La spécification SAML (Security Assertion Markup Language) définit les formats et les protocoles permettant aux applications d'échanger des informations au format XML pour l'authentification et l'autorisation.
Les services d'API Apigee vous permettent d'authentifier et d'autoriser les applications capables de présenter des jetons SAML. Un jeton SAML est un fragment de code XML signé numériquement qui présente un ensemble d'"assertions". Ces assertions peuvent être utilisées pour appliquer l'authentification et l'autorisation.
Pour utiliser la terminologie SAML, les services d'API peuvent fonctionner en tant que Fournisseur de services (SP) ou Fournisseur d'identité (IDP). Lorsque les services d'API valident des jetons SAML sur les requêtes entrantes des applications, il agit dans le rôle de SP. (Les services d'API peuvent également agir dans le rôle IDP, lors de la génération de jetons SAML à utiliser lors de la communication avec les services de backend. Voir la section Sécurité du dernier kilomètre).
Le type de règle SAML permet aux proxys d'API de valider les assertions SAML associées aux requêtes SOAP entrantes. La règle SAML valide les messages entrants contenant une assertion SAML signée numériquement, les rejette s'ils ne sont pas valides et définit des variables autorisant des règles supplémentaires, ou les services de backend, à valider davantage les informations dans l'assertion.
Pour valider des jetons SAML, vous devez rendre les certificats numériques disponibles pour la règle SAML en créant au moins un TrustStore. Les TrustStores s'étendent aux environnements de vos organisations.
Ainsi, vous pouvez configurer différentes chaînes de confiance en test et en production, ce qui garantit que les jetons SAML de test ne peuvent pas être utilisés en production et inversement.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eApigee API Services supports the authentication and authorization of apps using SAML tokens, which are digitally signed XML fragments containing assertions.\u003c/p\u003e\n"],["\u003cp\u003eApigee can function as either a service provider (SP) to validate SAML tokens from apps or as an Identity Provider (IDP) to generate SAML tokens for backend services.\u003c/p\u003e\n"],["\u003cp\u003eThe SAML policy in Apigee allows API proxies to validate SAML assertions within inbound SOAP requests, rejecting invalid ones and enabling further validation.\u003c/p\u003e\n"],["\u003cp\u003eValidating SAML tokens in Apigee requires the use of TrustStores, which are environment-specific collections of digital certificates for managing trust chains.\u003c/p\u003e\n"]]],[],null,["# Using SAML policies in an API proxy\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nSecurity Assertion Markup Language (SAML)\n-----------------------------------------\n\nThe [Security\nAssertion Markup Language (SAML)](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language) specification defines formats and protocols that enable\napplications to exchange XML-formatted information for authentication and authorization.\n\nApigee API Services enables you to authenticate and authorize apps that are capable of\npresenting SAML tokens. A SAML token is a digitally signed fragment of XML that presents a set of\n\"assertions\". These assertions can be used to enforce authentication and authorization.\n\nTo use SAML terminology, API Services can function as a service provider (SP) or an Identity\nProvider (IDP). When API Services validates SAML tokens on inbound requests from apps, it acts in\nthe role of SP. (API Services can also act in the IDP role, when generating SAML tokens to be used\nwhen communicating with backend services. See\n[Last-mile security](/apigee/docs/api-platform/security/last-mile-security)).\n\nThe SAML policy type enables API proxies to validate SAML assertions that are attached to\ninbound SOAP requests. The SAML policy validates incoming messages that contain a\ndigitally-signed SAML assertion, rejects them if they are invalid, and sets variables that allow\nadditional policies, or the backend services itself, to further validate the information in the\nassertion.\n\nTo validate SAML tokens, you need to make digital certificates available to the SAML policy by\ncreating at least one TrustStore. TrustStores are scoped to environments in your organizations.\nThus, you can configure different trust chains in test and prod, ensuring that test SAML tokens\ncannot be used in prod, and vice-versa.\n\nFor details on SAML validation, see\n[SAML Assertion\npolicies](/apigee/docs/api-platform/reference/policies/saml-assertion-policy)."]]
