আপনি Apigee Edge ডকুমেন্টেশন দেখছেন।
Apigee X ডকুমেন্টেশনে যান । তথ্য
কি
- অন্তর্মুখী প্রমাণীকরণ এবং অনুমোদন: SAML দাবী নীতি যাচাই করুন
SAML নীতির ধরন API প্রক্সিগুলিকে SAML দাবী যাচাই করতে সক্ষম করে যা অন্তর্মুখী SOAP অনুরোধের সাথে সংযুক্ত থাকে। SAML নীতি একটি ডিজিটাল-স্বাক্ষরিত SAML দাবী ধারণ করে আগত বার্তাগুলিকে যাচাই করে, যদি সেগুলি অবৈধ হয় তবে সেগুলিকে প্রত্যাখ্যান করে এবং এমন ভেরিয়েবল সেট করে যা অতিরিক্ত নীতিগুলি, বা ব্যাকএন্ড পরিষেবাগুলি নিজেই, দাবির তথ্যকে আরও যাচাই করতে অনুমতি দেয়৷ - আউটবাউন্ড টোকেন জেনারেশন: SAML অ্যাসারশন নীতি তৈরি করুন
SAML নীতির ধরন API প্রক্সিগুলিকে আউটবাউন্ড XML অনুরোধগুলিতে SAML দাবী সংযুক্ত করতে সক্ষম করে৷ সেই দাবিগুলি প্রমাণীকরণ এবং অনুমোদনের জন্য আরও সুরক্ষা প্রক্রিয়াকরণ প্রয়োগ করতে ব্যাকএন্ড পরিষেবাগুলি সক্ষম করার জন্য উপলব্ধ।
নমুনা
SAML দাবী তৈরি করুন
<GenerateSAMLAssertion name="SAML" ignoreContentType="false">
<CanonicalizationAlgorithm />
<Issuer ref="reference">Issuer name</Issuer>
<KeyStore>
<Name ref="reference">keystorename</Name>
<Alias ref="reference">alias</Alias>
</KeyStore>
<OutputVariable>
<FlowVariable>assertion.content</FlowVariable>
<Message name="request">
<Namespaces>
<Namespace prefix="test">http://www.example.com/test</Namespace>
</Namespaces>
<XPath>/envelope/header</XPath>
</Message>
</OutputVariable>
<SignatureAlgorithm />
<Subject ref="reference">Subject name</Subject>
<Template ignoreUnresolvedVariables="false">
<!-- A lot of XML goes here, in CDATA, with {} around
each variable -->
</Template>
</GenerateSAMLAssertion>
একটি SAML দাবী তৈরি করা হচ্ছে
SAML দাবী যাচাই করুন
<ValidateSAMLAssertion name="SAML" ignoreContentType="false">
<Source name="request">
<Namespaces>
<Namespace prefix='soap'>http://schemas.xmlsoap.org/soap/envelope/</Namespace>
<Namespace prefix='wsse'>http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd</Namespace>
<Namespace prefix='saml'>urn:oasis:names:tc:SAML:2.0:assertion</Namespace>
</Namespaces>
<AssertionXPath>/soap:Envelope/soap:Header/wsse:Security/saml:Assertion</AssertionXPath>
<SignedElementXPath>/soap:Envelope/soap:Header/wsse:Security/saml:Assertion</SignedElementXPath>
</Source>
<TrustStore>TrustStoreName</TrustStore>
