Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Cisco Identity Services Engine API リファレンス ガイド、リリース 1.22013 年 7 月 19 日
Text Part Number: OL-26134-01-J
【注意】シスコ製品をご使用になる前に、安全上の注意
(www.cisco.com/jp/go/safety_warning/)をご確認ください。
本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報
につきましては、日本語版掲載時点で、英語版にアップデートがあ
り、リンク先のページが移動 / 変更されている場合がありますこと
をご了承ください。
あくまでも参考和訳となりますので、正式な内容については米国サ
イトのドキュメントを参照ください。
また、契約等の記述については、弊社販売パートナー、または、弊
社担当者にご確認ください。
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨事項
は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用は、すべ
てユーザ側の責任になります。
対象製品のソフトウェア ライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's publicdomain version of the UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコおよび
これら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証をはじめ
とする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、間接
的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものとします。
CCDE, CCVP, Cisco Eos, Cisco StadiumVision, the Cisco logo, DCE, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, andLearn is a service mark; and Access Registrar, Aironet, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, Cisco, theCisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration WithoutLimitation, Enterprise/Solver, EtherChannel, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient,IOS, iPhone, IP/TV, iQ Expertise, the iQ logo, iQ Net Readiness Scorecard, iQuick Study, IronPort, the IronPort logo, LightStream, Linksys, MediaTone, MeetingPlace,MGX, Networkers, Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise,The Fastest Way to Increase Your Internet Quotient, TransPath, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in theUnited States and certain other countries.
All other trademarks mentioned in this document or Website are the property of their respective owners.The use of the word partner does not imply a partnership relationshipbetween Cisco and any other company.(0801R)
このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使用
されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to thisURL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnershiprelationship between Cisco and any other company. (1110R)
Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2© 2013 Cisco Systems, Inc. All rights reserved.
OL-26134-01-J
C O N T E N T S
はじめに vii
目的 vii
対象読者 vii
マニュアルの構成 vii
ドキュメントの表記法 viii
関連資料 viii
このリリースのマニュアル ix
プラットフォーム別のマニュアル ix
マニュアルの入手方法およびテクニカル サポート x
P A R T 1 Monitoring REST API
C H A P T E R 1 Monitoring REST API の概要 1-1
モニタリング ノードの確認 1-2
サポートされる API コール 1-2
HTTP PUT API コール 1-8
C H A P T E R 2 セッション管理用の API コールの使用方法 2-1
セッション カウンタ API コール 2-1
ActiveCount API コールの使用方法 2-1
ActiveCount API コールのスキーマ ファイル 2-1
ActiveCount API コールの呼び出し 2-2
ActiveCount API コール データ 2-2
PostureCount API コールの使用方法 2-2
PostureCount API コールのスキーマ ファイル 2-3
PostureCount API コールの呼び出し 2-3
PostureCount API コール データ 2-3
ProfilerCount API コールの使用方法 2-4
ProfilerCount API コールのスキーマ ファイル 2-4
ProfilerCount API コールの呼び出し 2-4
ProfilerCount API コール データ 2-5
セッション リスト API コール 2-5
ActiveList API コールの使用方法 2-5
ActiveList API コールのスキーマ ファイル 2-5
iiiCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
Contents
ActiveList API コールの呼び出し 2-6
ActiveList API コール データ 2-6
AuthList API コールの使用方法 2-7
AuthList API コールのスキーマ ファイル 2-7
AuthList API コールの呼び出し 2-8
AuthList API コール データ 2-8
Session Attribute API コール 2-10
MACAddress API コールの使用方法 2-11
MACAddress API コールのスキーマ ファイル 2-11
MACAddress API コールの呼び出し 2-13
MACAddress API コール データ 2-13
UserName API コールの使用方法 2-15
UserName API コールのスキーマ ファイル 2-15
UserName API コールの呼び出し 2-17
UserName API コール データ 2-17
IPAddress API コールの使用方法 2-19
IPAddress API コールのスキーマ ファイル 2-19
IPAddress API コールの呼び出し 2-21
IPAddress API コール データ 2-21
古いセッションの削除 2-23
C H A P T E R 3 トラブルシューティング用の API コールの使用方法 3-1
Version API コールの使用方法 3-1
Version API コールのスキーマ ファイル 3-1
Version API コールの呼び出し 3-2
Version API コール データ 3-2
FailureReasons API コールの使用方法 3-3
FailureReasons API コールのスキーマ ファイル 3-3
FailureReasons API コールの呼び出し 3-3
FailureReasons API コール データ 3-4
AuthStatus API コールの使用方法 3-6
AuthStatus API コールのスキーマ ファイル 3-7
AuthStatus API コールの呼び出し 3-9
AuthStatus API コール データ 3-9
AcctStatus API コール データの使用方法 3-11
AcctStatus API コールのスキーマ ファイル 3-11
AcctStatus API コールの呼び出し 3-12
AcctStatus API コール データ 3-12
ivCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
Contents
C H A P T E R 4 認可変更 REST API の使用方法 4-1
Reauth API コールの使用方法 4-1
Reauth API コールのスキーマ ファイル 4-1
Reauth API コールの呼び出し 4-1
Reauth API コール データ 4-2
Disconnect API コールの使用方法 4-2
Disconnect API コールのスキーマ ファイル 4-2
Disconnect API コールの呼び出し 4-3
Disconnect API コール データ 4-3
P A R T 2 外部 RESTful サービス API
C H A P T E R 5 外部 RESTful サービス API の概要 5-1
データの検証 5-1
外部 RESTful サービスの名前空間 5-2
外部 RESTful API サービスのイネーブル化 5-2
外部 RESTful サービス管理者 5-3
REST クライアント 5-3
リソースのバージョンと MediaType 5-3
外部 RESTful サービス要求 5-4
外部 RESTful サービス応答ヘッダー 5-4
共通の外部 RESTful サービス HTTP 応答コード 5-4
外部サービス RESTful API でのバージョン管理 5-5
外部サービス RESTful API でのページング 5-6
外部サービス RESTful API でのソート 5-7
外部サービス RESTful API でのフィルタリング 5-7
検索結果内のリンクの例 5-8
外部 RESTful サービス データ モデル 5-8
基本リソース 5-9
内部ユーザ 5-9
エンドポイント 5-10
エンドポイント ID グループ 5-10
ID グループ 5-11
SGT 5-11
VersionInfo 5-12
SearchResult 5-12
外部 RESTful サービス応答 5-12
応答メッセージ 5-13
エラー応答 5-13
vCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
Contents
更新されるフィールド 5-14
外部 RESTful サービス API のセキュリティ機能 5-14
外部 RESTful サービス認証 5-15
外部 RESTful サービス許可 5-15
インジェクション攻撃 5-15
総当たり攻撃 5-15
接続制限 5-15
ISE 導入での外部 RESTful サービス 5-16
外部 RESTful サービス SDK 5-16
外部 RESTful サービス スキーマ ファイルのダウンロード 5-17
外部 RESTful サービス システム フロー 5-17
外部 RESTful サービスの成功フロー シーケンス 5-17
外部 RESTful サービスの失敗フロー シーケンス 5-18
C H A P T E R 6 外部 RESTful サービス コール 6-1
外部 RESTful サービス API コールの呼び出し 6-1
GetVersion API コール 6-1
GetVersion 要求のサンプル 6-2
GetVersion 応答のサンプル 6-2
内部ユーザの外部 RESTful サービス API コール 6-2
内部ユーザ スキーマ 6-3
Get All Users API コール 6-3
すべてのユーザの取得要求のサンプル 6-4
すべてのユーザの取得応答のサンプル 6-4
Get User API コール 6-4
ユーザの取得要求のサンプル 6-5
ユーザの取得応答のサンプル 6-5
Create User API コール 6-5
ユーザの作成要求のサンプル 6-6
ユーザの作成応答のサンプル 6-6
Update User API コール 6-7
ユーザの更新要求のサンプル 6-7
ユーザの更新応答のサンプル 6-8
Delete User API コール 6-8
ユーザの削除要求のサンプル 6-8
ユーザの削除応答のサンプル 6-8
エンドポイントの外部 RESTful サービス API コール 6-9
エンドポイントのスキーマ 6-9
Get All Endpoints API コール 6-9
viCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
Contents
すべてのエンドポイントの取得要求のサンプル 6-10
すべてのエンドポイントの取得応答のサンプル 6-10
Get Endpoint API コール 6-10
エンドポイントの取得要求のサンプル 6-11
エンドポイントの取得応答のサンプル 6-11
Create Endpoint API コール 6-11
エンドポイントの作成要求のサンプル 6-12
エンドポイントの作成応答のサンプル 6-12
Update Endpoint API コール 6-12
エンドポイントの更新要求のサンプル 6-13
エンドポイントの更新応答のサンプル 6-13
