问题描述

API Management在对请求进行鉴权的时候，是否有策略(如 validate-jwt类似的policy)来支持 SAML assertion呢？

问题解答

API Management策略不支持对 SAML assertion 的验证，validate-jwt 验证的是 JWT tokens，而 SAML assertion 是XML-based token，所以APIM服务目前并未提供对应的策略。

SAML

SAML（Security Assertion Markup Language）Assertion 验证是一种用于在不同系统之间安全传递身份信息的机制，广泛应用于单点登录（SSO）场景。下面详细介绍它的原理和用途。

SAML Assertion 验证的原理

SAML 是一种基于 XML 的开放标准，用于在身份提供者（IdP）和服务提供者（SP）之间交换认证和授权数据。其核心是 SAML Assertion，它是一段由身份提供者签发的 XML 数据，包含用户的身份信息和权限。

工作流程如下：

用户访问服务提供者（SP）：比如访问一个企业应用，但用户尚未登录。 SP 重定向用户到身份提供者（IdP）： SP 会请求 IdP 对用户进行身份验证。用户在 IdP 登录：用户输入凭证（如用户名和密码），IdP 验证成功后生成一个 SAML Assertion。 IdP 将 SAML Assertion 发送给 SP：通常通过用户浏览器 POST 到 SP 的 Assertion Consumer Service (ACS) 端点。 SP 验证 SAML Assertion： SP 使用预共享的公钥验证 Assertion 的签名，确保其未被篡改。验证 Assertion 的有效期、Audience（接收者）、Issuer（签发者）等信息。用户获得访问权限： SP 根据 Assertion 中的用户信息创建会话，允许用户访问资源。

SAML Assertion 的组成

一个典型的 SAML Assertion 包括：

Subject：用户的身份信息（如用户名、邮箱等）
Conditions：有效期、受众限制等
AuthnStatement：认证信息（如认证时间、方法）
AttributeStatement：用户属性（如角色、部门等）
Signature：数字签名，确保数据完整性和来源可信

SAML Assertion 的用途

单点登录（SSO）：

用户只需登录一次，就能访问多个系统，无需重复认证。

跨组织身份验证：

比如企业与合作伙伴之间的系统集成，使用 SAML 实现安全认证。

云服务集成：

如 Microsoft 365、Salesforce、AWS 等支持 SAML 的服务，可以与企业的身份系统集成。

安全性增强：

使用数字签名和加密机制，确保身份信息在传输过程中不被篡改或泄露。

参考资料

Validate JWT: https://learn.microsoft.com/en-us/azure/api-management/validate-jwt-policy

【Azure APIM】API Management的Policy是否支持 SAML assertion？