<RemoveAssertion>false</RemoveAssertion>
</ValidateSAMLAssertion>
একটি SAML দাবী যাচাই করা হচ্ছে
উপাদান রেফারেন্স
SAML দাবী জেনারেট করুন
| ক্ষেত্রের নাম | বর্ণনা | ||
|---|---|---|---|
name বৈশিষ্ট্য | নীতি উদাহরণের নাম। নাম অবশ্যই প্রতিষ্ঠানে অনন্য হতে হবে। আপনি নামের মধ্যে যে অক্ষরগুলি ব্যবহার করতে পারেন তাতে সীমাবদ্ধ: A-Z0-9._\-$ % । যাইহোক, ম্যানেজমেন্ট UI অতিরিক্ত বিধিনিষেধ প্রয়োগ করে, যেমন স্বয়ংক্রিয়ভাবে অক্ষরগুলিকে অপসারণ করা যা আলফানিউমেরিক নয়। | ||
ignoreContentType বৈশিষ্ট্য | একটি বুলিয়ান যা true বা false সেট করা যেতে পারে। ডিফল্টরূপে, বার্তাটির বিষয়বস্তুর ধরনটি XML বিষয়বস্তুর প্রকার না হলে দাবীটি তৈরি করা হবে না। যদি এটি true সেট করা হয়, তাহলে বিষয়বস্তুর প্রকার নির্বিশেষে বার্তাটিকে XML হিসাবে গণ্য করা হবে৷ | ||
Issuer | পরিচয় প্রদানকারীর অনন্য শনাক্তকারী। যদি ঐচ্ছিক ref অ্যাট্রিবিউটটি উপস্থিত থাকে, তাহলে নির্দিষ্ট ভেরিয়েবলের উপর ভিত্তি করে রানটাইমে ইস্যুয়ারের মান নির্ধারণ করা হবে। যদি ঐচ্ছিক ref অ্যাট্রিবিউটটি উপস্থিত না থাকে, তাহলে Issuer-এর মান ব্যবহার করা হবে। | ||
KeyStore | কীস্টোরের নাম যাতে প্রাইভেট কী এবং প্রাইভেট কী-এর উপনাম SAML দাবীতে ডিজিটালি স্বাক্ষর করতে ব্যবহৃত হয়। | ||
OutputVariable | |||
FlowVariable | |||
Message | নীতির লক্ষ্য। বৈধ মান হল message , request এবং response । message সেট করা হলে, নীতি শর্তসাপেক্ষে নীতির সংযুক্তি পয়েন্টের উপর ভিত্তি করে বার্তা বস্তুটি পুনরুদ্ধার করে। রিকোয়েস্ট ফ্লো-এর সাথে সংযুক্ত হলে, পলিসি অনুরোধের message সমাধান করে এবং রেসপন্স ফ্লো-এর সাথে সংযুক্ত হলে, পলিসি প্রতিক্রিয়ার message সমাধান করে। | ||
XPath | একটি XPath এক্সপ্রেশন যা আউটবাউন্ড XML ডকুমেন্টের উপাদানটিকে নির্দেশ করে যার সাথে নীতিটি SAML দাবি সংযুক্ত করবে৷ | ||
SignatureAlgorithm | SHA1 বা SHA256 | ||
Subject | SAML দাবির বিষয়ের অনন্য শনাক্তকারী। যদি ঐচ্ছিক ref অ্যাট্রিবিউট থাকে, তাহলে নির্দিষ্ট ভেরিয়েবলের উপর ভিত্তি করে রানটাইমে Subject-এর মান নির্ধারণ করা হবে। ঐচ্ছিক ref অ্যাট্রিবিউট থাকলে Subject-এর মান ব্যবহার করা হবে। | ||
Template | যদি উপস্থিত থাকে, তাহলে এই টেমপ্লেটটি চালনা করে, সংশ্লিষ্ট ভেরিয়েবলের সাথে {} নির্দেশিত সবকিছু প্রতিস্থাপন করে এবং তারপর ফলাফলে ডিজিটালভাবে স্বাক্ষর করার মাধ্যমে দাবী তৈরি করা হবে। টেমপ্লেটটি AssignMessage নীতি নিয়ম অনুসরণ করে প্রক্রিয়া করা হয়। বার্তা নীতি বরাদ্দ দেখুন। | ||
