Information om PAM REST API-tjänstenPAM REST API Service Details

I följande avsnitt beskrivs information om Microsoft Identity Manager (MIM) Privileged Access Management (PAM) REST API.The following sections discuss details of the Microsoft Identity Manager (MIM) Privileged Access Management (PAM) REST API.

HTTP-begäran och svarshuvudenHTTP Request and Response Headers

HTTP-begäranden skickas till API: N bör innehålla följande huvuden (den här listan inte är fullständig):HTTP Requests sent to the API should include the following headers (this list is not exhaustive):

SidhuvudHeader BeskrivningDescription
AuktoriseringAuthorization Obligatoriskt.Required. Innehållet beror på den autentiseringsmetod som kan konfigureras och kan baseras på WIA (Windows-integrerad autentisering) eller AD FS.The contents will depend on the authentication method, which is configurable and can be based on WIA (Windows Integrated Authentication) or ADFS.
InnehållstypContent-Type Krävs om begäran har en brödtext.Required if the request has a body. Måste vara ”application/json”.Must be "application/json".
Content-LengthContent-Length Krävs om begäran har en brödtext.Required if the request has a body.
CookieCookie Sessions-cookie.The session cookie. Kan krävas beroende på vilken autentiseringsmetod du valde.May be required depending on authentication method.


HTTP-svar innehåller följande huvuden (den här listan inte är fullständig):HTTP Responses will include the following headers (this list is not exhaustive):

SidhuvudHeader BeskrivningDescription
InnehållstypContent-Type API: et och returnerar ”application/json”.The API always returns "application/json".
Content-LengthContent-Length Längden på begärantext om den finns, i byte.The length of the request body, if present, in bytes.

VersionshanteringVersioning

Den aktuella versionen av API: et är 1.The current version of the API is 1. API-versionen kan anges via en frågeparameter i begärande-URL, som i följande exempel: http://localhost:8086/api/pamresources/pamrequests?v=1 om versionen inte har angetts i begäran, begäran körs mot den nyligen lanserade versionen av API: et.The API version can be specified through a query parameter in the request URL, as in the following example: http://localhost:8086/api/pamresources/pamrequests?v=1 If the version is not specified in the request, the request is executed against the most recently released version of the API.

SäkerhetSecurity

Åtkomst till API kräver Windows IWA (Integrated Authentication).Access to the API requires Integrated Windows Authentication (IWA). Detta ska konfigureras manuellt i IIS innan du installerar Microsoft Identity Manager (MIM).This should be configured manually in IIS before Microsoft Identity Manager (MIM) installation.

HTTPS (TLS) stöds, men måste konfigureras manuellt i IIS.HTTPS (TLS) is supported, but should be configured manually in IIS. Mer information finns i: implementera Secure Sockets Layer (SSL) för FIM-portalen i [steg 9: utföra FIM 2010 R2 åtgärder efter Installation] (https://technet.microsoft.com/library/hh322875 (v=ws.10%29.aspx) i installera FIM 2010 R2 Test Lab-guiden.For information, see: Implement Secure Sockets Layer (SSL) for the FIM Portal in [Step 9: Perform FIM 2010 R2 Post-Installation Tasks](https://technet.microsoft.com/library/hh322875(v=ws.10%29.aspx) in the Installing FIM 2010 R2 Test Lab Guide.

