openam+j2ee_agent 中策略和过滤器的配置问题

配置了openam服务和j2ee agent，现在代理所在tomcat中有两个受保护的webapp，web1与web2,openam配置了两个用户user1,user2， 现在要求user1 既可以访问web1和web2，而user2只能访问web2（要求配置策略使user2无法访问web1）,那么j2ee代理过滤器怎么配（J2EE_POLICY,SSO_ONLY,ALL,URL_POLICY）,策略又该怎么配置?