שימוש במדיניות SAML בשרת proxy ל-API

כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של Apigee X.
מידע

Security Assertion Markup Language (SAML)

במפרט Security Assertion Markup Language (SAML) מגדיר פורמטים ופרוטוקולים שמאפשרים לאפליקציות להחליף מידע בפורמט XML לצורך אימות והרשאה.

שירותי Edge API מאפשרים לך לאמת ולאשר אפליקציות שיכולות להציג אסימוני SAML. אסימון SAML הוא קטע XML עם חתימה דיגיטלית שמציג קבוצה של 'טענות נכוֹנוּת (assertion)'. ניתן להשתמש בטענות הנכונות האלה כדי לאכוף אימות והרשאה.

כדי להשתמש במונחים של SAML, שירותי API יכולים לתפקד כספק שירות (SP) או כספק זהויות (IDP). כששירותי API מאמתים אסימוני SAML בבקשות נכנסות מאפליקציות, השירותים האלה משמשים בתור SP (שירותי API יכולים לפעול גם בתפקיד IdP, כשיוצרים אסימוני SAML לשימוש בתקשורת עם שירותים לקצה העורפי. למידע נוסף, ראו אבטחה של הקילומטר האחרון).

סוג המדיניות ב-SAML מאפשר לשרתי proxy של API לאמת טענות נכונות (assertions) של SAML שמצורפות לבקשות SOAP נכנסות. מדיניות SAML מאמתת הודעות נכנסות שמכילות טענת נכוֹנוּת של SAML עם חתימה דיגיטלית, דוחה אותן אם הן לא חוקיות ומגדירה משתנים שמאפשרים כללי מדיניות נוספים, או את השירותים לקצה העורפי עצמו, כדי להמשיך לאמת את המידע שבטענת הנכוֹנוּת (assertion).

כדי לאמת אסימוני SAML, צריך ליצור לפחות TrustStore אחד כדי להפוך אישורים דיגיטליים לזמינים למדיניות SAML. חנויות TrustStore יכולות לפעול ברמת הסביבות בארגון שלכם. כך אפשר להגדיר שרשראות מהימנות שונות בבדיקה ובייצור, וכך להבטיח שלא ניתן יהיה להשתמש באסימוני SAML לבדיקה בייצור, ולהיפך.

לפרטים על אימות SAML, אפשר לעיין במדיניות לטענת נכוֹנוּת (assertion) של SAML.