Delete Endpoint API コール 6-14
エンドポイントの削除要求のサンプル 6-14
エンドポイントの削除応答のサンプル 6-14
Register Endpoint API コール 6-14
エンドポイントの登録要求のサンプル 6-15
エンドポイントの登録応答のサンプル 6-15
Deregister Endpoint API コール 6-15
エンドポイントの登録解除要求のサンプル 6-16
エンドポイントの登録解除応答のサンプル 6-16
エンドポイント ID グループの外部 RESTful サービス API コール 6-16
エンドポイント ID グループのスキーマ 6-17
Get All Endpoint Identity Groups API コール 6-17
すべてのエンドポイント ID グループの取得要求のサンプル 6-17
すべてのエンドポイント ID グループの取得応答のサンプル 6-18
Get Endpoint Identity Group API コール 6-18
エンドポイント ID グループの取得要求のサンプル 6-18
エンドポイント ID グループの取得応答のサンプル 6-18
Create Endpoint Identity Group API コール 6-19
エンドポイント ID グループの作成要求のサンプル 6-19
エンドポイント ID グループの作成応答のサンプル 6-19
Update Endpoint Identity Group API コール 6-20
エンドポイント ID グループの更新要求のサンプル 6-20
エンドポイント ID グループの更新応答のサンプル 6-20
Delete Endpoint Identity Group API コール 6-21
エンドポイント ID グループの削除要求のサンプル 6-21
エンドポイント ID グループの削除応答のサンプル 6-21
Profiler プロファイルの外部 RESTful サービス API コール 6-21
Profiler プロファイルのスキーマ 6-22
Get All Profiles API コール 6-22
viiCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
Contents
すべてのプロファイルの取得要求のサンプル 6-22
すべてのプロファイルの取得応答のサンプル 6-23
Get Profile API コール 6-23
プロファイルの取得要求のサンプル 6-23
プロファイルの取得応答のサンプル 6-24
Create Profile API コール 6-24
プロファイルの作成要求のサンプル 6-24
プロファイルの作成応答のサンプル 6-25
ID グループの外部 RESTful サービス API コール 6-25
ID グループのスキーマ 6-25
Get All Identity Groups API コール 6-25
すべての ID グループの取得要求のサンプル 6-26
すべての ID グループの取得応答のサンプル 6-26
Get Identity Group API コール 6-26
ID グループの取得要求のサンプル 6-27
ID グループの取得応答のサンプル 6-27
セキュリティ グループ タグの外部 RESTful サービス API コール 6-27
Get All SGTs API コール 6-28
すべての SGT の取得要求のサンプル 6-28
すべての SGT の取得応答のサンプル 6-28
Get SGT API コール 6-28
SGT の取得要求のサンプル 6-29
SGT の取得応答のサンプル 6-29
REST API クライアントの使用方法 6-29
GET を使用した外部 RESTful サービス API コールの実行 6-30
URI 6-30
Accept ヘッダー 6-31
Authorization ヘッダー 6-31
POSTMAN を使用した GET 要求の実行 6-31
POST を使用した外部 RESTful サービス API コールの実行 6-32
URI 6-32
Content-Type ヘッダー 6-33
Authorization ヘッダー 6-33
POSTMAN を使用した POST 要求の実行 6-33
PUT を使用した外部 RESTful サービス API コールの実行 6-34
URI 6-35
Content-Type ヘッダー 6-35
Authorization ヘッダー 6-35
POSTMAN を使用した PUT 要求の実行 6-35
viiiCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
Contents
DELETE を使用した外部 RESTful サービス API コールの実行 6-36
URI 6-37
Accept ヘッダー 6-37
Authorization ヘッダー 6-37
POSTMAN を使用した DELETE 要求の実行 6-37
外部 RESTful サービス Java デモ アプリケーション 6-38
外部 RESTful サービス Java デモ アプリケーションのダウンロード 6-39
A P P E N D I X A 障害理由レポートの使用方法 A-1
障害理由の表示 A-1
ixCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
Contents
xCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
はじめに
• 「目的」(P.vii)
• 「対象読者」(P.vii)
• 「マニュアルの構成」(P.vii)
• 「ドキュメントの表記法」(P.viii)
• 「関連資料」(P.viii)
• 「マニュアルの入手方法およびテクニカル サポート」(P.x)
目的このガイドは、Cisco ISE 導入において概説された API を使用するための基本的な注意事項を、開発
者、システム管理者やネットワーク管理者、またはシステム インテグレータに提供します。
外部 RESTful サービス API および関連 API コールは、Cisco ISE リソースに対して CRUD(作成、読
み取り、更新、削除)操作を実行するために使用できます。外部 RESTful サービス API は、HTTP プロトコルおよび REST 方法論に基づいています。
(注) このガイドは、『Cisco Identity Services Engine User Guide, Release 1.2』に代わるものではありませ
ん。Cisco ISE ネットワークとそのノードおよびペルソナ、動作または用途の概念、Cisco ISE ユーザ インターフェイスの使用法の詳細については、『Cisco Identity Services Engine User Guide, Release 1.2 』を参照してください。
対象読者このガイドは、Cisco ISE アプライアンスを管理する経験豊富なネットワーク管理者、API を利用する
システム インテグレータ、Cisco ISE 導入の管理やトラブルシューティングの役割を持つサードパー
ティ製パートナーを対象としています。このガイドを使用する前提条件として、トラブルシューティン
グと診断方法についてと、API コールの作成および解釈方法について、基礎を理解しておく必要があり
ます。
マニュアルの構成• Part 1:REST API のモニタリング
viiCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
– 第 1 章「Monitoring REST API の概要」
– 第 2 章「セッション管理用の API コールの使用方法」
– 第 3 章「トラブルシューティング用の API コールの使用方法」
– 第 4 章「認可変更 REST API の使用方法」
• Part 2:外部 RESTful API サービス API
– 第 5 章「外部 RESTful サービス API の概要」
– 第 6 章「外部 RESTful サービス コール」
• Reference
– 付録 A「障害理由レポートの使用方法」
ドキュメントの表記法
(注) 「注釈」です。役立つ情報や、このマニュアル以外の参照資料などを紹介しています。
関連資料• 「このリリースのマニュアル」(P.ix)
• 「プラットフォーム別のマニュアル」(P.ix)
(注) 印刷物または電子マニュアルの更新は、
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html を参照してください。
表記法 項目
bold 手順テキストのタブおよびボタン名のほか、コマ
ンド、キーワード、およびユーザが入力するテキ
ストは太字で記載されます。
italic ドキュメント名、新規用語または強調する用語、
値を指定するための引数は、italic フォントで示
しています。
courier システムが表示する端末セッションおよび情報
は、courier(モノスペース、固定幅)フォントで
示しています。
> スペースで囲まれた右山カッコ(>)は、メ
ニュー パスでオプションを区切るために使用され
ます。
< > ASCII 出力など、イタリック体が許可されない例
では、値を指定する必要がある引数は山カッコで
表示します。
viiiCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
このリリースのマニュアル
プラットフォーム別のマニュアル
• Cisco ISEhttp://www.cisco.com/en/US/products/ps11640/index.html
• Cisco Secure Access Control Server(ACS)http://www.cisco.com/en/US/products/ps9911/tsd_products_support_series_home.html
• Cisco NAC アプライアンスhttp://www.cisco.com/en/US/products/ps6128/tsd_products_support_series_home.html
• Cisco NAC プロファイラhttp://www.cisco.com/en/US/products/ps8464/tsd_products_support_series_home.html
• Cisco NAC ゲスト サーバhttp://www.cisco.com/en/US/products/ps10160/tsd_products_support_series_home.html
表 1 Cisco Identity Services Engine の製品マニュアル
マニュアル名 参照先
『Release Notes for the Cisco Identity Services Engine, Release 1.2』
http://www.cisco.com/en/US/products/ps11640/prod_release_notes_list.html
『Cisco Identity Services Engine Network Component Compatibility, Release 1.2』
http://www.cisco.com/en/US/products/ps11640/products_device_support_tables_list.html
『Cisco Identity Services Engine User Guide, Release 1.2』
http://www.cisco.com/en/US/products/ps11640/products_user_guide_list.html
『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』
http://www.cisco.com/en/US/products/ps11640/prod_installation_guides_list.html
『Cisco Identity Services Engine, Release 1.2 Migration Tool Guide』
http://www.cisco.com/en/US/products/ps11640/prod_installation_guides_list.html
『Cisco Identity Services Engine Sponsor Portal User Guide, Release 1.2』
http://www.cisco.com/en/US/products/ps11640/products_user_guide_list.html
『Cisco Identity Services Engine CLI Reference Guide, Release 1.2』
http://www.cisco.com/en/US/products/ps11640/prod_command_reference_list.html
『Cisco Identity Services Engine Troubleshooting Guide, Release 1.2』
http://www.cisco.com/en/US/products/ps11640/prod_troubleshooting_guides_list.html
『Regulatory Compliance and Safety Information for Cisco Identity Services Engine, Cisco 1121 Secure Access Control System, Cisco NAC Appliance, Cisco NAC Guest Server, and Cisco NAC Profiler』
http://www.cisco.com/en/US/products/ps11640/prod_installation_guides_list.html
『Cisco Identity Services Engine In-Box Documentation and China RoHS Pointer Card』
http://www.cisco.com/en/US/products/ps11640/products_documentation_roadmaps_list.html
ixCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
マニュアルの入手方法およびテクニカル サポートマニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新
される『What's New in Cisco Product Documentation』を参照してください。シスコの新規および改訂