SAML দাবী যাচাই করুন
| ক্ষেত্রের নাম | বর্ণনা |
|---|---|
name বৈশিষ্ট্য | নীতি উদাহরণের নাম। নাম অবশ্যই প্রতিষ্ঠানে অনন্য হতে হবে। আপনি নামের মধ্যে যে অক্ষরগুলি ব্যবহার করতে পারেন তাতে সীমাবদ্ধ: A-Z0-9._\-$ % । যাইহোক, ম্যানেজমেন্ট UI অতিরিক্ত বিধিনিষেধ প্রয়োগ করে, যেমন স্বয়ংক্রিয়ভাবে অক্ষরগুলিকে অপসারণ করা যা আলফানিউমেরিক নয়। |
ignoreContentType বৈশিষ্ট্য | একটি বুলিয়ান যা true বা false সেট করা যেতে পারে। ডিফল্টরূপে, বার্তাটির বিষয়বস্তুর ধরনটি XML বিষয়বস্তুর প্রকার না হলে দাবীটি তৈরি করা হবে না। যদি এটি true হিসাবে সেট করা হয় তবে বিষয়বস্তুর প্রকার নির্বিশেষে বার্তাটিকে XML হিসাবে গণ্য করা হবে। |
Source | নীতির লক্ষ্য। বৈধ মান হল message , request এবং response । message সেট করা হলে, নীতি শর্তসাপেক্ষে নীতির সংযুক্তি পয়েন্টের উপর ভিত্তি করে বার্তা বস্তুটি পুনরুদ্ধার করে। রিকোয়েস্ট ফ্লো-এর সাথে সংযুক্ত হলে, পলিসি অনুরোধের message সমাধান করে এবং রেসপন্স ফ্লো-এর সাথে সংযুক্ত হলে, পলিসি প্রতিক্রিয়ার message সমাধান করে। |
XPath | অবচয়। Source সন্তান। AssertionXPath এবং SignedElementXPath ব্যবহার করুন। |
AssertionXPath | Source সন্তান। একটি XPath এক্সপ্রেশন যা ইনবাউন্ড XML ডকুমেন্টের উপাদান নির্দেশ করে যেখান থেকে নীতি SAML দাবীটি বের করতে পারে। |
SignedElementXPath | Source সন্তান। একটি XPath এক্সপ্রেশন যা ইনবাউন্ড XML নথির উপাদান নির্দেশ করে যেখান থেকে নীতি স্বাক্ষরিত উপাদানটি বের করতে পারে। এটি AssertionXPath এর XPath-এর মত আলাদা বা একই হতে পারে। |
TrustStore | TrustStore-এর নাম যেখানে বিশ্বস্ত X.509 সার্টিফিকেট রয়েছে যা SAML দাবীতে ডিজিটাল স্বাক্ষর যাচাই করতে ব্যবহৃত হয়। |
RemoveAssertion | একটি বুলিয়ান যা true বা false সেট করা যেতে পারে। true হলে, বার্তাটি ব্যাকএন্ড পরিষেবাতে ফরোয়ার্ড করার আগে SAML দাবিটি অনুরোধ বার্তা থেকে ছিনিয়ে নেওয়া হবে। |
ব্যবহারের নোট
সিকিউরিটি অ্যাসারশন মার্কআপ ল্যাঙ্গুয়েজ (SAML) স্পেসিফিকেশন ফরম্যাট এবং প্রোটোকলগুলিকে সংজ্ঞায়িত করে যা অ্যাপ্লিকেশানগুলিকে প্রমাণীকরণ এবং অনুমোদনের জন্য XML- ফর্ম্যাট করা তথ্য বিনিময় করতে সক্ষম করে৷
একটি "নিরাপত্তা দাবী" হল একটি বিশ্বস্ত টোকেন যা একটি অ্যাপ, একটি অ্যাপ ব্যবহারকারী বা লেনদেনে অন্য কোনো অংশগ্রহণকারীর বৈশিষ্ট্য বর্ণনা করে। নিরাপত্তা দাবী দুটি ধরনের সত্তা দ্বারা পরিচালিত এবং গ্রাস করা হয়:
- পরিচয় প্রদানকারী: অংশগ্রহণকারীদের পক্ষ থেকে নিরাপত্তা দাবী তৈরি করুন
- পরিষেবা প্রদানকারী: পরিচয় প্রদানকারীদের সাথে বিশ্বস্ত সম্পর্কের মাধ্যমে নিরাপত্তা দাবী যাচাই করুন
API প্ল্যাটফর্ম একটি পরিচয় প্রদানকারী এবং একটি পরিষেবা প্রদানকারী হিসাবে কাজ করতে পারে। এটি দাবিগুলি তৈরি করে এবং বার্তাগুলির অনুরোধের জন্য তাদের সংযুক্ত করে একটি পরিচয় প্রদানকারী হিসাবে কাজ করে, সেই দাবিগুলিকে ব্যাকএন্ড পরিষেবাগুলির দ্বারা প্রক্রিয়াকরণের জন্য উপলব্ধ করে৷ এটি অন্তর্মুখী অনুরোধ বার্তাগুলিতে দাবিগুলি যাচাই করে পরিষেবা প্রদানকারী হিসাবে কাজ করে৷
SAML নীতির ধরন SAML দাবিগুলিকে সমর্থন করে যা SAML কোর স্পেসিফিকেশনের সংস্করণ 2.0 এবং WS-নিরাপত্তা SAML টোকেন প্রোফাইল স্পেসিফিকেশনের সংস্করণ 1.0 এর সাথে মেলে।
SAML দাবী জেনারেট করুন
নীতি প্রক্রিয়াকরণ:
- যদি বার্তাটি XML না হয়, এবং IgnoreContentType
trueসেট করা না থাকে, তাহলে একটি দোষ উত্থাপন করুন। - যদি "টেমপ্লেট" সেট করা থাকে, তাহলে AssignMessage নীতির জন্য বর্ণিত টেমপ্লেটটি প্রক্রিয়া করুন। যদি কোনো ভেরিয়েবল অনুপস্থিত থাকে এবং IgnoreUnresolvedVariables সেট করা না থাকে, তাহলে একটি ফল্ট উত্থাপন করুন।
- যদি "টেমপ্লেট" সেট করা না থাকে, তাহলে একটি দাবী তৈরি করুন যাতে বিষয় এবং ইস্যুয়ার প্যারামিটার বা তাদের রেফারেন্সের মান অন্তর্ভুক্ত থাকে।
- নির্দিষ্ট কী ব্যবহার করে দাবীতে স্বাক্ষর করুন।
- নির্দিষ্ট XPath এ বার্তায় দাবী যোগ করুন।
SAML দাবী যাচাই করুন
নীতি প্রক্রিয়াকরণ:
- কন্টেন্ট টাইপ ফরম্যাট
text/(.*+)?xmlবাapplication/(.*+)?xmlসাথে মেলে কিনা তা পরীক্ষা করে, অনুরোধের মিডিয়া টাইপটি XML কিনা তা যাচাই করতে নীতিটি অন্তর্মুখী বার্তা পরীক্ষা করে। যদি মিডিয়া টাইপ XML না হয় এবং<IgnoreContentType>সেট করা না থাকে, তাহলে নীতিটি একটি ত্রুটি উত্থাপন করবে। - নীতি XML পার্স করবে। পার্সিং ব্যর্থ হলে এটি একটি দোষ বাড়াবে।
- নীতি নির্দিষ্ট করা সংশ্লিষ্ট XPaths (
<SignedElementXPath>এবং<AssertionXPath>) ব্যবহার করে স্বাক্ষরিত উপাদান এবং দাবীটি বের করবে। যদি এই পথগুলির মধ্যে কোন একটি উপাদান ফেরত না দেয়, তাহলে নীতি একটি ত্রুটি উত্থাপন করবে। - নীতিটি যাচাই করবে যে দাবীটি স্বাক্ষরিত উপাদানের মতোই, বা স্বাক্ষরিত উপাদানের একটি শিশু৷ যদি এটি সত্য না হয়, তাহলে নীতি একটি দোষ উত্থাপন করবে।
- যদি
