ポリシ、規則、制限、条件の評価

ユーザーが、Secure Access エンドユーザーコンソールのURLをWebブラウザに入力します。
SAは自らのサインインポリシを（管理者URLで始まりユーザーURLにいたるまで）、ユーザーが入力したホスト名と一致するまで評価します。
SAは認証前の制限を評価し、ユーザーのシステムがホストチェックなどの要件を満たしているかどうかを判断します。認証前チェックに失敗した場合に、SAはユーザーアクセスを拒否します。チェックに合格すると、SAは認証前チェックに合格した領域のユーザー名とパスワードを入力するようにユーザーに指示します（領域によっては、SAはユーザーに資格証明書を2セット入力するように指示します）。複数の領域が存在する場合、ユーザーは領域を入力するか、またはリストから選択する必要があります。
SAは認証後の制限を評価し、ユーザーのパスワードが指定された制限や要件を満たしているかどうかを判断します。認証後チェックに失敗した場合に、SAはユーザーアクセスを拒否します。チェックに合格すると、SAはユーザーの資格証明書を領域の認証サーバーに渡します。
SAはユーザーのユーザー名とパスワードを認証サーバーに転送し、サーバーは認証の承認または失敗を返信します(RADIUSまたはSiteMinder認証サーバーは、SAがロールマッピングで使用する属性も返します)。認証サーバーが失敗を返した場合、SAはユーザーアクセスを拒否します。サーバーが承認を返した場合、SAはユーザーの資格証明書を保存します。領域に別のLDAP認証サーバーがある場合、SAはそのLDAP認証サーバーにも属性とグループ情報を問い合わせ、LDAPが返した情報を保存します。領域にセカンダリ認証サーバーが含まれる場合、SAはこのプロセスをセカンダリ認証サーバーにも繰り返します。
SAは領域のロールマッピング規則を評価して、ユーザーに対する適格なロールを判断します。SAは、LDAPまたはRADIUSサーバーの情報、あるいはユーザー名を使用して、適格性を判断します。
SAは適格なロールの制限を確認し、ユーザーに対し、ユーザーのコンピュータが制限を満たしているロールへのアクセスを許可します。制限には、ソースIP、ブラウザの種類、クライアントサイド証明書、ホストチェッカー、キャッシュクリーナーなどがあげられます。
SAはセッションロールを作成し、ユーザーのセッション権限を決定します。パーミッシブマージを有効にした場合、SAは有効なロールすべてをマージし、有効な各ロールの許可されたリソースを許可することによって、セッション権限を決定します。マージを無効にした場合、SAはユーザーがマップされている最初のロールにユーザーを割り当てます。
ユーザーがリソースを要求すると、SAは対応するアクセス機能がそのセッションユーザーロールに対して有効かどうかを調べます。有効でない場合、SAはユーザーアクセスを拒否します。アクセス機能が有効である場合、SAはリソースポリシを評価します。
SAは、リソースリストと指定されたロールがユーザーの要求と一致するプロファイルまたはポリシが見つかるまで、ユーザーの要求に関連するリソースプロファイルとポリシを連続して処理し、評価します。プロファイルまたはポリシで指定された場合、SAはそのリソースへのユーザーアクセスを拒否します。それ以外の場合、プロファイルまたはポリシがアクセスを有効化している場合はSAはユーザー要求を仲介します。
SAはユーザー要求を仲介し、ユーザー要求と資格証明書（必要な場合）を、適切なサーバーに転送します。次に、SAはサーバーからの応答をユーザーに転送します。
ユーザーは、要求されたリソースまたはアプリケーションサーバーにアクセスします。ユーザーがサインアウトするか、時間制限あるいは一定時間操作を行わないことによってセッションタイムアウトになると、ユーザーセッションは終了します。さらに、動的ポリシ評価を有効化して、ユーザーがポリシに失敗した場合、SAがユーザーを強制終了する場合があります。