版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『What's New in Cisco Product Documentation』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできま
す。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。
xCisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
P A R T 1
Monitoring REST API
Cisco Identity ServicesOL-26134-01-J
C H A P T E R 1
Monitoring REST API の概要Monitoring REST API では、ネットワークでモニタリング ノードを使用して、セッションおよびノー
ド固有の情報を収集することができます。セッションは、目的のノードにアクセスしてから情報の収集
に必要な操作を完了するまでの期間として定義されます。
次の Monitoring REST API カテゴリが Cisco ISE Release 1.2 でサポートされます :
• セッション管理
• トラブルシューティング
• 認可変更(CoA)
(注) Monitoring ペルソナによって監視されているエンドポイントに関する情報を収集するために、サポー
ト対象のカテゴリだけを使用できます。Monitoring は、ノード タイプが Cisco ISE Release 1.2 の導入
で実行できる、サポート対象の 3 つのペルソナの 1 つです。このガイドの残りの部分では、Cisco ISE ノードの Monitoring ペルソナを説明するため、「モニタリング ノード」を使用します。
これらのカテゴリを Cisco ISE アプライアンスの Policy service ペルソナに関する情報の収集に使用し
ようとすると、エラーが発生します。Cisco ISE ノードおよびペルソナに関する詳細については、
『Cisco Identity Services Engine User Guide, Release 1.2』を参照してください。
Monitoring REST API コールを使用すると、ネットワークで、個々のエンド ポイントに格納されてい
る重要なリアルタイムのセッション ベースの情報を検索、監視、収集することができます。モニタリ
ング ノードを通じてこの情報にアクセスできます。
収集するリアルタイムのセッション ベースの情報は、Cisco ISE 操作を理解するのに役立ち、状態や問
題の診断を支援することができます。また、モニタリング動作に影響を及ぼす可能性のあるエラー条
件、またはアクティビティや動作をトラブルシュートするために使用できます。図 1-1 に示すように、
Monitoring REST API コールは、モニタリング ノードにアクセスして Cisco ISE 導入のエンド ポイン
トに格納されている重要なセッション ベースの情報を取得する目的で使用されます。
1-1 Engine API リファレンス ガイド、リリース 1.2
第 1 章 Monitoring REST API の概要
モニタリング ノードの確認
図 1-1 分散展開での Monitoring REST API コール
モニタリング ノードの確認
はじめる前に
API コールをモニタリング ノードで正常に呼び出す前に、監視するノードが有効なノードであること
を確認しておく必要があります。
(注) パブリック Monitoring REST API を使用できるようにするには、最初に有効なクレデンシャルを使用
して Cisco ISE で認証を受ける必要があります。
ステップ 1 有効なログイン クレデンシャル(ユーザ名とパスワード)を [Cisco ISE ログイン(Cisco ISE Login)] ウィンドウに入力し、[ログイン(Login)] をクリックします。
Cisco ISE ダッシュボードとユーザ インターフェイスが表示されます。
ステップ 2 [許可(Authorization)] > [システム(System)] > [展開(Deployment)] の順に選択します。
展開されたすべての設定済みノードがリストされた [ 展開ノード(Deployment Nodes)] ページが表示
されます。
ステップ 3 [展開ノード(Deployment Nodes)] ページの [ロール(Roles)] カラムで、モニタするターゲット ノードのロールがモニタリング ノードとしてリストされていることを確認します。
サポートされる API コール次の表で、さまざまな種類の API コールを説明し、API コールの形式の例を示します。
• 表 1-1(P.1-3):セッション管理用の API コールを定義します。
• 表 1-2(P.1-6):トラブルシューティング用の API コールを定義します。
Adminstration
Policy service
Monitoring
Web
Java
PHP
Cisco ISE
RESTHTTPS
API
3101
31
1-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 1 章 Monitoring REST API の概要
サポートされる API コール
• 表 1-3(P.1-7):CoA API コールを定義します。
Cisco ISE でサポートされる Monitoring REST API を使用して認証を受けるため、汎用プログラマチッ
ク インターフェイスを使用する計画の場合、Cisco ISE と使用するツールを接続する REST ベースのク
ライアントを最初に作成する必要があります。次に、この REST クライアントを使用して Cisco ISE Monitoring REST API で認証を受け、API 要求を変換してモニタリング ノードに送信します。そして、
API 応答を再変換し、指定されたツールに引き渡します。
表 1-1 Cisco ISE セッション管理 API コール
API コール カテゴリ 説明と例
セッション カウンタ
ActiveCount アクティブなセッションの数をリストします。
https://<ISEhost>/ise/mnt/Session/ActiveCount
PostureCount ポスチャされたエンドポイントの数をリストします。
https://<ISEhost>/ise/mnt/Session/PostureCount
(注) ポスチャとは、Cisco ISE ネットワークに接続しているすべて
のエンドポイントの状態(またはポスチャ)の確認を支援す
るサービスです。Cisco ISE は、デバイスのポスチャ コンプ
ライアンスを確認するために NAC Agent を使用します。
ProfilerCount アクティブなプロファイラ サービス セッションの数をリストします。
https://<ISEhost>/ise/mnt/Session/ProfilerCount
(注) プロファイラとは、Cisco ISE ネットワークにあるすべての接
続エンドポイントの機能の識別、検索、確認を支援するサー
ビスです。
1-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 1 章 Monitoring REST API の概要
サポートされる API コール
セッション リスト
(注) セッション リストには、MAC アドレス、ネットワーク アクセス デバイス(NAD)の IP アドレス、ユーザ名、セッションに関連付けられているセッション ID 情報が含まれます。
ActiveList すべてのアクティブなセッションをリストします。
https://<ISEhost>/ise/mnt/Session/ActiveList
(注) Cisco ISE のこのリリースでは、アクティブな認証済みエンド
ポイント セッションの表示可能な最大数は、250,000 に制限
されています。
AuthList 現在アクティブなすべての認証済みセッションをリストします。
https://<ISEhost>/ise/mnt/Session/AuthList/<parameteroptions>
異なる値を返す次のパラメータ オプションを指定できます。
• null/null:すべてのアクティブな認証済みセッションをリストし
ます。
• null/endtime:指定された終了時刻の後にアクティブなすべての
認証済みセッションがリストされます。
• starttime/null:指定された開始時刻の前にアクティブなすべての
認証済みセッションがリストされます。
• starttime/endtime:指定された開始時刻と終了時刻の間で認証さ
れたすべてのアクティブなセッションがリストされます。
次の形式で、開始時刻と終了時刻の日付と時刻を入力します。
YYYY-MM-DD hh:mm:ss.s
値は次のとおりです。
• YYYY:4 桁の年
• MM:2 桁の月(01 = 1 月など)
• DD:2 桁の日(01 ~ 31)
• hh:2 桁の時刻(00 ~ 23)(a.m.と p.m. は 使用できません)
• mm:2 桁の分(00 ~ 59)
• ss:2 桁の秒(00 ~ 59)
• s:秒の小数を表す 1 桁以上の値
(注) すべての Cisco ISE ノードは、タイム ゾーンを使用して設定
されます。推奨されるタイム ゾーンは UTC です。
4 つのパラメータ オプションをすべて示すサンプルについては、
「AuthList API コール データ」(P.2-8)を参照してください。
表 1-1 Cisco ISE セッション管理 API コール (続き)
API コール カテゴリ 説明と例
1-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 1 章 Monitoring REST API の概要
サポートされる API コール
セッション管理用の Cisco ISE API コールの詳細については、第 2 章「セッション管理用の API コー
ルの使用方法」を参照してください。
セッション属性
(注) これは、指定された検索属性を含む最新のセッションのタイムスタンプに基づいた検索です。
MACAddress 指定した MAC アドレスを含む最新のセッションについてデータベー
スを検索します。
https://<ISEhost>/ise/mnt/Session/MACAddress/<macaddress>
(注) XX:XX:XX:XX:XX:XX は MAC アドレス形式です。大文字
と小文字は区別されません(例:0a: 0B: 0c: 0D: 0e: 0F)。
(注) MAC アドレスは、監視対象の正しいセッションを検索する唯
一の一意のキーとして機能します。MAC アドレスの検索の
ベースとすることが可能なアクティブなすべてのセッション
と MAC アドレスをリストするには ActiveList API コールを
使用します。
UserName 指定したユーザ名を含む最新のセッションについてデータベースを検
索します。
https://<ISEhost>/ise/mnt/Session/UserName/<username>
(注) ユーザ名は、ネットワーク ユーザ名に使用しているものと同
じ Cisco ISE パスワード ポリシーに準拠している必要があり
ます。Monitoring REST API の唯一の無効な文字はバックス
ラッシュ(\)文字です。詳細については、『Cisco Identity Services Engine User Guide, Release 1.1』の「User Password Policy」を参照してください。
IPAddress 指定した NAS IP アドレスを含む最新のセッションについてデータ
ベースを検索します。
https://<ISEhost>/ise/mnt/Session/IPAddress/<nasipaddress>
(注) xxx.xxx.xxx.xxx は NAS IP アドレス形式(例:10.10.10.10)です。
表 1-1 Cisco ISE セッション管理 API コール (続き)
API コール カテゴリ 説明と例
1-5Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 1 章 Monitoring REST API の概要
サポートされる API コール
表 1-2 Cisco ISE トラブルシューティング API コール - トラブルシューティング
API コール 説明と例
Version ノードのバージョンおよびタイプをリストします。
https://<ISEhost>/ise/mnt/Version
ノードのタイプは、次の値(0 ~ 3)のいずれかです。
0:STAND_ALONE_MNT_NODE
1:ACTIVE_MNT_NODE
2:STAND_BY_MNT_NODE
3:NOT_AN_MNT_NODE
(注) STAND_ALONE_MNT_NODE は、分散展開で機能しないモニ
タリング ノードであることを意味します。
ACTIVE_MNT_NODE は、分散展開におけるプライマリ - セカ
ンダリ関係のプライマリ ノードであることを意味します。
STAND_BY_MNT_NODE は、分散展開におけるプライマリ - セカンダリ ペアのセカンダリ ノードであることを意味します。
NOT_AN_MNT_NODE は、モニタリング ノードではないこと
を意味します。サポート対象の ISE ノードおよびペルソナの詳
細については、『Cisco Identity Services Engine User Guide, Release 1.1』を参照してください。
FailureReasons 障害の理由をリストします。
https://<ISEhost>/ise/mnt/FailureReasons
各障害理由は、次の例に示すように、エラーコード(failureReason id)、簡単な説明(code)、障害理由(cause)、および可能な対処
(resolution)を表示します。
<failureReason id="100009"><code> 100009 WEBAUTH_FAIL<cause> This may or may not be indicating a violation.<resolution> Please review and resolve this issue according to your organization's policy.
