在 API 代理中使用 SAML 政策

本页面适用于 ApigeeApigee Hybrid

查看 Apigee Edge 文档。

安全断言标记语言 (SAML)

安全断言标记语言 (SAML) 规范定义了格式和协议,这些内容能让应用交换 XML 格式的信息以进行身份验证和授权。

借助 Apigee API 服务,您可以对能提供 SAML 令牌的应用进行身份验证和授权。SAML 令牌是展示一组“断言”的经过数字签名的 XML 片段。这些断言可用于实施身份验证和授权。

使用 SAML 术语时,API 服务可以充当服务提供商 (SP) 或身份提供商 (IDP)。当 API 服务向来自应用的入站请求验证 SAML 令牌时,它可以充当 SP 角色。(在生成与后端服务通信时使用的 SAML 令牌时,API 服务也可以充当 IDP 角色。请参阅最后一公里安全措施)。

SAML 政策类型可让 API 代理验证附加到入站 SOAP 请求的 SAML 断言。SAML 政策会验证包含经过数字签名的 SAML 断言的传入消息、拒绝这些消息(如果无效)并设置允许额外政策或后端服务本身的变量,从而进一步验证断言中的信息。

要验证 SAML 令牌,您需要通过创建至少一个 TrustStore,让数字证书可供 SAML 政策使用。TrustStore 范围限定为您组织中的环境。因此,您可以在测试和生产中配置不同的信任链,确保不可以在生产环境中使用测试 SAML 令牌,反之亦然。

如需详细了解 SAML 验证,请参阅 SAML 断言政策