在 API Proxy 中使用 SAML 政策

本頁內容適用於 ApigeeApigee Hybrid

查看 Apigee Edge 說明文件。

安全宣告標記語言 (SAML)

安全宣告標記語言 (SAML) 規格定義的格式和通訊協定,可讓應用程式交換 XML 格式的資訊,以進行驗證和授權。

Apigee API 服務可讓您驗證及授權能夠提供 SAML 權杖的應用程式。SAML 權杖是經過數位簽署的 XML 片段,其中包含一組「聲明」。這些判斷可用於強制執行驗證和授權。

以 SAML 術語來說,API 服務可做為服務供應商 (SP) 或身分識別提供者 (IDP)。當 API 服務驗證應用程式傳入要求中的 SAML 權杖時,會扮演 SP 角色。(API 服務也可以扮演 IDP 角色,在與後端服務通訊時,產生要使用的 SAML 權杖。請參閱「最後一里安全措施」一文。

API Proxy 可透過 SAML 政策類型,驗證附加至傳入 SOAP 要求中的 SAML 聲明。SAML 政策會驗證含有數位簽章 SAML 聲明的傳入訊息,如果無效則會拒絕,並設定變數,讓其他政策或後端服務本身進一步驗證聲明中的資訊。

如要驗證 SAML 權杖,您必須建立至少一個 TrustStore,將數位憑證提供給 SAML 政策。TrustStore 的範圍僅限於機構中的環境。 因此,您可以在測試和正式環境中設定不同的信任鏈,確保測試 SAML 權杖無法在正式環境中使用,反之亦然。

如要瞭解 SAML 驗證的詳細資訊,請參閱「SAML 聲明政策」。