API プロキシでの SAML ポリシーの使用

このページの内容は ApigeeApigee ハイブリッドに該当します。

Apigee Edge のドキュメントを表示する。

Security Assertion Markup Language(SAML)

Security Assertion Markup Language(SAML)仕様は、アプリケーションが認証と認可のために XML 形式の情報を交換できるようにする形式とプロトコルを定義します。

Apigee API サービスを使用すると、SAML トークンを提示できるアプリの認証と認可ができます。SAML トークンは、一連の「アサーション」を表すデジタル署名された XML フラグメントです。このアサーションは認証と認可に使われます。

SAML の用語で説明すると、API サービスはサービス プロバイダ(SP)または ID プロバイダ(IDP)として機能します。API サービスは、アプリからの受信リクエストで SAML トークンを検証するときに、SP の役割を果たします(また、API サービスは、バックエンド サービスとの通信に使用する SAML トークンを生成するときに、IDP の役割を果たすこともできます。詳しくは、ラスト ワンマイル セキュリティをご覧ください)。

SAML ポリシータイプを使用すると、API プロキシは、受信 SOAP リクエストに付加された SAML アサーションを検証できます。SAML ポリシーは、デジタル署名された SAML アサーションの入った受信メッセージを検証して無効な場合は拒否し、他のポリシーまたはバックエンド サービス自体がアサーションの情報をさらに検証できるように変数を設定します。

SAML トークンを検証するには、少なくとも 1 つの TrustStore を作成して、SAML ポリシーでデジタル証明書を使用できるようにする必要があります。TrustStore のスコープは、組織内の環境です。したがって、本番環境(prod)ではテスト用の SAML トークンが使用できないよう、逆にテスト環境(test)は本番用の SAML トークンが使用できないよう、異なる信頼チェーンを構成できます。

SAML 検証の詳細については、SAML アサーションのポリシーをご覧ください。