A PAM REST API-szolgáltatás részletes adataiPAM REST API Service Details

Az alábbi szakaszok ismertetik a Microsoft Identity Manager (MIM) Privileged Access Management (PAM) REST API részleteit.The following sections discuss details of the Microsoft Identity Manager (MIM) Privileged Access Management (PAM) REST API.

HTTP-kérelmek és válaszfejlécekHTTP Request and Response Headers

Az API-nak küldött HTTP-kérelmekre a következő fejlécek (ebben a listában nincs teljes körű) kell tartalmaznia:HTTP Requests sent to the API should include the following headers (this list is not exhaustive):

FejlécHeader | LeírásDescription -------|------------ EngedélyezésAuthorization | Kötelező.Required. A tartalom függvényében adható meg a hitelesítési módszer, amely konfigurálható, és WIA (integrált Windows-hitelesítés) vagy az AD FS alapulhat.The contents will depend on the authentication method, which is configurable and can be based on WIA (Windows Integrated Authentication) or ADFS. TartalomtípusContent-Type | Szükséges, ha a kérés van törzse.Required if the request has a body. "Application/json" kell lennie.Must be "application/json". Content-LengthContent-Length | Szükséges, ha a kérés van törzse.Required if the request has a body. Cookie-kCookie | A munkameneti cookie-ból.The session cookie. Hitelesítési módszertől függően szükség lehet.May be required depending on authentication method.
HTTP-válaszokat tartalmazza a következő fejlécek (ebben a listában nincs teljes körű):HTTP Responses will include the following headers (this list is not exhaustive):

FejlécHeader LeírásDescription
TartalomtípusContent-Type Az API-t mindig adja meg "az application/json".The API always returns "application/json".
Content-LengthContent-Length A kérelem törzsében, ha van ilyen, bájtban hosszát.The length of the request body, if present, in bytes.

VersioningVersioning

Az API jelenlegi verziója: 1.The current version of the API is 1. A kérelem URL-címét, az alábbi példában látható módon egy lekérdezési paraméter adható meg az API-verzió: http://localhost:8086/api/pamresources/pamrequests?v=1 a kérelemben nincs megadva a verziója, ha a kérelem végrehajtása a API legutóbb kiadott verziójával.The API version can be specified through a query parameter in the request URL, as in the following example: http://localhost:8086/api/pamresources/pamrequests?v=1 If the version is not specified in the request, the request is executed against the most recently released version of the API.

BiztonságSecurity

Az API használatához integrált Windows-hitelesítéssel (IWA).Access to the API requires Integrated Windows Authentication (IWA). Ezt manuálisan kell beállítania az IIS-ben a Microsoft Identity Manager (MIM) telepítése előtt.This should be configured manually in IIS before Microsoft Identity Manager (MIM) installation.

HTTPS (TLS) támogatott, de az IIS-ben manuálisan kell beállítania.HTTPS (TLS) is supported, but should be configured manually in IIS. További információ:: megvalósítása Secure Sockets Layer (SSL) a FIM-portál a [9. lépés: FIM 2010 R2 telepítés utáni feladatok végrehajtása] (https://technet.microsoft.com/library/hh322875 (v=ws.10%29.aspx) a telepítése FIM 2010 R2 tesztlabor-útmutató.For information, see: Implement Secure Sockets Layer (SSL) for the FIM Portal in [Step 9: Perform FIM 2010 R2 Post-Installation Tasks](https://technet.microsoft.com/library/hh322875(v=ws.10%29.aspx) in the Installing FIM 2010 R2 Test Lab Guide.

Létrehozhat egy új SSL-kiszolgálótanúsítványt a Visual Studio parancssorból a következő parancs futtatásával:You can generate a new SSL server certificate by running the following command at the Visual Studio Command Prompt:

Makecert -r -pe -n CN="test.cwap.com" -b 05/10/2014 -e 12/22/2048 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localmachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12

