LDAP 外部 REST API の拡張機能

PAM LDAP 更新タスクは、LDAP の定期的な更新デーモンによって自動的に実行されます。以下の REST API 拡張機能を使用すると、PAM および対応する LDAP 情報を同期するプロセスをより明示的に制御できます。
3-2-5
PAM
LDAP 更新タスクは、LDAP の定期的な更新デーモンによって自動的に実行されます。以下の REST API 拡張機能を使用すると、
PAM
および対応する LDAP 情報を同期するプロセスをより明示的に制御できます。
PAM
UI の[API ドキュメント]セクションには、REST API テスト機能があり、このコンテンツの簡略版が含まれています。
外部 API の有効化および API ドキュメントへのアクセスの詳細については、「外部 API の使用(プログラマ)」を参照してください。
すべてのドメインの LDAP インポート/更新処理は、プライマリ サイトの最初のメンバに対して実行されます。一度に実行できるのは、1 つのインポート/更新プロセスのみです。API コールの競合や失敗を回避するには、以下のベスト プラクティス手順に従ってください。
  1. クラスタ環境では、LDAP REST API を使用します。
    • クラスタがオンであることを確認します。そうでない場合は、HTTP エラー 503 (サービス使用不可)が返されます。
    • API は、プライマリ サイトに対してのみ起動できます。
    • セカンダリ サイトは、JSON レスポンスで次のメッセージを返します: 「PAM-CM-1786: この API 操作はセカンダリ サイトからは利用できません。」
  2. 以下のいずれかの方法を使用して、設定されたすべての LDAP ドメインについて定期的な更新プロセスを無効にします。
    • UI での変更:
      [設定]-[サードパーティ]-[LDAP]-[LDAP ドメイン]-[ドメインの更新]-[定期的な更新の無効化]
      に移動します。
    • REST API の呼び出し: PUT /cspm/ext/rest/ldap/refresh
  3. 他の LDAP 更新ジョブが実行されていないことを確認します。このルールは、自動および API トリガの更新の両方に適用されます。次のいずれかを実行できます。
  4. REST API を呼び出して、LDAP でインポートされたグループの必要な更新を実行します。次のいずれかを使用できます。
  5. REST API を使用して制御しない LDAP ドメインについて、定期的な更新プロセスを有効にします。
    • 無効にすると、更新プロセスはシステムによって自動的に有効になりません。
    • 定期的な LDAP ドメイン更新は、設定された LDAP ドメインごとに個別に制御されます。
注:
この REST API によって実行される検索では、大文字と小文字は区別されません。
2
GET /cspm/ext/rest/ldap/refresh
LDAP ジョブが実行されているかどうかをテストします。
URL:
https://<PAM>/cspm/ext/rest/ldap/refresh
パラメータ:
- なし -
レスポンス:
JSON、ジョブが実行されています:
{
"data": null,
"success": true,
"total": 1,
"message": null
}
JSON、ジョブが実行されていません:
{
"data": null,
"success": true,
"total": 0,
"message": "PAM-CM-1784: LDAP Refresh is not in progress."
}
POST /cspm/ext/rest/ldap/userGroup
新しい PAM LDAP ユーザ グループを作成し、そのユーザをインポートします。
URL:
https://<PAM>/cspm/ext/rest/ldap/userGroup
パラメータ:
パラメータ
必須
説明
groupDn
はい
PAM にインポートする LDAP グループまたは組織単位のドメイン名または共通名。
domainDn
はい
このグループが属するドメインの基本ドメイン名。
authenticationType
はい
ldap / ldap+rsa / ldap+radius / pki / radius / rsa / saml / tacacs+
グループ内のユーザによって使用される認証方法。この方法は PAM アプライアンス上で設定する必要があります。
Response
JSON:
{
"data": null,
"success": true,
"total": 1,
"message": null
}
success_value
:
LDAP 作成プロセスが正常に完了した場合は「true」です。
それ以外の場合は「false」です(たとえば、中断された場合、エラーや警告が出た場合など)。
注:
各データ レスポンス セットの警告およびエラーを調べて、全体的な操作結果を判断する必要があります。
total
:
処理されたグループの数が含まれます(成否にかかわらず)。
message
:
失敗の原因を示すエラー テキストが含まれている可能性があります。
POST /cspm/ext/rest/ldap/deviceGroup
新しい PAM LDAP デバイス グループを作成し、そのデバイスをインポートします。
URL
https://<PAM>/cspm/ext/rest/ldap/deviceGroup
この API は
/cspm/ext/rest/ldap/userGroup