<NotBefore>বা<NotOnOrAfter>উপাদানগুলির মধ্যে একটি দাবীতে উপস্থিত থাকে, তাহলে নীতিটি এই মানগুলির বিপরীতে বর্তমান টাইমস্ট্যাম্প পরীক্ষা করবে, যেমনটি SAML কোর বিভাগ 2.5.1-এ বর্ণিত হয়েছে। - নীতিটি SAML কোর সেকশন 2.5.1.1 এ বর্ণিত "শর্তাবলী" প্রক্রিয়াকরণের জন্য যেকোনো অতিরিক্ত নিয়ম প্রয়োগ করবে।
- নীতিটি উপরে বর্ণিত হিসাবে
<TrustStore>এবং<ValidateSigner>এর মান ব্যবহার করে XML ডিজিটাল স্বাক্ষরকে যাচাই করবে। যদি বৈধতা ব্যর্থ হয়, তাহলে নীতি একটি ত্রুটি বাড়াবে।
একবার পলিসিটি কোনও ত্রুটি না করেই সম্পূর্ণ হয়ে গেলে, প্রক্সির বিকাশকারী নিম্নলিখিত বিষয়ে নিশ্চিত হতে পারেন:
- দাবীর ডিজিটাল স্বাক্ষর বৈধ এবং একজন বিশ্বস্ত CA দ্বারা স্বাক্ষরিত
- দাবী বর্তমান সময়ের জন্য বৈধ
- দাবীর বিষয় এবং ইস্যুকারীকে বের করে ফ্লো ভেরিয়েবলে সেট করা হবে। অতিরিক্ত প্রমাণীকরণের জন্য এই মানগুলি ব্যবহার করা অন্যান্য নীতিগুলির দায়িত্ব, যেমন বিষয়ের নামটি বৈধ কিনা তা পরীক্ষা করা, বা বৈধতার জন্য এটি একটি লক্ষ্য সিস্টেমে প্রেরণ করা।
অন্যান্য নীতি, যেমন ExtractVariables, আরো জটিল বৈধতার জন্য দাবীর কাঁচা XML পার্স করতে ব্যবহার করা যেতে পারে।
ফ্লো ভেরিয়েবল
এমন অনেক তথ্য রয়েছে যা একটি SAML দাবীতে নির্দিষ্ট করা যেতে পারে। SAML দাবীটি নিজেই XML যা এক্সট্রাক্ট ভেরিয়েবল নীতি এবং অন্যান্য প্রক্রিয়া ব্যবহার করে পার্স করা যেতে পারে যাতে আরও জটিল বৈধতা বাস্তবায়ন করা যায়।
| পরিবর্তনশীল | বর্ণনা |
|---|---|
saml.id | SAML দাবী আইডি |
saml.issuer | দাবীর "ইস্যুকারী", তার নেটিভ এক্সএমএল টাইপ থেকে একটি স্ট্রিং-এ রূপান্তরিত হয়েছে |
saml.subject | দাবীর "বিষয়", তার নেটিভ XML প্রকার থেকে একটি স্ট্রিং-এ রূপান্তরিত হয়েছে৷ |
saml.valid | বৈধতা পরীক্ষার ফলাফলের উপর ভিত্তি করে সত্য বা মিথ্যা প্রদান করে |
saml.issueInstant | ইস্যুইন্সট্যান্ট |
saml.subjectFormat | বিষয় বিন্যাস |
saml.scmethod | বিষয় নিশ্চিতকরণ পদ্ধতি |
saml.scdaddress | বিষয় নিশ্চিতকরণ তথ্য ঠিকানা |
saml.scdinresponse | উত্তরে বিষয় নিশ্চিতকরণ ডেটা |
saml.scdrcpt | বিষয় নিশ্চিতকরণ তথ্য প্রাপক |
saml.authnSnooa | AuthnStatement SessionNotOnOrAfter |
saml.authnContextClassRef | AuthnStatement AuthnContextClassRef |
saml.authnInstant | AuthnStatement AuthInstant |
saml.authnSessionIndex | AuthnStatement সেশন সূচক |
ত্রুটি উল্লেখ
এই বিভাগটি ফল্ট কোড এবং ত্রুটি বার্তাগুলি বর্ণনা করে যেগুলি ফেরত দেওয়া হয় এবং ত্রুটি ভেরিয়েবলগুলি যেগুলি এজ দ্বারা সেট করা হয় যখন এই নীতিটি একটি ত্রুটি ট্রিগার করে৷ এই তথ্যটি জানা গুরুত্বপূর্ণ যে আপনি ত্রুটিগুলি পরিচালনা করার জন্য ত্রুটির নিয়ম তৈরি করছেন কিনা। আরও জানতে, নীতিগত ত্রুটি এবং হ্যান্ডলিং ফল্ট সম্পর্কে আপনার যা জানা দরকার তা দেখুন৷
