登录约束规则应用于登录模块组。对于登录应用程序中的每个登录模块组集，如果只有一个组，则不能应用登录约束规则。

当确定要处理一个集合中的哪一个登录模块组时，Identity Manager 评估第一个登录模块组的约束规则。如果成功，则会处理该登录模块组。如果失败，则将依次评估每个登录模块组，直到约束规则成功或评估没有约束规则的登录模块组（随即使用该组）。

如果登录应用程序包含多个登录模块组，则应将没有登录约束规则的登录模块组放在集合的最后位置。

登录约束规则示例

下例是基于位置的登录约束规则，此规则从 HTTP 标头获取请求者的 IP 地址，然后检查该地址是否位于 192.168 网络。如果 IP 地址中有 192.168.，则此规则将返回值 True 并选择此登录模块组。

示例 12–1 基于位置的登录约束规则

<Rule authType=’LoginConstraintRule’ name=’Sample On Local Network’> 
<match> <ref>remoteAddr</ref> <s>192.168.</s> </match> 
<MemberObjectGroups> <ObjectRef type=’ObjectGroup’ name=’All’/> </MemberObjectGroups> 
</Rule>