Cette page a été traduite par l'API Cloud Translation.

Règles SAMLAssertion

<ph type="x-smartling-placeholder"></ph> Vous consultez la documentation Apigee Edge.
Accédez à la page Documentation sur Apigee X. En savoir plus

Quoi

Authentification et autorisation entrantes : valider la règle SAMLAssertion
Le type de règle SAML permet aux proxys d'API de valider les assertions SAML associées aux requêtes SOAP entrantes. La règle SAML valide les messages entrants contenant une assertion SAML signée numériquement, les rejette s'ils ne sont pas valides et définit des variables autorisant des règles supplémentaires, ou les services de backend, à valider davantage les informations dans l'assertion.
Génération de jetons sortants : générer une règle SAMLAssertion
Le type de règle SAML permet aux proxys d'API d'associer des assertions SAML aux requêtes XML sortantes. Ces assertions sont ensuite mises à disposition pour permettre aux services de backend d'appliquer un traitement de sécurité supplémentaire pour l'authentification et l'autorisation.

Exemples

Générer une assertion SAML

<GenerateSAMLAssertion name="SAML" ignoreContentType="false">
  <CanonicalizationAlgorithm />
  <Issuer ref="reference">Issuer name</Issuer>
  <KeyStore>
    <Name ref="reference">keystorename</Name>
    <Alias ref="reference">alias</Alias>
  </KeyStore>
  <OutputVariable>
    <FlowVariable>assertion.content</FlowVariable>
    <Message name="request">
      <Namespaces>
        <Namespace prefix="test">http://www.example.com/test</Namespace>
      </Namespaces>
      <XPath>/envelope/header</XPath>
    </Message>
  </OutputVariable>
  <SignatureAlgorithm />
  <Subject ref="reference">Subject name</Subject>
  <Template ignoreUnresolvedVariables="false">
    <!-- A lot of XML goes here, in CDATA, with {} around
         each variable -->
  </Template>
</GenerateSAMLAssertion>

Générer une assertion SAML

Valider une assertion SAML

<ValidateSAMLAssertion name="SAML" ignoreContentType="false">
  <Source name="request">
    <Namespaces>
      <Namespace prefix='soap'>http://schemas.xmlsoap.org/soap/envelope/</Namespace>
      <Namespace prefix='wsse'>http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd</Namespace>
      <Namespace prefix='saml'>urn:oasis:names:tc:SAML:2.0:assertion</Namespace>
    </Namespaces>
    <AssertionXPath>/soap:Envelope/soap:Header/wsse:Security/saml:Assertion</AssertionXPath>
    <SignedElementXPath>/soap:Envelope/soap:Header/wsse:Security/saml:Assertion</SignedElementXPath>
  </Source>
  <TrustStore>TrustStoreName</TrustStore>
  <RemoveAssertion>false</RemoveAssertion>
</ValidateSAMLAssertion>