(注) FailureReasons API コールは、モニタリング ノードから情報を
収集するために一度だけ呼び出されます。使用しているファイ
ル システムまたはデータベースに、返された障害理由の内容を
保存する必要があります。これらの API コールの返信内容はあ
くまでも参照用に使用することを目的としています。認証中に
問題が発生した場合、認証応答で提供される障害理由コードと、
ユーザのファイル システムまたはデータベースに保存している
た障害理由のリストと比較する必要があります。
Cisco ISE 障害理由の完全なリストについては、付録 A「障害理由レ
ポートの使用方法」を参照してください。
1-6Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 1 章 Monitoring REST API の概要
サポートされる API コール
トラブルシューティング用の Cisco ISE API コールの詳細については、第 2 章「セッション管理用の API コールの使用方法」を参照してください。
AuthStatus すべてのセッションの認証ステータスをリストします。
https://<ISEhost>/ise/mnt/AuthStatus/MACAddress/<macaddress>/<numberofseconds>/<numberofrecordspermacaddress>/All
(注) seconds パラメータ <numberofseconds> は、0 秒から 432000 秒(5 日)の範囲でユーザが設定できます。
セッション アカウンティング ステータスの取得
AcctStatus 特定の期間内のすべてのセッションのアカウンティング ステータスを
示します。
https://<ISEhost>/ise/mnt/Session/AcctStatusTT/MACAddress/<macaddress>/<numberof seconds>
(注) seconds パラメータ <numberofseconds> は、0 秒から 432000 秒(5 日)の範囲でユーザが設定できます。
表 1-2 Cisco ISE トラブルシューティング API コール - トラブルシューティング (続き)
API コール 説明と例
表 1-3 Cisco ISE 認可変更 API コール
API コール 説明と例
Reauth セッション再認証コマンドとタイプを送信します。
https://<ISEhost>/ise/mnt/CoA/Reauth/<serverhostname>/<macaddress>/<reauthtype>/<nasipaddress>/<destinationipaddress>
ここで、<ISEhost> は ISE ホストの IP アドレスを示し、
<serverhostname> は ISE サーバの名前を示し、<nasipaddress> は NAS の識別 IP アドレスを示し、<destinationipaddress> は宛先の IP アドレスを示します。
再認証タイプは次の値(0 ~ 2)のいずれかです。
0:REAUTH_TYPE_DEFAULT
1:REAUTH_TYPE_LAST
2:REAUTH_TYPE_RERUN
(注) NAS IP アドレスが不明な場合は、この時点までに必要な値を入
力できます。API はこれらの値を検索クエリーに使用します。
ただし、この API コールを実行するには、MAC アドレスを知っ
ている必要がありますが、他のパラメータはヌルにしたままに
できます。
この API コールは、CoA をリモートで実行する要求を送信する Monitoring ISE ノードでしか実行できません。Administration ISE ノー
ドは、これらの CoA API コールの実行には関係ないか、必要がありま
せん。
1-7Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 1 章 Monitoring REST API の概要
サポートされる API コール
Cisco ISE 認可変更 API コールに関する詳細については、第 4 章「認可変更 REST API の使用方法」を
参照してください。
HTTP PUT API コール
表 1-2 の AuthStatus API コールと同様に、クライアントがアカウント ステータスを取得できるように
する API コールの HTTP PUT バージョンがあります。Monitoring REST API は、HTTP GET コール
について記述したこのマニュアルの例で示すように、HTTP PUT と HTTP GET の両方のコールをサ
ポートします。HTTP PUT は、パラメータの入力が必要なコールの必要性に対処します。次のスキー
マ ファイルの例は、アカウント ステータスの要求です。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="acctRequest" type="mnTRESTAcctRequest"/>
<xs:complexType name="mnTRESTAcctRequest"> <xs:complexContent> <xs:extension base="mnTRESTRequest"> <xs:sequence> <xs:element name="duration" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:extension> </xs:complexContent> </xs:complexType> <xs:complexType name="mnTRESTRequest" abstract="true"> <xs:sequence> <xs:element name="valueList"> <xs:complexType> <xs:sequence> <xs:element name="value" type="xs:string" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType> </xs:element> <xs:element name="searchCriteria" type="xs:string"/>
セッション切断
Disconnect セッション切断コマンドおよびポート オプション タイプを送信します。
https://<ISEhost>/ise/mnt/CoA/Disconnect/<serverhostname>/<macaddress>/<disconnecttype>/<nasipaddress>/<destinationipaddress>
ポート オプション タイプは次の値(0 ~ 2)のいずれかです。
0:DYNAMIC_AUTHZ_PORT_DEFAULT
1:DYNAMIC_AUTHZ_PORT_BOUNCE
2:DYNAMIC_AUTHZ_PORT_SHUTDOWN
(注) NAS IP アドレスが不明な場合は、この時点までに必要な値を入
力します。API はこれらの値を検索クエリーに使用します。た
だし、この API コールを実行するには、MAC アドレスを知って
いる必要がありますが、他のパラメータはヌルにしたままにで
きます。
表 1-3 Cisco ISE 認可変更 API コール (続き)
API コール 説明と例
1-8Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 1 章 Monitoring REST API の概要
サポートされる API コール
</xs:sequence> </xs:complexType></xs:schema>
1-9Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 1 章 Monitoring REST API の概要
サポートされる API コール
1-10Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
Cisco Identity ServicesOL-26134-01-J
C H A P T E R 2
セッション管理用の API コールの使用方法Cisco ISE セッション管理 API コールは、セッション関連の情報を取得するためにモニタリング ノード
を使用します。次の項では、コールの各タイプを説明するほかに、出力スキーマ ファイルの例、各
コール発行の手順、返されるデータのサンプル、および古いセッションの削除方法について説明しま
す。
• 「セッション カウンタ API コール」(P.2-1)
• 「セッション リスト API コール」(P.2-5)
• 「Session Attribute API コール」(P.2-10)
• 「古いセッションの削除」(P.2-23)
セッション カウンタ API コール次の API コールによって、Cisco ISE 展開におけるターゲット モニタリング ノードのセッション関連
情報の現在のカウントをすぐに収集できるようになります。
• ActiveCount:アクティブなセッション数をカウントします。
• PostureCount:ポスチャされたセッション数をカウントします。
• ProfilerCount:プロファイリングされたセッション数をカウントします。
ActiveCount API コールの使用方法
アクティブなセッションの数を取得するために ActiveCount API コールを使用できます。ここでは、
次の項目について説明します。
• 「ActiveCount API コールのスキーマ ファイル」(P.2-1)
• 「ActiveCount API コールの呼び出し」(P.2-2)
• 「ActiveCount API コール データ」(P.2-2)
ActiveCount API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="sessionCount" type="activeCount"/> <xs:complexType name="activeCount"> <xs:sequence>
2-1 Engine API リファレンス ガイド、リリース 1.2
第 2 章 セッション管理用の API コールの使用方法
セッション カウンタ API コール
<xs:element name="count" type="xs:int"/> </xs:sequence> </xs:complexType></xs:schema>
ActiveCount API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2)を参照してくだ
さい。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント(/ise/mnt/Session/<specific-api-call>)に
置き換えて、ターゲット ノードの URL アドレス フィールドに ActiveCount API コールを入力します。
https://acme123/ise/mnt/Session/ActiveCount
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー
ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、
ターゲット モニタリング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
ActiveCount API コール データ
This XML file does not appear to have any style information associated with it. The document tree is shown below.-<sessionCount><count>5</count></sessionCount>
PostureCount API コールの使用方法
アクティブなポスチャ セッションの数を取得するために PostureCount API コールを使用できます。こ
こでは、次の項目について説明します。
• 「PostureCount API コールのスキーマ ファイル」(P.2-3)
• 「PostureCount API コールの呼び出し」(P.2-3)
• 「PostureCount API コール データ」(P.2-3)
2-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
セッション カウンタ API コール
PostureCount API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="sessionCount" type="postureCount"/>
<xs:complexType name="postureCount"> <xs:sequence> <xs:element name="count" type="xs:int"/> </xs:sequence> </xs:complexType></xs:schema>
PostureCount API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2)を参照してくだ
さい。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント(/ise/mnt/Session/<specific-api-call>)に
置き換えて、ターゲット ノードの URL アドレス フィールドに PostureCount API コールを入力します。
https://acme123/ise/mnt/Session/PostureCount
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー
ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、
ターゲット モニタリング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
PostureCount API コール データ
This XML file does not appear to have any style information associated with it. The document tree is shown below. -<sessionCount><count>3</count></sessionCount>
2-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
セッション カウンタ API コール
ProfilerCount API コールの使用方法
アクティブなプロファイラ セッションの数を取得するために ProfilerCount API コールを使用できま
す。ここでは、次の項目について説明します。
