इस पेज का अनुवाद Cloud Translation API से किया गया है.

एसएएमएल असर की नीतियां

आपको Apigee Edge दस्तावेज़ दिख रहा है.
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है इस पेज पर जाएं Apigee X दस्तावेज़. जानकारी

क्या

इनबाउंड ऑथेंटिकेशन और ऑथराइज़ेशन: एसएएमएल कार्रवाई की पुष्टि करें नीति
एसएएमएल नीति का टाइप, एपीआई प्रॉक्सी को उन एसएएमएल दावों की पुष्टि करने की सुविधा देता है जो इससे जुड़े होते हैं इनबाउंड एसओएपी अनुरोध. एसएएमएल नीति, आने वाले ऐसे मैसेज की पुष्टि करती है जिनमें डिजिटल रूप से हस्ताक्षर किया गया एसएएमएल दावा, अमान्य होने पर उसे अस्वीकार कर दिया जाता है, और अतिरिक्त नीतियों या खुद बैकएंड सेवाओं को अनुमति दें, ताकि जानकारी की और पुष्टि की जा सके दावे को सही ठहराया है.
आउटबाउंड टोकन जनरेट करना: एसएएमएल असर नीति जनरेट करें
एसएएमएल नीति का टाइप, एपीआई प्रॉक्सी को आउटबाउंड एक्सएमएल अनुरोधों में एसएएमएल दावों को अटैच करने की सुविधा देता है. इसके बाद, इन दावों का इस्तेमाल करके बैकएंड सेवाओं को और ज़्यादा सुरक्षा लागू की जा सकती है. पुष्टि करने और अनुमति देने की प्रोसेस जारी है.

सैंपल

एसएएमएल दावा जनरेट करें

<GenerateSAMLAssertion name="SAML" ignoreContentType="false">
  <CanonicalizationAlgorithm />
  <Issuer ref="reference">Issuer name</Issuer>
  <KeyStore>
    <Name ref="reference">keystorename</Name>
    <Alias ref="reference">alias</Alias>
  </KeyStore>
  <OutputVariable>
    <FlowVariable>assertion.content</FlowVariable>
    <Message name="request">
      <Namespaces>
        <Namespace prefix="test">http://www.example.com/test</Namespace>
      </Namespaces>
      <XPath>/envelope/header</XPath>
    </Message>
  </OutputVariable>
  <SignatureAlgorithm />
  <Subject ref="reference">Subject name</Subject>
  <Template ignoreUnresolvedVariables="false">
    <!-- A lot of XML goes here, in CDATA, with {} around
         each variable -->
  </Template>
</GenerateSAMLAssertion>

एसएएमएल दावा जनरेट करना

एसएएमएल दावे की पुष्टि करें

<ValidateSAMLAssertion name="SAML" ignoreContentType="false">
  <Source name="request">
    <Namespaces>
      <Namespace prefix='soap'>http://schemas.xmlsoap.org/soap/envelope/</Namespace>
      <Namespace prefix='wsse'>http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd</Namespace>
      <Namespace prefix='saml'>urn:oasis:names:tc:SAML:2.0:assertion</Namespace>
    </Namespaces>
    <AssertionXPath>/soap:Envelope/soap:Header/wsse:Security/saml:Assertion</AssertionXPath>
    <SignedElementXPath>/soap:Envelope/soap:Header/wsse:Security/saml:Assertion</SignedElementXPath>
  </Source>
  <TrustStore>TrustStoreName</TrustStore>
  <RemoveAssertion>false</RemoveAssertion>
</ValidateSAMLAssertion>