Valider une assertion SAML

Documentation de référence des éléments

Générer une assertion SAML

Nom du champ	Description
Attribut `name`	Nom de l'instance de règle. Le nom doit être unique au sein de l'organisation. Les caractères que vous pouvez utiliser dans le nom se limitent à : `A-Z0-9._\-$ %`. Cependant, l'interface utilisateur de gestion applique des restrictions supplémentaires, telles que en supprimant automatiquement les caractères qui ne sont pas alphanumériques.
`ignoreContentType` attribut	Valeur booléenne pouvant être définie sur `true` ou `false`. Par défaut, l'assertion n'est pas générée si le type de contenu du message n'est pas un type de contenu XML. Si cet attribut est défini sur `true`, le message est traité au format XML indépendamment du type de contenu.
`Issuer`	Identifiant unique du fournisseur d'identité. Si l'attribut facultatif `ref` est présent, la valeur de l'émetteur est attribuée au moment de l'exécution en fonction de la variable spécifiée. Si l'attribut facultatif `ref` n'est pas présent, la valeur de l'émetteur est utilisée.
`KeyStore`	Nom du keystore contenant la clé privée et l'alias de la clé privée utilisée pour signer numériquement les assertions SAML.
`OutputVariable`
`FlowVariable`
`Message`	Cible de la règle. Les valeurs valides sont `message`, `request` et `response`. Lorsque ce champ est défini sur `message`, la règle récupère l'objet du message de manière conditionnelle en fonction de son point de rattachement. Lorsqu'elle est associée au flux de requête, la règle résout `message` pour la requête et, lorsqu'elle est associée au flux de réponse, la stratégie résout `message` en réponse.
`XPath`	Expression XPath qui indique l'élément du document XML sortant auquel la règle va associer l'assertion SAML.
`SignatureAlgorithm`	SHA1 ou SHA256
`Subject`	Identifiant unique de l'objet de l'assertion SAML. Si l'attribut facultatif `ref` est présent, la valeur du champ "Subject" est attribuée au moment de l'exécution en fonction de la variable spécifiée. Si l'attribut facultatif `ref` est présent, la valeur de "Subject" est utilisée.
`Template`	Si elle est présente, l'assertion sera générée en exécutant ce modèle, en remplaçant tout ce qui désigne `{}` par la variable correspondante, puis en signant numériquement le résultat. Le modèle est traité conformément au contenu de la règle AssignMessage. Consultez la section sur la règle AssignMessage. L'élément `<Template>` accepte la fonctionnalité de substitution de chaîne dynamique appelée modélisation de messages. La modélisation de messages n'est acceptée que lorsque la signature de la règle est `GenerateSamlAssertion`.

Valider une assertion SAML

Nom du champ	Description
Attribut `name`	Nom de l'instance de règle. Le nom doit être unique au sein de l'organisation. Les caractères que vous pouvez utiliser dans le nom se limitent à : `A-Z0-9._\-$ %`. Cependant, l'interface utilisateur de gestion applique des restrictions supplémentaires, telles que en supprimant les caractères qui ne sont pas alphanumériques.
`ignoreContentType` attribut	Valeur booléenne pouvant être définie sur `true` ou `false`. Par défaut, l'assertion n'est pas générée si le type de contenu du message n'est pas un type de contenu XML. Si cet attribut est défini sur `true`, le message est traité au format XML indépendamment du type de contenu.
`Source`	Cible de la règle. Les valeurs valides sont `message`, `request` et `response`. Lorsque ce champ est défini sur `message`, la règle récupère l'objet du message de manière conditionnelle en fonction de son point de rattachement. Lorsqu'elle est associée au flux de requête, la règle résout `message` pour la requête et, lorsqu'elle est associée au flux de réponse, la stratégie résout `message` en réponse.
`XPath`	Obsolète. Enfant de `Source`. Utiliser `AssertionXPath` et `SignedElementXPath`.
`AssertionXPath`	Enfant de `Source`. Expression XPath indiquant l'élément du document XML entrant à partir duquel la règle peut extraire l'assertion SAML.
`SignedElementXPath`	Enfant de `Source`. Expression XPath indiquant l'élément du document XML entrant à partir duquel la règle peut extraire l'élément signé. Ce peut être différent ou identique au XPath pour `AssertionXPath`.
`TrustStore`	Nom du truststore contenant les certificats X.509 approuvés pour valider les signatures numériques sur les assertions SAML.
`RemoveAssertion`	Valeur booléenne pouvant être définie sur `true` ou `false`. Si elle définie sur `true`, l'assertion SAML est supprimée du message de la requête avant que le message soit transféré au service de backend.

Remarques sur l'utilisation

La spécification SAML (Security Assertion Markup Language) définit les formats et les protocoles permettant aux applications d'échanger des informations au format XML pour l'authentification et l'autorisation.