• 「ProfilerCount API コールのスキーマ ファイル」(P.2-4)
• 「ProfilerCount API コールの呼び出し」(P.2-4)
• 「ProfilerCount API コール データ」(P.2-5)
ProfilerCount API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="sessionCount" type="profilerCount"/>
<xs:complexType name="profilerCount"> <xs:sequence> <xs:element name="count" type="xs:int"/> </xs:sequence> </xs:complexType></xs:schema>
ProfilerCount API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2)を参照してくだ
さい。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント(/ise/mnt/Session/<specific-api-call>)に
置き換えて、ターゲット ノードの URL アドレス フィールドに ProfilerCount API コールを入力しま
す。
https://acme123/ise/mnt/Session/ProfilerCount
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー
ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、
ターゲット モニタリング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
2-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
セッション リスト API コール
ProfilerCount API コール データ
This XML file does not appear to have any style information associated with it. The document tree is shown below. -<sessionCount><count>1</count></sessionCount>
セッション リスト API コール次のセッション リスト API コールによって、Cisco ISE 展開におけるターゲット モニタリング ノード
の現在のアクティブ セッションに関連する MAC アドレス、ネットワーク アクセス デバイス(NAD)
の IP アドレス、ユーザ名、セッション ID などのセッション関連の情報をすぐに収集できるようになり
ます。
• ActiveList:アクティブなセッションをリストします
• AuthList:認証済みセッションをリストします
ActiveList API コールの使用方法
すべてのアクティブなセッションをリストするには ActiveList API コールを使用できます。ここでは、
次の項目について説明します。
• 「ActiveList API コールのスキーマ ファイル」(P.2-5)
• 「ActiveList API コールの呼び出し」(P.2-6)
• 「ActiveList API コール データ」(P.2-6)
(注) Cisco ISE のこのリリースでは、アクティブな認証済みエンドポイント セッションの表示可能な最大数
は、100,000 です。
ActiveList API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="activeSessionList" type="simpleActiveSessionList"/>
<xs:complexType name="simpleActiveSessionList"> <xs:sequence> <xs:element name="activeSession" type="simpleActiveSession" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="noOfActiveSession" type="xs:int" use="required"/> </xs:complexType>
<xs:complexType name="simpleActiveSession"> <xs:sequence> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/>
2-5Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
セッション リスト API コール
<xs:element name="acct_session_id" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="server" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:complexType></xs:schema>
ActiveList API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2)を参照してくだ
さい。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント(/ise/mnt/Session/<specific-api-call>)に
置き換えて、ターゲット ノードの URL アドレス フィールドに ActiveList API コールを入力します。
https://acme123/ise/mnt/Session/ActiveList
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー
ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、
ターゲット モニタリング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
ActiveList API コール データ
This XML file does not appear to have any style information associated with it. The document tree is shown below. -<activeSessionList noOfActiveSession="5">-<activeSession><calling_station_id>00:0C:29:FA:EF:0A</calling_station_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><calling_station_id>70:5A:B6:68:F7:CC</calling_station_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>tom_wolfe</user_name><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address>
2-6Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
セッション リスト API コール
<acct_session_id>00000032</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>graham_hancock</user_name><calling_station_id>00:50:56:8E:28:BD</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>0000002C</acct_session_id><audit_session_id>0ACB6BA10000002A165FD0C8</audit_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>ipepvpnuser</user_name><calling_station_id>172.23.130.89</calling_station_id><nas_ip_address>10.203.107.45</nas_ip_address><acct_session_id>A2000070</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession></activeSessionList>
AuthList API コールの使用方法
すべてのアクティブな認証セッションのリストを取得するために AuthList API コールを使用できます。
ここでは、次の項目について説明します。
• 「AuthList API コールのスキーマ ファイル」(P.2-7)
• 「AuthList API コールの呼び出し」(P.2-8)
• 「AuthList API コール データ」(P.2-8)
(注) Cisco ISE のこのリリースでは、アクティブな認証済みエンドポイント セッションの表示可能な最大数
は、100,000 です。
AuthList API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="activeSessionList" type="simpleActiveSessionList"/>
<xs:complexType name="simpleActiveSessionList"> <xs:sequence> <xs:element name="activeSession" type="simpleActiveSession" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="noOfActiveSession" type="xs:int" use="required"/> </xs:complexType>
<xs:complexType name="simpleActiveSession"> <xs:sequence> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="acct_session_id" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="server" type="xs:string" minOccurs="0"/>
2-7Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
セッション リスト API コール
</xs:sequence> </xs:complexType></xs:schema>
AuthList API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2)を参照してくだ
さい。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント(/ise/mnt/Session/<specific-api-call>)に
置き換えて、ターゲット ノードの URL アドレス フィールドに AuthList API コールを入力します。
(注) 次の 2 つの例の 1 番目では、定義済みの開始時刻パラメータおよび null パラメータを使用し、
指定した開始時刻以降に認証された現在アクティブなセッションのリストを表示します。2 番目の例は、現在アクティブなすべての認証済みセッションのリストを表示する「null/null」パ
ラメータを使用します。この API コールに対する 4 種類のパラメータ設定の例については、
「AuthList API コール データ」(P.2-8)を参照してください。
https://acme123/ise/mnt/Session/AuthList/2010-12-14 15:33:15/null
https://acme123/ise/mnt/Session/AuthList/null/null
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー
ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、
ターゲット モニタリング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
AuthList API コール データ
null/null オプションの使用
This XML file does not appear to have any style information associated with it. The document tree is shown below. -<activeSessionList noOfActiveSession="3">-<activeSession><user_name>ipepwlcuser</user_name><calling_station_id>00:26:82:7B:D2:51</calling_station_id><nas_ip_address>10.203.107.10</nas_ip_address>
2-8Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
セッション リスト API コール
<audit_session_id>0acb6b0c000000174D07F487</audit_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>tom_wolfe</user_name><calling_station_id>00:50:56:8E:28:BD</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000035</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>graham_hancock</user_name><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000033</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession></activeSessionList>
endtime/null オプションの使用
This XML file does not appear to have any style information associated with it. The document tree is shown below.