と同じ構造ですが、LDAP でインポートされたデバイスに適用されます。
パラメータ
パラメータ
必須
説明
groupDn
はい
PAM にインポートする LDAP グループまたは組織単位のドメイン名または共通名。
domainDn
はい
このグループが属するドメインの基本ドメイン名。
Response
JSON:
{
"data": null,
"success": true,
"total": 1,
"message": null
}
success_value
:
LDAP リフレッシュ プロセスが正常に完了した場合は、「true」になります。
それ以外の場合は「false」です(たとえば、中断された場合、エラーや警告が出た場合など)。
注:
各データ レスポンス セットの警告およびエラーを調べて、全体的な操作結果を判断する必要があります。
total
:
処理されたグループの数が含まれます(成否にかかわらず)。
message
:
失敗の原因を示すエラー テキストが含まれている可能性があります。
PUT /cspm/ext/rest/ldap/refresh
LDAP の定期的なリフレッシュ プロセスを有効または無効にします。
この API の機能は、UI の
[設定]-[LDAP]-[LDAP ドメイン]-[ドメインの更新]-[定期的な更新の無効化]
セクションでの設定の繰り替えと同じです。
URL:
https://<PAM>/cspm/ext/rest/ldap/refresh?baseDN=dnValue&disableRefresh=drValue
パラメータ:
[必須]
domainName
dnValue
では、リフレッシュを制御するスイッチを設定する対象ドメインの LDAP DN を指定します。
Privileged Access Manager
で設定されている各 LDAP ドメインのリフレッシュは個別に制御されます。
[必須]
disableRefresh
drValue
は、定期的なリフレッシュ プロセスを無効にする場合は「true」、有効にする場合は「false」になります。
レスポンス:
JSON、成功:
{
"data": null,
"success": true,
"total": 1,
"message": null
}
JSON、失敗:
{
"data": null,
"success": true,
"total": 0,
"message": "PAM-CM-1785: No change. LDAP Disable Refresh switch is already in the requested state."
}
PUT /cspm/ext/rest/ldap/userGroup
LDAP でインポートされた指定のユーザ グループをリフレッシュします。
URL:
https://<PAM>/cspm/ext/rest/ldap/userGroup?groupNamesList=gnList
https://<PAM>/cspm/ext/rest/ldap/userGroup?groupNamesLike=gnLike
https://<PAM>/cspm/ext/rest/ldap/userGroup?groupNamesList=gnList&dryRun=drValue
https://<PAM>/cspm/ext/rest/ldap/userGroup?domainName=dnValue&groupNamesList=gnList
https://<PAM>/cspm/ext/rest/ldap/userGroup?domainName=dnValue&groupNamesLike=gnLike
パラメータ:
パラメータ
必須
説明
domainName
いいえ
dnValue
では、リフレッシュするユーザ グループを選択する対象ドメインの LDAP DN を指定します。指定されていない場合、使用可能なすべての LDAP ドメインが、指定されたリフレッシュ対象グループに対してチェックされます。
groupNamesList
はい*
リフレッシュするユーザ グループの DN のセミコロン区切りのリスト。例:
OU=ITC_OU2,DC=qapam,DC=local;OU=PamAuto2,OU=LDAPOU,OU=OU1,DC=qapam,DC=local
groupNamesLike
はい*
処理するユーザ グループの DN を選択する際に使用する SQL のような式です。例:
%OU=Info%OU=Contract%
dryRun
いいえ
true/false
「true」の場合、API は他のパラメータによって指定されたユーザ グループ名を準備および検証しますが、処理のためにアプライアンスにサブミットすることはありません。このパラメータは、他のパラメータとの組み合わせで使用できます。
*
groupNamesList
または
groupNamesLike
パラメータは必須です。
Response
JSON:
{
"data": [
{
"numberOfNewMembers": 0,
"numberOfUpdatedMembers": 0,
"groupDN": "group 1 name",
"numberOfProcessedMembers": 2,
"warnings": [],
"connectionFailure": false,
"numberOfFailedAddMembers": 0,
"numberOfFailedUpdateMembers": 0,
"numberOfDeletedMembers": 0,
"numberOfFailedDeleteMembers": 0,
"errors": []
},
...