Une "assertion de sécurité" est un jeton de confiance qui décrit un attribut d'une application, d'un utilisateur de l'application ou d'un autre participant à une transaction. Les assertions de sécurité sont gérées et utilisées par deux types d'entités :

Fournisseurs d'identité : générer des assertions de sécurité pour le compte des participants
Fournisseurs de services : valider les assertions de sécurité via des relations de confiance avec les fournisseurs d'identité

La plate-forme d'API peut agir en tant que fournisseur d'identité et en tant que fournisseur de services. Elle agit comme fournisseur d'identité en générant des assertions et en les associant aux messages de requête, ce qui les rend disponibles pour traitement par les services de backend. Elle agit en tant que fournisseur de services en validant les assertions sur les messages de requête entrants.

La règle de type SAML accepte les assertions SAML correspondant à la version 2.0 de la spécification SAML Core et à la version 1.0 de la spécification de profil de jeton SAML WS-Security.

Générer une assertion SAML

Traitement des règles :

Si le message n'est pas au format XML et que le paramètre IgnoreContentType n'est pas défini sur true, une erreur est générée.
Si le champ "Template" est défini, le modèle est traité comme décrit dans la règle AssignMessage. Si des variables sont manquantes et que IgnoreUnresolvedVariables n'est pas défini, une erreur est générée.
Si le champ "Template" (Modèle) n'est pas défini, créez une assertion qui inclut les valeurs des paramètres "Subject" et "Issuer", ou leurs références.
Signez l'assertion à l'aide de la clé spécifiée.
Ajoutez l'assertion au message sur le chemin XPath spécifié.

Valider une assertion SAML

Traitement des règles :

La règle vérifie le message entrant pour s'assurer que le type de support de la demande est XML, par vérifier si le type de contenu correspond aux formats text/(.*+)?xml ou application/(.*+)?xml Si le type de support n'est pas XML et <IgnoreContentType> n'est pas défini, la règle génère une erreur.
La règle analyse le fichier XML. Si l'analyse échoue, une erreur est générée.
La règle extrait l'élément signé et l'assertion à l'aide des chemins XPath correspondants. spécifiées (<SignedElementXPath> et <AssertionXPath>). Si l'un de ces chemins ne renvoie pas d'élément, la règle génère une erreur.
La règle vérifiera que l'assertion est identique à l'élément signé, ou est un enfant de l'élément signé. Si ce n'est pas le cas, la règle génère une erreur.
Si <NotBefore> ou <NotOnOrAfter> sont présents dans l'assertion, la stratégie vérifie le code temporel actuel par rapport ces valeurs, comme indiqué dans la section 2.5.1 de SAML Core.
Elles s'appliqueront à toute règle supplémentaire pour traiter les "Conditions". tel que décrit dans la section 2.5.1.1 de SAML Core.
La règle valide la signature numérique XML à l'aide des valeurs <TrustStore> et <ValidateSigner> comme décrit ci-dessus. Si la validation échoue, la règle génère une erreur.

Une fois la règle appliquée sans générer d'erreur, le développeur du proxy peut s'assurer des points suivants :

La signature numérique de la déclaration est valide et a été signée par une autorité de certification de confiance.
L'assertion est valide pour la période en cours.
L'objet et l'émetteur de l'assertion sont extraits et définis dans des variables de flux. Il est de la responsabilité des autres règles d'utiliser ces valeurs pour une authentification supplémentaire, par exemple pour vérifier que le nom de l'objet est valide ou qu'il est transmis à un système cible pour validation.

D'autres règles, telles que ExtractVariables, peuvent être utilisées pour analyser le code XML brut de l'assertion pour une validation plus complexe.

Variables de flux

De nombreuses informations peuvent être spécifiées dans une assertion SAML. L'assertion SAML elle-même est un fichier XML pouvant être analysé à l'aide de la règle ExtractVariables et d'autres mécanismes afin de mettre en œuvre des validations plus complexes.