-<activeSessionList noOfActiveSession="3">-<activeSession><user_name>ipepwlcuser</user_name><calling_station_id>00:26:82:7B:D2:51</calling_station_id><nas_ip_address>10.203.107.10</nas_ip_address><audit_session_id>0acb6b0c0000001F4D08085A</audit_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>hunter_thompson</user_name><calling_station_id>00:50:56:8E:28:BD</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000035</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>bob_ludlum</user_name><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000033</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession></activeSessionList>
null/starttime オプションの使用
This XML file does not appear to have any style information associated with it. The document tree is shown below. -<activeSessionList noOfActiveSession="3">-<activeSession><user_name>ipepwlcuser</user_name>
2-9Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
<calling_station_id>00:26:82:7B:D2:51</calling_station_id><nas_ip_address>10.203.107.10</nas_ip_address><audit_session_id>0acb6b0c0000001F4D08085A</audit_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>bob_ludlum</user_name><calling_station_id>00:50:56:8E:28:BD</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000035</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>tom_wolfe</user_name><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000033</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession></activeSessionList>
starttime/endtime オプションの使用
This XML file does not appear to have any style information associated with it. The document tree is shown below.-<activeSessionList noOfActiveSession="3">-<activeSession><user_name>ipepwlcuser</user_name><calling_station_id>00:26:82:7B:D2:51</calling_station_id><nas_ip_address>10.203.107.10</nas_ip_address><audit_session_id>0acb6b0c0000001F4D08085A</audit_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>graham_hancock</user_name><calling_station_id>00:50:56:8E:28:BD</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000035</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>hunter_thompson</user_name><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000033</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession></activeSessionList>
Session Attribute API コール次の Session Attribute API コールによって、次のようなキー情報の最新のセッションをすぐに検索する
ことができるようになります。
• MACAddress API コールを使用した MAC アドレス セッションの検索
2-10Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
• UserName API コールを使用したユーザ名セッションの検索
• IPAddress API コールを使用した NAS IP アドレス セッションの検索
MACAddress API コールの使用方法
ターゲット モニタリング ノード上のアクティブなセッションから、指定した MAC アドレスを取得す
るには MACAddress API コールを使用します。ここでは、次の項目について説明します。
• 「MACAddress API コールのスキーマ ファイル」(P.2-11)
• 「MACAddress API コールの呼び出し」(P.2-13)
• 「MACAddress API コール データ」(P.2-13)
MACAddress API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="sessionParameters" type="restsdStatus"/>
<xs:complexType name="restsdStatus"> <xs:sequence> <xs:element name="passed" type="xs:anyType" minOccurs="0"/> <xs:element name="failed" type="xs:anyType" minOccurs="0"/> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="failure_reason" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_port" type="xs:string" minOccurs="0"/> <xs:element name="identity_group" type="xs:string" minOccurs="0"/> <xs:element name="network_device_name" type="xs:string" minOccurs="0"/> <xs:element name="acs_server" type="xs:string" minOccurs="0"/> <xs:element name="authen_protocol" type="xs:string" minOccurs="0"/> <xs:element name="framed_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="network_device_groups" type="xs:string" minOccurs="0"/> <xs:element name="access_service" type="xs:string" minOccurs="0"/> <xs:element name="auth_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="authentication_method" type="xs:string" minOccurs="0"/> <xs:element name="execution_steps" type="xs:string" minOccurs="0"/> <xs:element name="radius_response" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_identifier" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_id" type="xs:string" minOccurs="0"/> <xs:element name="nac_policy_compliance" type="xs:string" minOccurs="0"/> <xs:element name="auth_id" type="xs:long" minOccurs="0"/> <xs:element name="auth_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="message_code" type="xs:string" minOccurs="0"/> <xs:element name="acs_session_id" type="xs:string" minOccurs="0"/> <xs:element name="service_selection_policy" type="xs:string" minOccurs="0"/> <xs:element name="authorization_policy" type="xs:string" minOccurs="0"/> <xs:element name="identity_store" type="xs:string" minOccurs="0"/> <xs:element name="response" type="xs:string" minOccurs="0"/> <xs:element name="service_type" type="xs:string" minOccurs="0"/> <xs:element name="cts_security_group" type="xs:string" minOccurs="0"/> <xs:element name="use_case" type="xs:string" minOccurs="0"/> <xs:element name="cisco_av_pair" type="xs:string" minOccurs="0"/> <xs:element name="ad_domain" type="xs:string" minOccurs="0"/> <xs:element name="acs_username" type="xs:string" minOccurs="0"/> <xs:element name="radius_username" type="xs:string" minOccurs="0"/>
2-11Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
<xs:element name="nac_role" type="xs:string" minOccurs="0"/> <xs:element name="nac_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_posture_token" type="xs:string" minOccurs="0"/> <xs:element name="nac_radius_is_user_auth" type="xs:string" minOccurs="0"/> <xs:element name="selected_posture_server" type="xs:string" minOccurs="0"/> <xs:element name="selected_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="authentication_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="azn_exp_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="ext_pol_server_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="grp_mapping_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="identity_policy_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_type" type="xs:string" minOccurs="0"/> <xs:element name="query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="selected_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="sel_exp_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="selected_query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="eap_tunnel" type="xs:string" minOccurs="0"/> <xs:element name="tunnel_details" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_attributes" type="xs:string" minOccurs="0"/> <xs:element name="cisco_ssg_attributes" type="xs:string" minOccurs="0"/> <xs:element name="other_attributes" type="xs:string" minOccurs="0"/> <xs:element name="response_time" type="xs:long" minOccurs="0"/> <xs:element name="nad_failure" type="xs:anyType" minOccurs="0"/> <xs:element name="destination_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="acct_id" type="xs:long" minOccurs="0"/> <xs:element name="acct_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_status_type" type="xs:string" minOccurs="0"/> <xs:element name="acct_session_time" type="xs:long" minOccurs="0"/> <xs:element name="acct_input_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_output_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_input_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_output_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_class" type="xs:string" minOccurs="0"/> <xs:element name="acct_terminate_cause" type="xs:string" minOccurs="0"/> <xs:element name="acct_multi_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_authentic" type="xs:string" minOccurs="0"/> <xs:element name="termination_action" type="xs:string" minOccurs="0"/> <xs:element name="session_timeout" type="xs:string" minOccurs="0"/> <xs:element name="idle_timeout" type="xs:string" minOccurs="0"/> <xs:element name="acct_interim_interval" type="xs:string" minOccurs="0"/> <xs:element name="acct_delay_time" type="xs:string" minOccurs="0"/> <xs:element name="event_timestamp" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_connection" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_packet_lost" type="xs:string" minOccurs="0"/> <xs:element name="security_group" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_setup_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_connect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_disconnect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="framed_protocol" type="xs:string" minOccurs="0"/> <xs:element name="started" type="xs:anyType" minOccurs="0"/> <xs:element name="stopped" type="xs:anyType" minOccurs="0"/> <xs:element name="ckpt_id" type="xs:long" minOccurs="0"/> <xs:element name="type" type="xs:long" minOccurs="0"/> <xs:element name="nad_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="vlan" type="xs:string" minOccurs="0"/> <xs:element name="dacl" type="xs:string" minOccurs="0"/> <xs:element name="authentication_type" type="xs:string" minOccurs="0"/> <xs:element name="interface_name" type="xs:string" minOccurs="0"/> <xs:element name="reason" type="xs:string" minOccurs="0"/> <xs:element name="endpoint_policy" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:complexType>
2-12Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
</xs:schema>
MACAddress API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2)を参照してくだ
さい。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント
(/ise/mnt/Session/<specific-api-call>/<macaddress>)に置き換えて、ターゲット ノードの URL アドレ
ス フィールドに MACAddress API コールを入力します。
https://acme123/ise/mnt/Session/MACAddress/0A:0B:0C:0D:0E:0F
(注) XX:XX:XX:XX:XX:XX 形式を使用して MAC アドレスを指定していることを確認します。
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー
ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、
ターゲット モニタリング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
(注) この API コールは、直近の 5 日の間に作成されたセッション データだけを返します。
MACAddress API コール データ
This XML file does not appear to have any style information associated with it. The document tree is shown below.