एसएएमएल दावे की पुष्टि करना

एलिमेंट का रेफ़रंस

एसएएमएल दावा जनरेट करें

फ़ील्ड का नाम	ब्यौरा
`name` एट्रिब्यूट	नीति इंस्टेंस का नाम. यह नाम यूनीक होना चाहिए संगठन. नाम में इस्तेमाल किए जा सकने वाले वर्ण सिर्फ़ `A-Z0-9._\-$ %` तक सीमित हैं. हालांकि, मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) में अतिरिक्त पाबंदियां लागू की जाती हैं, जैसे कि उन वर्णों को अपने-आप हटा सकता है जो अक्षर और अंक नहीं हैं.
`ignoreContentType` एट्रिब्यूट	एक बूलियन जिसे `true` या `false` पर सेट किया जा सकता है. डिफ़ॉल्ट रूप से, अगर संदेश का सामग्री प्रकार कोई XML नहीं है, तो दावा जनरेट नहीं किया जाएगा कॉन्टेंट किस तरह का है. अगर इसे `true` पर सेट किया जाता है, तो मैसेज को एक्सएमएल माना जाएगा फिर चाहे कॉन्टेंट का टाइप कुछ भी हो.
`Issuer`	आइडेंटिटी प्रोवाइडर का यूनीक आइडेंटिफ़ायर. अगर वैकल्पिक `ref` विशेषता मौजूद है, तो जारी करने वाले का मान बताया गया वैरिएबल. अगर वैकल्पिक `ref` एट्रिब्यूट मौजूद नहीं है, तो जारी करने वाले के मान का इस्तेमाल किया जाएगा.
`KeyStore`	उस KeyStore का नाम जिसमें निजी कुंजी और निजी कुंजी का उपनाम होता है इसका इस्तेमाल एसएएमएल दावे पर डिजिटल रूप से हस्ताक्षर करने के लिए किया जाता है.
`OutputVariable`
`FlowVariable`
`Message`	नीति का टारगेट. मान्य वैल्यू हैं `message`, `request`, और `response`. अगर नीति को `message` पर सेट किया जाता है, तो शर्तों के साथ यह नीति लागू होगी नीति के अटैचमेंट पॉइंट के आधार पर मैसेज ऑब्जेक्ट को हासिल करता है. इससे अटैच होने पर अनुरोध का फ़्लो, नीति `message` को अनुरोध के साथ रिज़ॉल्व कर देती है. साथ ही, यह नीति, रिस्पॉन्स फ़्लो के मामले में, यह नीति `message` को जवाब देने के लिए समाधान करती है.
`XPath`	एकX+ एक्सप्रेशन जो उस बाहरी एक्सएमएल दस्तावेज़ पर मौजूद एलिमेंट को दिखाता है जिस पर यह नीति एसएएमएल दावा को अटैच करेगी.
`SignatureAlgorithm`	SHA1 या SHA256
`Subject`	एसएएमएल दावे के विषय का यूनीक आइडेंटिफ़ायर. अगर वैकल्पिक `ref` एट्रिब्यूट मौजूद है, तो विषय की वैल्यू को इस पर असाइन किया जाएगा दिए गए वैरिएबल के आधार पर रनटाइम. अगर `ref` एट्रिब्यूट की वैल्यू देना ज़रूरी नहीं है, तो मौजूद है, तो विषय के मान का उपयोग किया जाएगा.
`Template`	अगर यह मौजूद है, तो दावा करने के लिए इस टेंप्लेट को चलाकर जनरेट किया जाएगा हर चीज़ `{}` को संबंधित वैरिएबल के साथ दिखाती है. इसके बाद, यह डिजिटल तौर पर दिखती है नतीजे पर हस्ताक्षर करते हैं. टेंप्लेट को AssignmentsMessage नीति के नियमों के मुताबिक प्रोसेस किया जाता है. असाइन करना देखें मैसेज से जुड़ी नीति. `<Template>` एलिमेंट, डाइनैमिक स्ट्रिंग की जगह इस्तेमाल होने वाली सुविधा के साथ काम करता है, जिसे मैसेज का टेंप्लेट. मैसेज का टेंप्लेट बनाना नीति के हस्ताक्षर `GenerateSamlAssertion` होने पर ही काम करता है.

