问题描述

API Management在对请求进行鉴权的时候，是否有策略(如 validate-jwt类似的policy)来支持 SAML assertion呢？

问题解答

API Management策略不支持对 SAML assertion 的验证，validate-jwt 验证 的是 JWT tokens， 而 SAML assertion 是XML-based token，所以APIM服务目前并未提供对应的策略。

SAML

SAML（Security Assertion Markup Language）Assertion 验证是一种用于在不同系统之间安全传递身份信息的机制，广泛应用于单点登录（SSO）场景。下面详细介绍它的原理和用途。

SAML Assertion 验证的原理

SAML 是一种基于 XML 的开放标准，用于在身份提供者（IdP）和服务提供者（SP）之间交换认证和授权数据。其核心是 SAML Assertion，它是一段由身份提供者签发的 XML 数据，包含用户的身份信息和权限。

工作流程如下：

|

1. 用户访问服务提供者（SP）：

   • 比如访问一个企业应用，但用户尚未登录。

2. SP 重定向用户到身份提供者（IdP）：

   • SP 会请求 IdP 对用户进行身份验证。

3. 用户在 IdP 登录：

   • 用户输入凭证（如用户名和密码），IdP 验证成功后生成一个 SAML Assertion。

4. IdP 将 SAML Assertion 发送给 SP：

   • 通常通过用户浏览器 POST 到 SP 的 Assertion Consumer Service (ACS) 端点。

5. SP 验证 SAML Assertion：

   • SP 使用预共享的公钥验证 Assertion 的签名，确保其未被篡改。
   • 验证 Assertion 的有效期、Audience（接收者）、Issuer（签发者）等信息。

6. 用户获得访问权限：

   • SP 根据 Assertion 中的用户信息创建会话，允许用户访问资源。

image.png

|

SAML Assertion 的组成

一个典型的 SAML Assertion 包括：

• Subject：用户的身份信息（如用户名、邮箱等）
• Conditions：有效期、受众限制等
• AuthnStatement：认证信息（如认证时间、方法）
• AttributeStatement：用户属性（如角色、部门等）
• Signature：数字签名，确保数据完整性和来源可信

SAML Assertion 的用途

1. 单点登录（SSO）：

   • 用户只需登录一次，就能访问多个系统，无需重复认证。

2. 跨组织身份验证：

   • 比如企业与合作伙伴之间的系统集成，使用 SAML 实现安全认证。

3. 云服务集成：

   • 如 Microsoft 365、Salesforce、AWS 等支持 SAML 的服务，可以与企业的身份系统集成。

4. 安全性增强：

   • 使用数字签名和加密机制，确保身份信息在传输过程中不被篡改或泄露。

参考资料

Validate JWT: https://learn.microsoft.com/en-us/azure/api-management/validate-jwt-policy

当在复杂的环境中面临问题，格物之道需：浊而静之徐清，安以动之徐生。 云中，恰是如此!