Ez a parancs létrehoz egy önaláírt tanúsítványt, a webes alkalmazás URL-cím test.cwap.com webkiszolgáló SSL-t használó teszteléséhez használható.This command creates a self-signed certificate that can be used to test a web application that uses SSL on a web server whose URL is test.cwap.com. Az Objektumazonosító, az - eku beállítás határozza meg a tanúsítvány azonosítja, egy SSL-tanúsítvány.The OID defined by the -eku option identifies the certificate as an SSL server certificate. A tanúsítványt a saját tárolóban és érhető el a számítógép szintjén, a tanúsítványok beépülő modulban a mmc.exe exportálásaThe certificate is stored in the my store and is available at the machine level, so you can export it from the Certificates snap-in in mmc.exe

Kereszt-tartomány eléréséhez (CORS)Cross Domain Access (CORS)

A CORS támogatott, de az IIS-ben manuálisan kell beállítania.CORS is supported, but should be configured manually in IIS. A következő elemek hozzáadása a telepített API web.config fájlban az API-t, hogy lehetővé teszi a tartományok közötti hívások konfigurálásához:Add the following elements to the deployed API web.config file to configure the API to allow cross domain calls:

<system.webServer>       
    <httpProtocol> 
        <customHeaders> 
            <add name="Access-Control-Allow-Credentials" value="true"  /> 
            <add name="Access-Control-Allow-Headers" value="content-type" /> 
            <add name="Access-Control-Allow-Origin" value="http://<hostname>:8090" /> 
        </customHeaders> 
    </httpProtocol> 
</system.webServer> 

HibakezelésError Handling

Az API HTTP hibaválaszok jelzi a hibát adja vissza.The API returns HTTP error responses to indicate error conditions. Hibák a megfelelő OData.Errors are OData compliant. A következő táblázat az ügyfél számára visszaadott hibakódok.The following table shows the error codes that may be returned to a client.

HTTP-állapotkódHTTP Status Code | LeírásDescription -----------------|------------ 401401 | JogosulatlanUnauthorized 403403 | TiltottForbidden 408408 | Kérelem időtúllépéseRequest Timeout
500500 | Belső kiszolgálóhiba.Internal Server Error 503503 | A szolgáltatás nem érhető elService Unavailable

SzűrésFiltering

A PAM REST API-kérés tartalmazhatnak úgy, hogy adja meg a tulajdonságokat, amelyeket fel kell venni a választ.PAM REST API requests can include filters to specify the properties that should be included in the response. Szűrőszintaxisának OData kifejezések alapul.Filter syntax is based on OData expressions.

Szűrők adhatja meg a PAM-kéréseket, PAM-szerepkörök tulajdonságait.Filters can specify any of the properties of PAM Requests, PAM Roles. és a függőben lévő PAM-kéréseket.or Pending PAM Requests. Például: ExpirationTime, DisplayName, vagy bármely más érvényes tulajdonság egy PAM-kérelem, a PAM-szerepkör vagy a függőben lévő kérelem.For example: ExpirationTime, DisplayName, or any other valid property of a PAM Request, PAM Role, or Pending Request.

Az API-t az alábbi műveleteket támogatja szűrőkifejezésekben: és, egyenlő, NotEqual, GreaterThan, LessThan, GreaterThenOrEqueal, és LessThanOrEqual.The API supports the following operators in filter expressions: And, Equal, NotEqual, GreaterThan, LessThan, GreaterThenOrEqueal, and LessThanOrEqual.

A következő minta kérelmeket szűrőket tartalmazzák:The following sample requests include filters:

  • Ehhez a kérelemhez megadott dátum közötti PAM-kéréseket adja vissza:http://localhost:8086/api/pamresources/pamrequests?$filter=ExpirationTime gt datetime"2015-01-09T08:26:49.721Z" and ExpirationTime lt datetime"2015-02-10T08:26:49.722Z"This request returns all the PAM Requests between specific dates: http://localhost:8086/api/pamresources/pamrequests?$filter=ExpirationTime gt datetime"2015-01-09T08:26:49.721Z" and ExpirationTime lt datetime"2015-02-10T08:26:49.722Z"

  • A kérelem a Pam-szerepkör a megjelenített név: "SQL fájl hozzáférés" adja vissza:http://localhost:8086/api/pamresources/pamroles?$filter=DisplayName eq "SQL File Access"This request returns the Pam Role with the display name "SQL File Access": http://localhost:8086/api/pamresources/pamroles?$filter=DisplayName eq "SQL File Access"