],
"success":
success_value
,
"
total
": number-or-groups-processed,
"
message
": null
}
data:
処理された各グループに対して 1 セットの配列結果セットが含まれます。
各セットは、グループ更新の結果を説明するプロパティで構成されています。
connectionFailure
が「true」の場合、データ セットには通常必要なすべてのプロパティが含まれない場合があります。
success_value
:
LDAP リフレッシュ プロセスが正常に完了した場合は、「true」になります。
それ以外の場合は「false」です(たとえば、中断された場合、エラーや警告が出た場合など)。
注:
各データ レスポンス セットの警告およびエラーを調べて、全体的な操作結果を判断する必要があります。
total
:
処理されたグループの数が含まれます(成否にかかわらず)。
message
:
失敗の原因を示すエラー テキストが含まれている可能性があります。
PUT /cspm/ext/rest/ldap/deviceGroup
LDAP でインポートされた指定のデバイス グループをリフレッシュします。
URL
https://<PAM>/cspm/ext/rest/ldap/deviceGroup?groupNamesList=gnList
https://<PAM>/cspm/ext/rest/ldap/deviceGroup?groupNamesLike=gnLike
https://<PAM>/cspm/ext/rest/ldap/deviceGroup?groupNamesList=gnList&dryRun=drValue
https://<PAM>/cspm/ext/rest/ldap/deviceGroup?domainName=dnValue&groupNamesList=gnList
https://<PAM>/cspm/ext/rest/ldap/deviceGroup?domainName=dnValue&groupNamesLike=gnLike
この API は
/cspm/ext/rest/ldap/userGroup
と同じ構造ですが、LDAP でインポートされたデバイスに適用されます。
パラメータ
パラメータ
必須
説明
domainName
いいえ
dnValue
では、リフレッシュするデバイス グループを選択する対象ドメインの LDAP DN を指定します。指定されていない場合、使用可能なすべての LDAP ドメインが、指定されたリフレッシュ対象グループに対してチェックされます。
groupNamesList
はい*
リフレッシュするデバイス グループの DN のセミコロン区切りのリスト。例:
OU=ITC_OU2,DC=qapam,DC=local;OU=PamAuto2,OU=LDAPOU,OU=OU1,DC=qapam,DC=local
groupNamesLike
はい*
処理するデバイス グループの DN を選択する際に使用する SQL のような式です。例:
%OU=Info%OU=Contract%
dryRun
いいえ
true/false
「true」の場合、API は他のパラメータによって指定されたデバイス グループ名を準備および検証しますが、処理のためにアプライアンスにサブミットすることはありません。このパラメータは、他のパラメータとの組み合わせで使用できます。
*
groupNamesList
または
groupNamesLike
パラメータは必須です。
Response
JSON:
{
"data": [
{
"numberOfNewMembers": 0,
"numberOfUpdatedMembers": 0,
"groupDN": "group 1 name",
"numberOfProcessedMembers": 2,
"warnings": [],
"connectionFailure": false,
"numberOfFailedAddMembers": 0,
"numberOfFailedUpdateMembers": 0,
"numberOfDeletedMembers": 0,
"numberOfFailedDeleteMembers": 0,
"errors": []
},
...
],
"success":
success_value
,
"
total
": number-or-groups-processed,
"
message
": null
}
data:
処理された各グループに対して 1 セットの配列結果セットが含まれます。
各セットは、グループ更新の結果を説明するプロパティで構成されています。
connectionFailure
が「true」の場合、データ セットには通常必要なすべてのプロパティが含まれない場合があります。
success_value
:
LDAP リフレッシュ プロセスが正常に完了した場合は、「true」になります。
それ以外の場合は「false」です(たとえば、中断された場合、エラーや警告が出た場合など)。
注:
各データ レスポンス セットの警告およびエラーを調べて、全体的な操作結果を判断する必要があります。
total
:
処理されたグループの数が含まれます(成否にかかわらず)。
message
:
失敗の原因を示すエラー テキストが含まれている可能性があります。
DELETE /cspm/ext/rest/ldap/abort
現在の LDAP グループのリフレッシュを中止します。
この API を呼び出すと、現在の LDAP リフレッシュ プロセス(定期的または API によってトリガされたプロセス)が中止されます。
URL:
https://<PAM>/cspm/ext/rest/ldap/abort
パラメータ:
- なし -
レスポンス:
JSON、ジョブがキャンセルされました:
{
"data": null,
"success": true,
"total": 0,
"message": null
}
JSON、ジョブはキャンセルされていません:
{
"data": null,
"success": false,
"total": 0,
"message": "PAM-CM-1784: LDAP Refresh is not in progress."
}