Os serviços da API Apigee permitem autenticar e autorizar aplicativos capazes de
apresentar tokens SAML. Um token SAML é um fragmento de XML assinado digitalmente que apresenta um conjunto de
"declarações". Essas declarações podem ser usadas para aplicar autenticação e autorização.
Para usar a terminologia SAML, os Serviços da API podem funcionar como um provedor de serviços
(SP, na sigla em inglês) ou um provedor de identidade (IDP, na sigla em inglês). Quando os Serviços da API validam tokens SAML em solicitações recebidas de aplicativos, eles atuam no
papel de SP. Os Serviços da API também podem atuar no papel de IdP ao gerar tokens SAML a serem usados
na comunicação com serviços de back-end. Consulte
Segurança de last mile.
O tipo de política SAML permite que os proxies de API validem as declarações SAML anexadas a
solicitações SOAP de entrada. A política SAML valida mensagens recebidas que contêm uma
declaração SAML assinada digitalmente, rejeita-as se forem inválidas e definem variáveis que permitem
políticas adicionais ou os próprios serviços de back-end para validar ainda mais as informações na
declaração.
Para validar os tokens SAML, você precisa disponibilizar certificados digitais para a política SAML
criando pelo menos um TrustStore. O escopo dos TrustStores é voltado aos ambientes das suas organizações.
Desse modo, você pode configurar diferentes redes de confiança em teste e produção, garantindo que os tokens SAML
de teste não possam ser usados em produção e vice-versa.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-04 UTC."],[[["\u003cp\u003eApigee API Services supports the authentication and authorization of apps using SAML tokens, which are digitally signed XML fragments containing assertions.\u003c/p\u003e\n"],["\u003cp\u003eApigee can function as either a service provider (SP) to validate SAML tokens from apps or as an Identity Provider (IDP) to generate SAML tokens for backend services.\u003c/p\u003e\n"],["\u003cp\u003eThe SAML policy in Apigee allows API proxies to validate SAML assertions within inbound SOAP requests, rejecting invalid ones and enabling further validation.\u003c/p\u003e\n"],["\u003cp\u003eValidating SAML tokens in Apigee requires the use of TrustStores, which are environment-specific collections of digital certificates for managing trust chains.\u003c/p\u003e\n"]]],[],null,["# Using SAML policies in an API proxy\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nSecurity Assertion Markup Language (SAML)\n-----------------------------------------\n\nThe [Security\nAssertion Markup Language (SAML)](https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language) specification defines formats and protocols that enable\napplications to exchange XML-formatted information for authentication and authorization.\n\nApigee API Services enables you to authenticate and authorize apps that are capable of\npresenting SAML tokens. A SAML token is a digitally signed fragment of XML that presents a set of\n\"assertions\". These assertions can be used to enforce authentication and authorization.\n\nTo use SAML terminology, API Services can function as a service provider (SP) or an Identity\nProvider (IDP). When API Services validates SAML tokens on inbound requests from apps, it acts in\nthe role of SP. (API Services can also act in the IDP role, when generating SAML tokens to be used\nwhen communicating with backend services. See\n[Last-mile security](/apigee/docs/api-platform/security/last-mile-security)).\n\nThe SAML policy type enables API proxies to validate SAML assertions that are attached to\ninbound SOAP requests. The SAML policy validates incoming messages that contain a\ndigitally-signed SAML assertion, rejects them if they are invalid, and sets variables that allow\nadditional policies, or the backend services itself, to further validate the information in the\nassertion.\n\nTo validate SAML tokens, you need to make digital certificates available to the SAML policy by\ncreating at least one TrustStore. TrustStores are scoped to environments in your organizations.\nThus, you can configure different trust chains in test and prod, ensuring that test SAML tokens\ncannot be used in prod, and vice-versa.\n\nFor details on SAML validation, see\n[SAML Assertion\npolicies](/apigee/docs/api-platform/reference/policies/saml-assertion-policy)."]]