-<sessionParameters><passed xsi:type="xs:boolean">true</passed><failed xsi:type="xs:boolean">false</failed><user_name>hunter_thompson</user_name><nas_ip_address>10.203.107.161</nas_ip_address><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_port>50115</nas_port><identity_group>Profiled</identity_group><network_device_name>Core-Switch</network_device_name><acs_server>HAREESH-R6-1-PDP2</acs_server><authen_protocol>Lookup</authen_protocol>
2-13Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
-<network_device_groups>Device Type#All Device Types,Location#All Locations</network_device_groups><access_service>RADIUS</access_service><auth_acs_timestamp>2010-12-15T02:11:12.359Z</auth_acs_timestamp><authentication_method>mab</authentication_method>-<execution_steps>11001,11017,11027,15008,15048,15004,15041,15004,15013,24209,24211,22037,15036,15048,15048,15004,15016,11022,11002</execution_steps><audit_session_id>0ACB6BA1000000351BBFBF8B</audit_session_id><nas_port_id>GigabitEthernet1/0/15</nas_port_id><nac_policy_compliance>Pending</nac_policy_compliance><auth_id>1291240762077361</auth_id><auth_acsview_timestamp>2010-12-15T02:11:12.360Z</auth_acsview_timestamp><message_code>5200</message_code><acs_session_id>HAREESH-R6-1-PDP2/81148292/681</acs_session_id><service_selection_policy>MAB</service_selection_policy><identity_store>Internal Hosts</identity_store>-<response>{UserName=00-14-BF-5A-0C-03; User-Name=00-14-BF-5A-0C-03; State=ReauthSession:0ACB6BA1000000351BBFBF8B; Class=CACS:0ACB6BA1000000351BBFBF8B:HAREESH-R6-1-PDP2/81148292/681; Termination-Action=RADIUS-Request; cisco-av-pair=url-redirect-acl=ACL-WEBAUTH-REDIRECT; cisco-av-pair=url-redirect=https://HAREESH-R6-1-PDP2.cisco.com:8443/guestportal/gateway?sessionId=0ACB6BA1000000351BBFBF8B&action=cwa; cisco-av-pair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-ACL-DENY-4ced8390; }</response><service_type>Call Check</service_type><use_case>Host Lookup</use_case><cisco_av_pair>audit-session-id=0ACB6BA1000000351BBFBF8B</cisco_av_pair><acs_username>00:14:BF:5A:0C:03</acs_username><radius_username>00:14:BF:5A:0C:03</radius_username><selected_identity_store>Internal Hosts</selected_identity_store><authentication_identity_store>Internal Hosts</authentication_identity_store><identity_policy_matched_rule>Default</identity_policy_matched_rule><nas_port_type>Ethernet</nas_port_type><selected_azn_profiles>CWA</selected_azn_profiles>-<other_attributes>ConfigVersionId=44,DestinationIPAddress=10.203.107.162,DestinationPort=1812,Protocol=Radius,Framed-MTU=1500,EAP-Key-Name=,CPMSessionID=0ACB6BA1000000351BBFBF8B,CPMSessionID=0ACB6BA1000000351BBFBF8B,EndPointMACAddress=00-14-BF-5A-0C-03,HostIdentityGroup=Endpoint Identity Groups:Profiled,Device Type=Device Type#All Device Types,Location=Location#All Locations,Model Name=Unknown,Software Version=Unknown,Device IP Address=10.203.107.161,Called-Station-ID=04:FE:7F:7F:C0:8F</other_attributes><response_time>77</response_time><acct_id>1291240762077386</acct_id><acct_acs_timestamp>2010-12-15T02:12:30.779Z</acct_acs_timestamp><acct_acsview_timestamp>2010-12-15T02:12:30.780Z</acct_acsview_timestamp><acct_session_id>00000038</acct_session_id><acct_status_type>Interim-Update</acct_status_type><acct_session_time>78</acct_session_time><acct_input_octets>13742</acct_input_octets><acct_output_octets>6277</acct_output_octets><acct_input_packets>108</acct_input_packets><acct_output_packets>66</acct_output_packets>-<acct_class>CACS:0ACB6BA1000000351BBFBF8B:HAREESH-R6-1-PDP2/81148292/681
2-14Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
</acct_class><acct_delay_time>0</acct_delay_time><started xsi:type="xs:boolean">false</started><stopped xsi:type="xs:boolean">false</stopped></sessionParameters>
UserName API コールの使用方法
アクティブなセッションから、指定したユーザ名を取得するには UserName API コールを使用します。
ここでは、次の項目について説明します。
• 「UserName API コールのスキーマ ファイル」(P.2-15)
• 「UserName API コールの呼び出し」(P.2-17)
• 「UserName API コール データ」(P.2-17)
UserName API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="sessionParameters" type="restsdStatus"/>
<xs:complexType name="restsdStatus"> <xs:sequence> <xs:element name="passed" type="xs:anyType" minOccurs="0"/> <xs:element name="failed" type="xs:anyType" minOccurs="0"/> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="failure_reason" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_port" type="xs:string" minOccurs="0"/> <xs:element name="identity_group" type="xs:string" minOccurs="0"/> <xs:element name="network_device_name" type="xs:string" minOccurs="0"/> <xs:element name="acs_server" type="xs:string" minOccurs="0"/> <xs:element name="authen_protocol" type="xs:string" minOccurs="0"/> <xs:element name="framed_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="network_device_groups" type="xs:string" minOccurs="0"/> <xs:element name="access_service" type="xs:string" minOccurs="0"/> <xs:element name="auth_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="authentication_method" type="xs:string" minOccurs="0"/> <xs:element name="execution_steps" type="xs:string" minOccurs="0"/> <xs:element name="radius_response" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_identifier" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_id" type="xs:string" minOccurs="0"/> <xs:element name="nac_policy_compliance" type="xs:string" minOccurs="0"/> <xs:element name="auth_id" type="xs:long" minOccurs="0"/> <xs:element name="auth_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="message_code" type="xs:string" minOccurs="0"/> <xs:element name="acs_session_id" type="xs:string" minOccurs="0"/> <xs:element name="service_selection_policy" type="xs:string" minOccurs="0"/> <xs:element name="authorization_policy" type="xs:string" minOccurs="0"/> <xs:element name="identity_store" type="xs:string" minOccurs="0"/> <xs:element name="response" type="xs:string" minOccurs="0"/> <xs:element name="service_type" type="xs:string" minOccurs="0"/> <xs:element name="cts_security_group" type="xs:string" minOccurs="0"/> <xs:element name="use_case" type="xs:string" minOccurs="0"/> <xs:element name="cisco_av_pair" type="xs:string" minOccurs="0"/> <xs:element name="ad_domain" type="xs:string" minOccurs="0"/>
2-15Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
<xs:element name="acs_username" type="xs:string" minOccurs="0"/> <xs:element name="radius_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_role" type="xs:string" minOccurs="0"/> <xs:element name="nac_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_posture_token" type="xs:string" minOccurs="0"/> <xs:element name="nac_radius_is_user_auth" type="xs:string" minOccurs="0"/> <xs:element name="selected_posture_server" type="xs:string" minOccurs="0"/> <xs:element name="selected_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="authentication_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="azn_exp_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="ext_pol_server_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="grp_mapping_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="identity_policy_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_type" type="xs:string" minOccurs="0"/> <xs:element name="query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="selected_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="sel_exp_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="selected_query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="eap_tunnel" type="xs:string" minOccurs="0"/> <xs:element name="tunnel_details" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_attributes" type="xs:string" minOccurs="0"/> <xs:element name="cisco_ssg_attributes" type="xs:string" minOccurs="0"/> <xs:element name="other_attributes" type="xs:string" minOccurs="0"/> <xs:element name="response_time" type="xs:long" minOccurs="0"/> <xs:element name="nad_failure" type="xs:anyType" minOccurs="0"/> <xs:element name="destination_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="acct_id" type="xs:long" minOccurs="0"/> <xs:element name="acct_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_status_type" type="xs:string" minOccurs="0"/> <xs:element name="acct_session_time" type="xs:long" minOccurs="0"/> <xs:element name="acct_input_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_output_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_input_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_output_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_class" type="xs:string" minOccurs="0"/> <xs:element name="acct_terminate_cause" type="xs:string" minOccurs="0"/> <xs:element name="acct_multi_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_authentic" type="xs:string" minOccurs="0"/> <xs:element name="termination_action" type="xs:string" minOccurs="0"/> <xs:element name="session_timeout" type="xs:string" minOccurs="0"/> <xs:element name="idle_timeout" type="xs:string" minOccurs="0"/> <xs:element name="acct_interim_interval" type="xs:string" minOccurs="0"/> <xs:element name="acct_delay_time" type="xs:string" minOccurs="0"/> <xs:element name="event_timestamp" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_connection" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_packet_lost" type="xs:string" minOccurs="0"/> <xs:element name="security_group" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_setup_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_connect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_disconnect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="framed_protocol" type="xs:string" minOccurs="0"/> <xs:element name="started" type="xs:anyType" minOccurs="0"/> <xs:element name="stopped" type="xs:anyType" minOccurs="0"/> <xs:element name="ckpt_id" type="xs:long" minOccurs="0"/> <xs:element name="type" type="xs:long" minOccurs="0"/> <xs:element name="nad_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="vlan" type="xs:string" minOccurs="0"/> <xs:element name="dacl" type="xs:string" minOccurs="0"/> <xs:element name="authentication_type" type="xs:string" minOccurs="0"/> <xs:element name="interface_name" type="xs:string" minOccurs="0"/> <xs:element name="reason" type="xs:string" minOccurs="0"/> <xs:element name="endpoint_policy" type="xs:string" minOccurs="0"/>
