Los servicios de API de Apigee te permiten autenticar y autorizar las aplicaciones que son capaces de presentar tokens de SAML. Un token de SAML es un fragmento de XML firmado digitalmente que presenta un conjunto de "aserciones". Estas aserciones se pueden usar para aplicar la autenticación y la autorización.
Para usar la terminología de SAML, los servicios de API pueden funcionar como un proveedor de servicios (SP) o un proveedor de identidad (IDP). Cuando los servicios de API validan los tokens de SAML en las solicitudes entrantes de las apps, actúan como SP. (Los servicios de API también pueden actuar en la función de IDP cuando se generan tokens de SAML para comunicarse con los servicios de backend. Consulta Seguridad de la red de acceso).
El tipo de política de SAML permite que los proxies de API validen las aserciones de SAML que se adjuntan a las solicitudes SOAP entrantes. La política de SAML valida los mensajes entrantes que contienen una aserción SAML con firma digital, los rechaza si no son válidos y configura variables que permiten políticas adicionales, o los servicios de backend, para validar aún más la información en la aserción.
A fin de validar los tokens de SAML, debes hacer que los certificados digitales estén disponibles para la política de SAML. Para ello, crea al menos un TrustStore. Los TrustStores están limitados a entornos en tus organizaciones.
Por lo tanto, puedes configurar diferentes cadenas de confianza en los entornos de prueba y de producción, y asegurarte de que los tokens de prueba de SAML no se puedan usar en la producción, y viceversa.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eApigee API Services supports the authentication and authorization of apps using SAML tokens, which are digitally signed XML fragments containing assertions.\u003c/p\u003e\n"],["\u003cp\u003eApigee can function as either a service provider (SP) to validate SAML tokens from apps or as an Identity Provider (IDP) to generate SAML tokens for backend services.\u003c/p\u003e\n"],["\u003cp\u003eThe SAML policy in Apigee allows API proxies to validate SAML assertions within inbound SOAP requests, rejecting invalid ones and enabling further validation.\u003c/p\u003e\n"],["\u003cp\u003eValidating SAML tokens in Apigee requires the use of TrustStores, which are environment-specific collections of digital certificates for managing trust chains.\u003c/p\u003e\n"]]],[],null,["# Using SAML policies in an API proxy\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nSecurity Assertion Markup Language (SAML)\n-----------------------------------------\n\nThe [Security\nAssertion Markup Language (SAML)](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language) specification defines formats and protocols that enable\napplications to exchange XML-formatted information for authentication and authorization.\n\nApigee API Services enables you to authenticate and authorize apps that are capable of\npresenting SAML tokens. A SAML token is a digitally signed fragment of XML that presents a set of\n\"assertions\". These assertions can be used to enforce authentication and authorization.\n\nTo use SAML terminology, API Services can function as a service provider (SP) or an Identity\nProvider (IDP). When API Services validates SAML tokens on inbound requests from apps, it acts in\nthe role of SP. (API Services can also act in the IDP role, when generating SAML tokens to be used\nwhen communicating with backend services. See\n[Last-mile security](/apigee/docs/api-platform/security/last-mile-security)).\n\nThe SAML policy type enables API proxies to validate SAML assertions that are attached to\ninbound SOAP requests. The SAML policy validates incoming messages that contain a\ndigitally-signed SAML assertion, rejects them if they are invalid, and sets variables that allow\nadditional policies, or the backend services itself, to further validate the information in the\nassertion.\n\nTo validate SAML tokens, you need to make digital certificates available to the SAML policy by\ncreating at least one TrustStore. TrustStores are scoped to environments in your organizations.\nThus, you can configure different trust chains in test and prod, ensuring that test SAML tokens\ncannot be used in prod, and vice-versa.\n\nFor details on SAML validation, see\n[SAML Assertion\npolicies](/apigee/docs/api-platform/reference/policies/saml-assertion-policy)."]]