Du kan generera ett nytt SSL-servercertifikat genom att köra följande kommando i Visual Studio-kommandotolk:You can generate a new SSL server certificate by running the following command at the Visual Studio Command Prompt:

Makecert -r -pe -n CN="test.cwap.com" -b 05/10/2014 -e 12/22/2048 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localmachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12

Detta kommando skapar ett självsignerat certifikat som kan användas för att testa ett webbprogram som använder SSL på en webbserver vars URL är test.cwap.com.This command creates a self-signed certificate that can be used to test a web application that uses SSL on a web server whose URL is test.cwap.com. OID - eku-alternativ identifierar certifikaten som SSL-servercertifikat.The OID defined by the -eku option identifies the certificate as an SSL server certificate. Certifikatet lagras i den mitt Arkiv och är tillgänglig på datornivå, så kan du exportera den från snapin-modulen certifikat i mmc.exeThe certificate is stored in the my store and is available at the machine level, so you can export it from the Certificates snap-in in mmc.exe

Mellan åtkomst till domänen (CORS)Cross Domain Access (CORS)

CORS stöds, men måste konfigureras manuellt i IIS.CORS is supported, but should be configured manually in IIS. Lägg till följande element i filen web.config distribuerade API för att konfigurera API för att tillåta anrop över domäner:Add the following elements to the deployed API web.config file to configure the API to allow cross domain calls:

<system.webServer>       
    <httpProtocol> 
        <customHeaders> 
            <add name="Access-Control-Allow-Credentials" value="true"  /> 
            <add name="Access-Control-Allow-Headers" value="content-type" /> 
            <add name="Access-Control-Allow-Origin" value="http://<hostname>:8090" /> 
        </customHeaders> 
    </httpProtocol> 
</system.webServer> 


FelhanteringError Handling

API: N returnerar HTTP-felsvar för att ange felvillkor.The API returns HTTP error responses to indicate error conditions. Fel är OData-kompatibel.Errors are OData compliant. I följande tabell visas felkoder som kan returneras till en klient.The following table shows the error codes that may be returned to a client.

HTTP-statuskodHTTP Status Code BeskrivningDescription
401401 ObehörigUnauthorized
403403 Tillåts inteForbidden
408408 Tidsgräns för förfråganRequest Timeout
500500 Internt serverfelInternal Server Error
503503 Tjänsten är inte tillgängligService Unavailable


FiltreringFiltering

PAM REST API-begäranden kan innehålla filter för att ange egenskaper som ska inkluderas i svaret.PAM REST API requests can include filters to specify the properties that should be included in the response. Filtersyntaxen baseras på OData-uttryck.Filter syntax is based on OData expressions.

Filter kan ange någon av egenskaperna för PAM-förfrågningar, PAM-roller.Filters can specify any of the properties of PAM Requests, PAM Roles. eller väntande PAM-förfrågningar.or Pending PAM Requests. Till exempel: ExpirationTime, DisplayName, eller någon annan giltig egenskap för en PAM-Request PAM Role eller väntande begäran.For example: ExpirationTime, DisplayName, or any other valid property of a PAM Request, PAM Role, or Pending Request.

API: et stöder följande operatorer i filteruttryck: och, lika, NotEqual, GreaterThan, LessThan, GreaterThenOrEqueal, och LessThanOrEqual.The API supports the following operators in filter expressions: And, Equal, NotEqual, GreaterThan, LessThan, GreaterThenOrEqueal, and LessThanOrEqual.

Följande exempel-begäranden är filter:The following sample requests include filters:

  • Denna begäran returnerar alla PAM-förfrågningar mellan specifika datum:http://localhost:8086/api/pamresources/pamrequests?$filter=ExpirationTime gt datetime"2015-01-09T08:26:49.721Z" and ExpirationTime lt datetime"2015-02-10T08:26:49.722Z"This request returns all the PAM Requests between specific dates: http://localhost:8086/api/pamresources/pamrequests?$filter=ExpirationTime gt datetime"2015-01-09T08:26:49.721Z" and ExpirationTime lt datetime"2015-02-10T08:26:49.722Z"

  • Denna begäran returnerar Pam Role med namnet ”SQL filåtkomst”:http://localhost:8086/api/pamresources/pamroles?$filter=DisplayName eq "SQL File Access"This request returns the Pam Role with the display name "SQL File Access": http://localhost:8086/api/pamresources/pamroles?$filter=DisplayName eq "SQL File Access"