एसएएमएल कार्रवाई की पुष्टि करें

फ़ील्ड का नाम	ब्यौरा
`name` एट्रिब्यूट	नीति इंस्टेंस का नाम. संगठन में यह नाम यूनीक होना चाहिए. नाम में इस्तेमाल किए जा सकने वाले वर्ण सिर्फ़ `A-Z0-9._\-$ %` तक सीमित हैं. हालांकि, मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) की सेटिंग में अतिरिक्त पाबंदियां लागू की जाती हैं. जैसे, अपने-आप अक्षर और अंक के अलावा, किसी और वर्ण को हटाना.
`ignoreContentType` एट्रिब्यूट	एक बूलियन जिसे `true` या `false` पर सेट किया जा सकता है. डिफ़ॉल्ट रूप से, अगर संदेश का सामग्री प्रकार कोई XML नहीं है, तो दावा जनरेट नहीं किया जाएगा कॉन्टेंट किस तरह का है. अगर इसे `true` पर सेट किया जाता है, तो मैसेज को एक्सएमएल माना जाएगा फिर चाहे कॉन्टेंट का टाइप कुछ भी हो.
`Source`	नीति का टारगेट. मान्य वैल्यू हैं `message`, `request`, और `response`. अगर नीति को `message` पर सेट किया जाता है, तो शर्तों के साथ यह नीति लागू होगी नीति के अटैचमेंट पॉइंट के आधार पर मैसेज ऑब्जेक्ट को हासिल करता है. इससे अटैच होने पर अनुरोध का फ़्लो, नीति `message` को अनुरोध के साथ रिज़ॉल्व कर देती है. साथ ही, यह नीति, रिस्पॉन्स फ़्लो के मामले में, यह नीति `message` को जवाब देने के लिए समाधान करती है.
`XPath`	अब काम नहीं करता. `Source` का बच्चा. इस्तेमाल की जाने वाली चीज़ें `AssertionXPath` और `SignedElementXPath`.
`AssertionXPath`	`Source` का बच्चा. एक एक्स पाथ एक्सप्रेशन मौजूद है, जो इनबाउंड एक्सएमएल दस्तावेज़, जिससे नीति एसएएमएल दावा एक्सट्रैक्ट कर सकती है.
`SignedElementXPath`	`Source` का बच्चा. एक एक्स पाथ एक्सप्रेशन मौजूद है, जो इनबाउंड एक्सएमएल दस्तावेज़, जिससे नीति साइन किए गए एलिमेंट को एक्सट्रैक्ट कर सकती है. यह हो सकता है कि `AssertionXPath` के लिए, के खाने के तरीके से अलग या उसके जैसा हो.
`TrustStore`	TrustStore का नाम जिसमें पुष्टि करने के लिए इस्तेमाल किए गए भरोसेमंद X.509 सर्टिफ़िकेट हैं एसएएमएल दावों पर डिजिटल हस्ताक्षर.
`RemoveAssertion`	एक बूलियन जिसे `true` या `false` पर सेट किया जा सकता है. टास्क कब शुरू होगा `true`, एसएएमएल दावा को अनुरोध वाले मैसेज से पहले हटा दिया जाएगा मैसेज को बैकएंड सेवा पर फ़ॉरवर्ड किया जाता है.

इस्तेमाल की जानकारी

सिक्योरिटी असर्शन मार्कअप लैंग्वेज (एसएएमएल) के स्पेसिफ़िकेशन में ऐसे फ़ॉर्मैट और प्रोटोकॉल के बारे में बताया गया है जो ऐप्लिकेशन को पुष्टि करने के लिए एक्सएमएल फ़ॉर्मैट की जानकारी का लेन-देन करने की सुविधा देता है और अनुमति

"सुरक्षा दावा" एक भरोसेमंद टोकन है, जो किसी ऐप्लिकेशन, ऐप्लिकेशन के उपयोगकर्ता के एट्रिब्यूट के बारे में बताता है. या लेन-देन में शामिल किसी अन्य व्यक्ति ने. सुरक्षा से जुड़े दावों को दो लोग मैनेज और इस्तेमाल करते हैं इकाइयां:

पहचान देने वाली सेवा: मीटिंग में हिस्सा लेने वाले लोगों की ओर से, सुरक्षा से जुड़े दावे करें
सेवा देने वाली कंपनियां: पहचान की पुष्टि के साथ भरोसेमंद संबंधों की मदद से, सुरक्षा से जुड़े दावों की पुष्टि करना सेवा देने वाली कंपनियां

एपीआई प्लैटफ़ॉर्म, आइडेंटिटी प्रोवाइडर और सेवा देने वाले के तौर पर काम कर सकता है. यह मैसेज जनरेट करने और मैसेज का अनुरोध करने के लिए उन्हें अटैच करके, आइडेंटिटी प्रोवाइडर को बैकएंड सेवाओं से प्रोसेस होने के लिए उपलब्ध दावे. यह सेवा देने वाली कंपनी के तौर पर काम करता है इनबाउंड अनुरोध मैसेज पर किए गए दावों की पुष्टि करना.

एसएएमएल नीति का टाइप, एसएएमएल से जुड़ी उन दावों के साथ काम करता है जो एसएएमएल कोर के वर्शन 2.0 से मेल खाते हैं WS-सुरक्षा एसएएमएल टोकन प्रोफ़ाइल की खास बातें और वर्शन 1.0.

एसएएमएल दावा जनरेट करें

नीति को प्रोसेस करना:

अगर मैसेज एक्सएमएल नहीं है और ignoreContentType को true पर सेट नहीं किया गया है, तो गड़बड़ी ठीक करें.
अगर "टेंप्लेट" मौजूद हो सेट हो जाता है, तो इसके बाद, 'assignMessage नीति' के हिसाब से टेंप्लेट को प्रोसेस करें. अगर कोई वैरिएबल मौजूद नहीं है और ignoreUnsolvedVariables सेट नहीं किया गया है, तो गड़बड़ी बढ़ाएं.
अगर "टेंप्लेट" मौजूद हो सेट नहीं किया गया है, तो एक ऐसा दावा बनाएं जिसमें विषय और जारी करने वाले पैरामीटर या उनके रेफ़रंस.
बताई गई कुंजी का इस्तेमाल करके दावे पर हस्ताक्षर करें.
तय किए गए OAuth पर मैसेज में दावा जोड़ें.

एसएएमएल कार्रवाई की पुष्टि करें

नीति को प्रोसेस करना:

यह नीति इनबाउंड मैसेज की जांच करती है, ताकि यह पुष्टि की जा सके कि अनुरोध का मीडिया टाइप एक्सएमएल है. यह जांचना कि कॉन्टेंट का टाइप, text/(.*+)?xml फ़ॉर्मैट से मेल खाता है या नहीं या application/(.*+)?xml. अगर मीडिया का टाइप एक्सएमएल नहीं है और <IgnoreContentType> को सेट नहीं किया गया है, तो इस नीति की वजह से गड़बड़ी हो सकती है.
यह नीति, एक्सएमएल को पार्स करेगी. अगर पार्स नहीं हो पाता है, तो गड़बड़ी हो सकती है.
यह नीति, साइन किए हुए एलिमेंट और दावे को एक्सट्रैक्ट करेगी. इसके लिए, उन रेफ़रंस का इस्तेमाल करना होगा बताए गए (<SignedElementXPath> और <AssertionXPath>). अगर इनमें से किसी भी पाथ से कोई एलिमेंट नहीं दिखता, तो नीति में गड़बड़ी होगी.
नीति से यह पुष्टि की जाएगी कि दावा, साइन किए गए एलिमेंट जैसा ही है या साइन किए गए एलिमेंट का चाइल्ड एलिमेंट. अगर ऐसा नहीं है, तो नीति की वजह से गलती हो सकती है.
अगर <NotBefore> या <NotOnOrAfter> में से कोई एक दावे में एलिमेंट मौजूद होते हैं, तो नीति मौजूदा टाइमस्टैंप की जांच ये वैल्यू, एसएएमएल कोर के सेक्शन 2.5.1 में दी गई हैं.
"शर्तें" प्रोसेस करने के लिए, इस नीति में दूसरे नियम भी लागू होंगे जैसा बताया गया है एसएएमएल के मुख्य सेक्शन 2.5.1.1 में.
यह नीति, एक्सएमएल डिजिटल हस्ताक्षर की पुष्टि करने के लिए, इन वैल्यू का इस्तेमाल करेगी <TrustStore> और <ValidateSigner>, जैसा कि ऊपर बताया गया है. अगर पुष्टि नहीं हो पाती है, तो नीति में गड़बड़ी होगी.