স্থাপনার ত্রুটি
আপনি যখন এই নীতি সম্বলিত একটি প্রক্সি স্থাপন করেন তখন এই ত্রুটিগুলি ঘটতে পারে৷
| ত্রুটির নাম | কারণ | ঠিক করুন |
|---|---|---|
SourceNotConfigured | SAML অ্যাসার্শন নীতির যাচাইকরণের নিম্নলিখিত উপাদানগুলির মধ্যে এক বা একাধিক সংজ্ঞায়িত বা খালি নেই: <Source> > , <XPath> , <Namespaces> , <Namespace> । | build |
TrustStoreNotConfigured | যদি <TrustStore> উপাদানটি খালি থাকে বা ValidateSAMLAssertion নীতিতে নির্দিষ্ট করা না থাকে, তাহলে API প্রক্সির স্থাপনা ব্যর্থ হয়। একটি বৈধ ট্রাস্ট স্টোর প্রয়োজন। | build |
NullKeyStoreAlias | যদি চাইল্ড এলিমেন্ট <Alias> খালি থাকে বা জেনারেট SAML Assertion নীতির <Keystore> এলিমেন্টে নির্দিষ্ট করা না থাকে, তাহলে API প্রক্সির স্থাপনা ব্যর্থ হয়। একটি বৈধ কীস্টোর উপনাম প্রয়োজন৷ | build |
NullKeyStore | যদি চাইল্ড এলিমেন্ট <Name> খালি থাকে বা GenerateSAMLAssertion নীতির <Keystore> এলিমেন্টে নির্দিষ্ট করা না থাকে, তাহলে API প্রক্সির স্থাপনা ব্যর্থ হয়। একটি বৈধ কীস্টোর নাম প্রয়োজন৷ | build |
NullIssuer | যদি <Issuer> উপাদানটি খালি থাকে বা জেনারেট SAML অ্যাসারশন নীতিতে নির্দিষ্ট করা না থাকে, তাহলে API প্রক্সির স্থাপনা ব্যর্থ হয়। একটি বৈধ <Issuer> মান প্রয়োজন। | build |
ফল্ট ভেরিয়েবল
রানটাইম ত্রুটি ঘটলে এই ভেরিয়েবলগুলি সেট করা হয়। আরও তথ্যের জন্য, নীতি ত্রুটি সম্পর্কে আপনার যা জানা দরকার তা দেখুন।
| ভেরিয়েবল | যেখানে | উদাহরণ |
|---|---|---|
fault.name=" fault_name " | fault_name হল দোষের নাম . ফল্ট নামটি ফল্ট কোডের শেষ অংশ। | fault.name = "InvalidMediaTpe" |
GenerateSAMLAssertion.failed | একটি বৈধ SAML দাবী নীতি কনফিগারেশনের জন্য, ত্রুটি উপসর্গটি হল ValidateSAMLAssertion । | GenerateSAMLAssertion.failed = true |
উদাহরণ ত্রুটি প্রতিক্রিয়া
{
"fault": {
"faultstring": "GenerateSAMLAssertion[GenSAMLAssert]: Invalid media type",
"detail": {
"errorcode": "steps.saml.generate.InvalidMediaTpe"
}
}
}
উদাহরণ দোষ নিয়ম
<FaultRules>
<FaultRule name="invalid_saml_rule">
<Step>
<Name>invalid-saml</Name>
</Step>
<Condition>(GenerateSAMLAssertion.failed = "true")</Condition>
</FaultRule>
</FaultRules>
সম্পর্কিত বিষয়
এক্সট্র্যাক্ট ভেরিয়েবল: এক্সট্র্যাক্ট ভেরিয়েবল নীতি