Variable	Description
`saml.id`	ID d'assertion SAML
`saml.issuer`	Émetteur de l'assertion, converti de son type XML natif en chaîne
`saml.subject`	Objet de l'assertion, converti de son type XML natif en chaîne
`saml.valid`	Renvoie "true" ou "false" en fonction du résultat de la vérification de validité
`saml.issueInstant`	IssueInstant
`saml.subjectFormat`	Format de l'objet
`saml.scmethod`	Méthode de confirmation de l'objet
`saml.scdaddress`	Adresse de données de confirmation de l'objet
`saml.scdinresponse`	Données de confirmation de l'objet en réponse
`saml.scdrcpt`	Destinataire des données de confirmation de l'objet
`saml.authnSnooa`	Authentification SessionNotOnOrAfter
`saml.authnContextClassRef`	AuthnStatement AuthnContextClassRef
`saml.authnInstant`	AuthnStatement AuthInstant
`saml.authnSessionIndex`	Index de session AuthnStatement

Informations de référence sur les erreurs

Cette section décrit les codes d'erreur et les messages d'erreur renvoyés et les variables de panne définies par Edge lorsque cette règle déclenche une erreur. Ces informations sont importantes si vous développez des règles de défaillance afin de gérer les pannes. Pour en savoir plus, consultez les pages Ce que vous devez savoir à propos des erreurs liées aux règles et Gérer les pannes.

Erreurs de déploiement

Ces erreurs peuvent se produire lorsque vous déployez un proxy contenant cette règle.

Nom de l'erreur	Cause	Corriger
`SourceNotConfigured`	Un ou plusieurs des éléments suivants de la stratégie "Valider une assertion SAML" n'est pas défini ni vide : `<Source>`, `<XPath>`, `<Namespaces>`, `<Namespace>`.
`TrustStoreNotConfigured`	Si l'élément `<TrustStore>` est vide ou non spécifié dans la stratégie ValidateSAMLAssertion, le déploiement du proxy d'API échoue. Vous devez indiquer un fichier Trust Store valide.
`NullKeyStoreAlias`	Si l'élément enfant `<Alias>` est vide ou n'est pas spécifié dans `<Keystore>` de la règle "Generate SAML Assertion" (Générer l'assertion SAML), puis le déploiement de l'API le proxy échoue. Vous devez saisir un alias de keystore valide.
`NullKeyStore`	Si l'élément enfant `<Name>` est vide ou n'est pas spécifié dans `<Keystore>` de la règle GenerateSAMLAssertion, le déploiement de l'API le proxy échoue. Veuillez indiquer un nom de keystore valide.
`NullIssuer`	Si l'élément `<Issuer>` est vide ou n'est pas spécifié dans la stratégie "Générer l'assertion SAML", le déploiement du proxy d'API échoue. Vous devez saisir une valeur `<Issuer>` valide.

Variables de panne

Ces variables sont définies lorsqu'une erreur d'exécution se produit. Pour en savoir plus, consultez la section Ce que vous devez savoir sur les erreurs liées aux règles.

Variables	Où	Exemple
`fault.name="fault_name"`	`fault_name` est le nom de l'erreur . Le nom d'erreur est la dernière partie du code d'erreur.	`fault.name = "InvalidMediaTpe"`
`GenerateSAMLAssertion.failed`	Pour une configuration de règle d'assertion SAML valide, le préfixe d'erreur est `ValidateSAMLAssertion`.	`GenerateSAMLAssertion.failed = true`

Exemple de réponse d'erreur

Remarque : Pour le traitement des erreurs, la meilleure pratique consiste à intercepter la partie errorcode de la réponse. Ne vous fiez pas au texte dans faultstring, car il pourrait changer.

{
  "fault": {
    "faultstring": "GenerateSAMLAssertion[GenSAMLAssert]: Invalid media type",
    "detail": {
      "errorcode": "steps.saml.generate.InvalidMediaTpe"
    }
  }
}

Exemple de règle de défaillance

<FaultRules>
    <FaultRule name="invalid_saml_rule">
        <Step>
            <Name>invalid-saml</Name>
        </Step>
        <Condition>(GenerateSAMLAssertion.failed = "true")</Condition>
    </FaultRule>
</FaultRules>

Articles associés

Extraction de variables : règle d'extraction de variables