बिना गड़बड़ी के नीति लागू होने के बाद, प्रॉक्सी का डेवलपर यह पक्का कर सकता है कि इनमें से शामिल हों:

दावे पर किया गया डिजिटल हस्ताक्षर मान्य है और इस पर किसी भरोसेमंद सीए ने हस्ताक्षर किया है
दावा मौजूदा समयावधि के लिए मान्य है
दावे के विषय और उसे जारी करने वाले की जानकारी एक्सट्रैक्ट की जाएगी और फ़्लो वैरिएबल में सेट की जाएगी. हां अतिरिक्त पुष्टि के लिए इन वैल्यू का इस्तेमाल करने की दूसरी नीतियों की ज़िम्मेदारी, जैसे कि यह जांचना कि विषय का नाम मान्य है या नहीं या इसे पुष्टि के लिए किसी टारगेट सिस्टम को पास करना.

दावे के रॉ एक्सएमएल को पार्स करने के लिए, ExtractVariables जैसी अन्य नीतियों का इस्तेमाल किया जा सकता है का इस्तेमाल करें.

फ़्लो वैरिएबल

ऐसी कई जानकारी है जिनके बारे में एसएएमएल दावे में बताया जा सकता है. एसएएमएल दावा खुद ही एक्सएमएल है, जिसे ExtractVariables नीति और दूसरे तरीकों से पार्स किया जा सकता है ज़्यादा जटिल मान्यताओं को लागू करने के लिए डिज़ाइन किया गया है.

वैरिएबल	ब्यौरा
`saml.id`	एसएएमएल दावा आईडी
`saml.issuer`	"जारी करने वाला" दावे का, उसके नेटिव एक्सएमएल टाइप से स्ट्रिंग में बदला गया
`saml.subject`	"विषय" दावे का, उसके नेटिव एक्सएमएल टाइप से स्ट्रिंग में बदला गया
`saml.valid`	वैधता जाँच के नतीजे के आधार पर सही या गलत लौटाता है
`saml.issueInstant`	IssueInstant
`saml.subjectFormat`	विषय का फ़ॉर्मैट
`saml.scmethod`	सब्जेक्ट की पुष्टि करने का तरीका
`saml.scdaddress`	विषय की पुष्टि करने वाले डेटा का पता
`saml.scdinresponse`	जवाब में विषय की पुष्टि करने वाला डेटा
`saml.scdrcpt`	विषय की पुष्टि करने वाला डेटा पाने वाला
`saml.authnSnooa`	AuthnStatement SessionNotOnOrAfter
`saml.authnContextClassRef`	AuthnStatement AuthnContextClassRef
`saml.authnInstant`	AuthnStatement Authइंस्टैंट
`saml.authnSessionIndex`	AuthnStatement सेशन इंडेक्स

गड़बड़ी का रेफ़रंस

इस सेक्शन में, गड़बड़ी के कोड और गड़बड़ी के मैसेज के बारे में बताया गया है और गड़बड़ी वाले ऐसे वैरिएबल होते हैं जिन्हें Edge की मदद से सेट किया जाता है. ऐसा तब होता है, जब इस नीति के तहत कोई गड़बड़ी होती है. यह जानकारी जानना ज़रूरी है कि क्या आप गड़बड़ियों को ठीक करता है. ज़्यादा जानने के लिए, आपके लिए ज़रूरी जानकारी देखें नीति से जुड़ी गड़बड़ियों और हैंडलिंग के बारे में जानकारी गलतियां.

