【Azure APIM】API Management的Policy是否支持 SAML assertion?

本文涉及的产品
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
应用实时监控服务-可观测链路OpenTelemetry版,每月50GB免费额度
MSE Nacos/ZooKeeper 企业版试用,1600元额度,限量50份
简介: 本文探讨了API Management是否支持通过策略(如validate-jwt)验证SAML assertion的问题。结论是API Management目前不支持SAML assertion验证,因其为XML-based token,而validate-jwt仅适用于JWT tokens。文章进一步介绍了SAML(安全断言标记语言)的基本原理、Assertion的组成及用途,包括单点登录(SSO)、跨组织身份验证、云服务集成和安全性增强等方面,帮助读者深入了解SAML的工作机制及其应用场景。

问题描述

API Management在对请求进行鉴权的时候,是否有策略(如 validate-jwt类似的policy)来支持 SAML assertion呢?

 

问题解答

API Management策略不支持对 SAML assertion 的验证,validate-jwt 验证 的是 JWT tokens, 而 SAML assertion 是XML-based token,所以APIM服务目前并未提供对应的策略。

 

SAML

SAML(Security Assertion Markup Language)Assertion 验证是一种用于在不同系统之间安全传递身份信息的机制,广泛应用于单点登录(SSO)场景。下面详细介绍它的原理和用途。

SAML Assertion 验证的原理

SAML 是一种基于 XML 的开放标准,用于在身份提供者(IdP)和服务提供者(SP)之间交换认证和授权数据。其核心是 SAML Assertion,它是一段由身份提供者签发的 XML 数据,包含用户的身份信息和权限。

工作流程如下:

  1. 用户访问服务提供者(SP):
    • 比如访问一个企业应用,但用户尚未登录。
  2. SP 重定向用户到身份提供者(IdP):
    • SP 会请求 IdP 对用户进行身份验证。
  3. 用户在 IdP 登录:
    • 用户输入凭证(如用户名和密码),IdP 验证成功后生成一个 SAML Assertion。
  4. IdP 将 SAML Assertion 发送给 SP:
    • 通常通过用户浏览器 POST 到 SP 的 Assertion Consumer Service (ACS) 端点。
  5. SP 验证 SAML Assertion:
    • SP 使用预共享的公钥验证 Assertion 的签名,确保其未被篡改。
    • 验证 Assertion 的有效期、Audience(接收者)、Issuer(签发者)等信息。
  6. 用户获得访问权限:
    • SP 根据 Assertion 中的用户信息创建会话,允许用户访问资源。

SAML Assertion 的组成

一个典型的 SAML Assertion 包括:

  • Subject:用户的身份信息(如用户名、邮箱等)
  • Conditions:有效期、受众限制等
  • AuthnStatement:认证信息(如认证时间、方法)
  • AttributeStatement:用户属性(如角色、部门等)
  • Signature:数字签名,确保数据完整性和来源可信

 

SAML Assertion 的用途

  1. 单点登录(SSO):
  • 用户只需登录一次,就能访问多个系统,无需重复认证。
  1. 跨组织身份验证:
  • 比如企业与合作伙伴之间的系统集成,使用 SAML 实现安全认证。
  1. 云服务集成:
  • 如 Microsoft 365、Salesforce、AWS 等支持 SAML 的服务,可以与企业的身份系统集成。
  1. 安全性增强:
  • 使用数字签名和加密机制,确保身份信息在传输过程中不被篡改或泄露。

 

参考资料

Validate JWT: https://learn.microsoft.com/en-us/azure/api-management/validate-jwt-policy



 

当在复杂的环境中面临问题,格物之道需:浊而静之徐清,安以动之徐生。 云中,恰是如此!

相关文章
|
9月前
|
JavaScript API C#
【Azure Developer】Python代码调用Graph API将外部用户添加到组,结果无效,也无错误信息
根据Graph API文档,在单个请求中将多个成员添加到组时,Python代码示例中的`members@odata.bind`被错误写为`members@odata_bind`,导致用户未成功添加。
111 10
|
9月前
|
API Python
【Azure Developer】分享一段Python代码调用Graph API创建用户的示例
分享一段Python代码调用Graph API创建用户的示例
118 11
|
API 开发工具 网络架构
【Azure Developer】如何通过Azure Portal快速获取到对应操作的API并转换为Python代码
【Azure Developer】如何通过Azure Portal快速获取到对应操作的API并转换为Python代码
|
存储 Kubernetes API
【APIM】Azure API Management Self-Host Gateway是否可以把请求的日志发送到Application Insights呢?让它和使用Azure上托管的 Gateway一样呢?
【APIM】Azure API Management Self-Host Gateway是否可以把请求的日志发送到Application Insights呢?让它和使用Azure上托管的 Gateway一样呢?
120 0
|
1月前
|
JSON API 数据格式
淘宝/天猫图片搜索API接口,json返回数据。
淘宝/天猫平台虽未开放直接的图片搜索API,但可通过阿里妈妈淘宝联盟或天猫开放平台接口实现类似功能。本文提供基于淘宝联盟的图片关联商品搜索Curl示例及JSON响应说明,适用于已获权限的开发者。如需更高精度搜索,可选用阿里云视觉智能API。
|
1月前
|
JSON API 数据安全/隐私保护
深度分析淘宝卖家订单详情API接口,用json返回数据
淘宝卖家订单详情API(taobao.trade.fullinfo.get)是淘宝开放平台提供的重要接口,用于获取单个订单的完整信息,包括订单状态、买家信息、商品明细、支付与物流信息等,支撑订单管理、ERP对接及售后处理。需通过appkey、appsecret和session认证,并遵守调用频率与数据权限限制。本文详解其使用方法并附Python调用示例。
|
9天前
|
数据可视化 测试技术 API
从接口性能到稳定性:这些API调试工具,让你的开发过程事半功倍
在软件开发中,接口调试与测试对接口性能、稳定性、准确性及团队协作至关重要。随着开发节奏加快,传统方式已难满足需求,专业API工具成为首选。本文介绍了Apifox、Postman、YApi、SoapUI、JMeter、Swagger等主流工具,对比其功能与适用场景,并推荐Apifox作为集成度高、支持中文、可视化强的一体化解决方案,助力提升API开发与测试效率。
|
1月前
|
监控 算法 API
电商API接口对接实录:淘宝优惠券接口对接处理促销监控系统
在电商开发中,淘宝详情页的“券后价计算”是极易出错的环节。本文作者结合实战经验,分享了因忽略满减券门槛、有效期、适用范围等导致的踩坑经历,并提供了完整的解决方案,包括淘宝API签名生成、券后价计算逻辑、常见坑点及优化建议,助力开发者精准实现券后价功能,避免业务损失。
|
30天前
|
JSON 算法 安全
淘宝商品详情API接口系列,json数据返回
淘宝开放平台提供了多种API接口用于获取商品详情信息,主要通过 淘宝开放平台(Taobao Open Platform, TOP) 的 taobao.tbk.item.info.get(淘宝客商品详情)或 taobao.item.get(标准商品API)等接口实现。以下是关键信息及JSON返回示例:
|
1月前
|
设计模式 JSON Unix
微店商品详情API接口,json数据返回
微店商品详情API接口的典型JSON返回数据结构说明,基于公开的微店开放平台API文档和常见电商API设计模式整理。实际使用时请以微店官方最新文档为准