Utilizzo dei criteri SAML in un proxy API

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Security Assertion Markup Language (SAML)

La specifica Security Assertion Markup Language (SAML) definisce formati e protocolli che consentono alle applicazioni di scambiare informazioni in formato XML per l'autenticazione e l'autorizzazione.

Apigee API Services consente di autenticare e autorizzare le app in grado di presentare token SAML. Un token SAML è un frammento di XML firmato digitalmente che presenta un insieme di "asserzioni". Queste asserzioni possono essere utilizzate per applicare l'autenticazione e l'autorizzazione.

Per utilizzare la terminologia SAML, i servizi API possono Function as a Service provider (SP) o da provider di identità (IDP). Quando API Services convalida i token SAML nelle richieste in entrata dalle app, agisce nel ruolo di SP. (API Services può anche agire nel ruolo di IdP quando genera token SAML da utilizzare per comunicare con i servizi di backend. Vedi Sicurezza dell'ultimo miglio.

Il tipo di criterio SAML consente ai proxy API di convalidare le asserzioni SAML allegate alle richieste SOAP in entrata. La policy SAML convalida i messaggi in entrata che contengono un'asserzione SAML con firma digitale, li rifiuta se non sono validi e imposta variabili che consentono a policy aggiuntive o ai servizi di backend stessi di convalidare ulteriormente le informazioni nell'asserzione.

Per convalidare i token SAML, devi rendere disponibili i certificati digitali per il criterio SAML creando almeno un TrustStore. I TrustStore sono limitati agli ambienti delle tue organizzazioni. In questo modo, puoi configurare diverse catene di attendibilità in test e produzione, assicurandoti che i token SAML di test non possano essere utilizzati in produzione e viceversa.

Per informazioni dettagliate sulla convalida SAML, consulta le norme relative all'asserzione SAML.