डिप्लॉयमेंट से जुड़ी गड़बड़ियां

ये गड़बड़ियां तब हो सकती हैं, जब इस नीति वाली प्रॉक्सी को डिप्लॉय किया जाता है.

गड़बड़ी का नाम	वजह	ठीक करें
`SourceNotConfigured`	एसएएमएल के दावे की पुष्टि करने के लिए, इनमें से एक या एक से ज़्यादा एलिमेंट इस नीति की जानकारी नहीं है या इसमें कोई जानकारी नहीं है: `<Source>`, `<XPath>`, `<Namespaces>`, `<Namespace>`.
`TrustStoreNotConfigured`	अगर `<TrustStore>` एलिमेंट खाली है या VerifySAMLAssertion नीति की पुष्टि होने के बाद, एपीआई प्रॉक्सी को डिप्लॉय नहीं किया जा सकता. एक मान्य ट्रस्ट स्टोर का होना ज़रूरी है.
`NullKeyStoreAlias`	अगर चाइल्ड एलिमेंट `<Alias>` खाली है या `<Keystore>` में इसकी जानकारी नहीं दी गई है एसएएमएल असर नीति जनरेट करने की नीति का एलिमेंट और इसके बाद एपीआई के डिप्लॉयमेंट प्रॉक्सी विफल. मान्य कीस्टोर उपनाम ज़रूरी है.
`NullKeyStore`	अगर चाइल्ड एलिमेंट `<Name>` खाली है या `<Keystore>` में इसकी जानकारी नहीं दी गई है generateSAMLAssertion नीति का एलिमेंट है. इसके बाद, एपीआई को डिप्लॉय किया जा सकता है प्रॉक्सी विफल. मान्य कीस्टोर नाम डालना ज़रूरी है.
`NullIssuer`	अगर `<Issuer>` एलिमेंट खाली है या एसएएमएल जनरेट करें में इसकी जानकारी नहीं दी गई है दावा करने की नीति सेट करने के बाद, एपीआई प्रॉक्सी को डिप्लॉय नहीं किया जा सकता. ऐप्लिकेशन `<Issuer>` की मान्य वैल्यू डालना ज़रूरी है.

गड़बड़ी के वैरिएबल

रनटाइम की गड़बड़ी होने पर ये वैरिएबल सेट किए जाते हैं. ज़्यादा जानकारी के लिए, आपके लिए ज़रूरी जानकारी देखें नीति से जुड़ी गड़बड़ियों के बारे में जानकारी.

वैरिएबल	कहां	उदाहरण
`fault.name="fault_name"`	`fault_name`, गड़बड़ी का नाम है. गड़बड़ी का नाम, गड़बड़ी के कोड का आखिरी हिस्सा होता है.	`fault.name = "InvalidMediaTpe"`
`GenerateSAMLAssertion.failed`	एसएएमएल दावे की नीति के कॉन्फ़िगरेशन की पुष्टि करने के लिए, गड़बड़ी का प्रीफ़िक्स यह है `ValidateSAMLAssertion`.	`GenerateSAMLAssertion.failed = true`

गड़बड़ी के रिस्पॉन्स का उदाहरण

ध्यान दें: गड़बड़ियों को ठीक करने के लिए, सबसे सही तरीका यह है कि गड़बड़ी के रिस्पॉन्स का errorcode हिस्सा. में टेक्स्ट पर भरोसा न करें faultstring, क्योंकि यह बदल सकता है.

{
  "fault": {
    "faultstring": "GenerateSAMLAssertion[GenSAMLAssert]: Invalid media type",
    "detail": {
      "errorcode": "steps.saml.generate.InvalidMediaTpe"
    }
  }
}

गड़बड़ी के नियम का उदाहरण

<FaultRules>
    <FaultRule name="invalid_saml_rule">
        <Step>
            <Name>invalid-saml</Name>
        </Step>
        <Condition>(GenerateSAMLAssertion.failed = "true")</Condition>
    </FaultRule>
</FaultRules>

मिलते-जुलते विषय

वैरिएबल निकालना: वैरिएबल निकालें: नीति