Вы можете иметь Target in PolicySet, Policy и Rule. Все они достигают одного и того же, то есть ограничивают область действия элемента (PolicySet, Policy или Rule).
Ваш вопрос должен быть больше вокруг, почему три элемента? на самом деле это способ разделить и победить вашу проблему авторизации. Представьте, что вы работаете с авторизацией для всего банка. У вас может быть набор политик, ориентированный на розничную часть банка, а другой - на коммерческую сторону банка. В целевом элементе PolicySet будет иметься атрибут, который будет различать розничный и коммерческий.
Внутри розничного банка PolicySet вы можете иметь другую серию наборов политик или, возможно, просто политики, где Target будет различать разные приложения. Внутри каждого элемента Policy вы можете иметь элементы Rule, которые будут иметь цели, различающие функции приложений.
HTH