2-16Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
</xs:sequence> </xs:complexType></xs:schema>
UserName API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2)を参照してくだ
さい。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント
(/ise/mnt/Session/<specific-api-call>/<username>)に置き換えて、ターゲット ノードの URL アドレ
ス フィールドに UserName API コールを入力します。
https://acme123/ise/mnt/Session/UserName/graham_hancock
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー
ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、
ターゲット モニタリング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
UserName API コール データ
This XML file does not appear to have any style information associated with it. The document tree is shown below. -<sessionParameters><passed xsi:type="xs:boolean">true</passed><failed xsi:type="xs:boolean">false</failed><user_name>graham_hancock</user_name><nas_ip_address>10.203.107.161</nas_ip_address><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_port>50115</nas_port><identity_group>Profiled</identity_group><network_device_name>Core-Switch</network_device_name><acs_server>HAREESH-R6-1-PDP2</acs_server><authen_protocol>Lookup</authen_protocol>-<network_device_groups>Device Type#All Device Types,Location#All Locations</network_device_groups><access_service>RADIUS</access_service><auth_acs_timestamp>2010-12-15T02:11:12.359Z</auth_acs_timestamp><authentication_method>mab</authentication_method>-
2-17Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
<execution_steps>11001,11017,11027,15008,15048,15004,15041,15004,15013,24209,24211,22037,15036,15048,15048,15004,15016,11022,11002</execution_steps><audit_session_id>0ACB6BA1000000351BBFBF8B</audit_session_id><nas_port_id>GigabitEthernet1/0/15</nas_port_id><nac_policy_compliance>Pending</nac_policy_compliance><auth_id>1291240762077361</auth_id><auth_acsview_timestamp>2010-12-15T02:11:12.360Z</auth_acsview_timestamp><message_code>5200</message_code><acs_session_id>HAREESH-R6-1-PDP2/81148292/681</acs_session_id><service_selection_policy>MAB</service_selection_policy><identity_store>Internal Hosts</identity_store>-<response>{UserName=graham_hancock; User-Name=graham_hancock; State=ReauthSession:0ACB6BA1000000351BBFBF8B; Class=CACS:0ACB6BA1000000351BBFBF8B:HAREESH-R6-1-PDP2/81148292/681; Termination-Action=RADIUS-Request; cisco-av-pair=url-redirect-acl=ACL-WEBAUTH-REDIRECT; cisco-av-pair=url-redirect=https://HAREESH-R6-1-PDP2.cisco.com:8443/guestportal/gateway?sessionId=0ACB6BA1000000351BBFBF8B&action=cwa; cisco-av-pair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-ACL-DENY-4ced8390; }</response><service_type>Call Check</service_type><use_case>Host Lookup</use_case><cisco_av_pair>audit-session-id=0ACB6BA1000000351BBFBF8B</cisco_av_pair><acs_username>graham_hancock</acs_username><radius_username>00:14:BF:5A:0C:03</radius_username><selected_identity_store>Internal Hosts</selected_identity_store><authentication_identity_store>Internal Hosts</authentication_identity_store><identity_policy_matched_rule>Default</identity_policy_matched_rule><nas_port_type>Ethernet</nas_port_type><selected_azn_profiles>CWA</selected_azn_profiles>-<other_attributes>ConfigVersionId=44,DestinationIPAddress=10.203.107.162,DestinationPort=1812,Protocol=Radius,Framed-MTU=1500,EAP-Key-Name=,CPMSessionID=0ACB6BA1000000351BBFBF8B,CPMSessionID=0ACB6BA1000000351BBFBF8B,EndPointMACAddress=00-14-BF-5A-0C-03,HostIdentityGroup=Endpoint Identity Groups:Profiled,Device Type=Device Type#All Device Types,Location=Location#All Locations,Model Name=Unknown,Software Version=Unknown,Device IP Address=10.203.107.161,Called-Station-ID=04:FE:7F:7F:C0:8F</other_attributes><response_time>77</response_time><acct_id>1291240762077386</acct_id><acct_acs_timestamp>2010-12-15T02:12:30.779Z</acct_acs_timestamp><acct_acsview_timestamp>2010-12-15T02:12:30.780Z</acct_acsview_timestamp><acct_session_id>00000038</acct_session_id><acct_status_type>Interim-Update</acct_status_type><acct_session_time>78</acct_session_time><acct_input_octets>13742</acct_input_octets><acct_output_octets>6277</acct_output_octets><acct_input_packets>108</acct_input_packets><acct_output_packets>66</acct_output_packets>-<acct_class>CACS:0ACB6BA1000000351BBFBF8B:HAREESH-R6-1-PDP2/81148292/681</acct_class><acct_delay_time>0</acct_delay_time><started xsi:type="xs:boolean">false</started><stopped xsi:type="xs:boolean">false</stopped></sessionParameters>
2-18Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
IPAddress API コールの使用方法
指定したネットワーク アクセス サーバ(NAS)の IP アドレスのデータを現在のセッションから取得す
るには IPAddress API コールを使用します。ここでは、次の項目について説明します。
• 「IPAddress API コールのスキーマ ファイル」(P.2-19)
• 「IPAddress API コールの呼び出し」(P.2-21)
• 「IPAddress API コール データ」(P.2-21)
IPAddress API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="sessionParameters" type="restsdStatus"/>
<xs:complexType name="restsdStatus"> <xs:sequence> <xs:element name="passed" type="xs:anyType" minOccurs="0"/> <xs:element name="failed" type="xs:anyType" minOccurs="0"/> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="failure_reason" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_port" type="xs:string" minOccurs="0"/> <xs:element name="identity_group" type="xs:string" minOccurs="0"/> <xs:element name="network_device_name" type="xs:string" minOccurs="0"/> <xs:element name="acs_server" type="xs:string" minOccurs="0"/> <xs:element name="authen_protocol" type="xs:string" minOccurs="0"/> <xs:element name="framed_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="network_device_groups" type="xs:string" minOccurs="0"/> <xs:element name="access_service" type="xs:string" minOccurs="0"/> <xs:element name="auth_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="authentication_method" type="xs:string" minOccurs="0"/> <xs:element name="execution_steps" type="xs:string" minOccurs="0"/> <xs:element name="radius_response" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_identifier" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_id" type="xs:string" minOccurs="0"/> <xs:element name="nac_policy_compliance" type="xs:string" minOccurs="0"/> <xs:element name="auth_id" type="xs:long" minOccurs="0"/> <xs:element name="auth_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="message_code" type="xs:string" minOccurs="0"/> <xs:element name="acs_session_id" type="xs:string" minOccurs="0"/> <xs:element name="service_selection_policy" type="xs:string" minOccurs="0"/> <xs:element name="authorization_policy" type="xs:string" minOccurs="0"/> <xs:element name="identity_store" type="xs:string" minOccurs="0"/> <xs:element name="response" type="xs:string" minOccurs="0"/> <xs:element name="service_type" type="xs:string" minOccurs="0"/> <xs:element name="cts_security_group" type="xs:string" minOccurs="0"/> <xs:element name="use_case" type="xs:string" minOccurs="0"/> <xs:element name="cisco_av_pair" type="xs:string" minOccurs="0"/> <xs:element name="ad_domain" type="xs:string" minOccurs="0"/> <xs:element name="acs_username" type="xs:string" minOccurs="0"/> <xs:element name="radius_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_role" type="xs:string" minOccurs="0"/> <xs:element name="nac_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_posture_token" type="xs:string" minOccurs="0"/> <xs:element name="nac_radius_is_user_auth" type="xs:string" minOccurs="0"/> <xs:element name="selected_posture_server" type="xs:string" minOccurs="0"/>
2-19Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
<xs:element name="selected_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="authentication_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="azn_exp_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="ext_pol_server_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="grp_mapping_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="identity_policy_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_type" type="xs:string" minOccurs="0"/> <xs:element name="query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="selected_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="sel_exp_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="selected_query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="eap_tunnel" type="xs:string" minOccurs="0"/> <xs:element name="tunnel_details" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_attributes" type="xs:string" minOccurs="0"/> <xs:element name="cisco_ssg_attributes" type="xs:string" minOccurs="0"/> <xs:element name="other_attributes" type="xs:string" minOccurs="0"/> <xs:element name="response_time" type="xs:long" minOccurs="0"/> <xs:element name="nad_failure" type="xs:anyType" minOccurs="0"/> <xs:element name="destination_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="acct_id" type="xs:long" minOccurs="0"/> <xs:element name="acct_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_status_type" type="xs:string" minOccurs="0"/> <xs:element name="acct_session_time" type="xs:long" minOccurs="0"/> <xs:element name="acct_input_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_output_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_input_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_output_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_class" type="xs:string" minOccurs="0"/> <xs:element name="acct_terminate_cause" type="xs:string" minOccurs="0"/> <xs:element name="acct_multi_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_authentic" type="xs:string" minOccurs="0"/> <xs:element name="termination_action" type="xs:string" minOccurs="0"/> <xs:element name="session_timeout" type="xs:string" minOccurs="0"/> <xs:element name="idle_timeout" type="xs:string" minOccurs="0"/> <xs:element name="acct_interim_interval" type="xs:string" minOccurs="0"/> <xs:element name="acct_delay_time" type="xs:string" minOccurs="0"/> <xs:element name="event_timestamp" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_connection" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_packet_lost" type="xs:string" minOccurs="0"/> <xs:element name="security_group" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_setup_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_connect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_disconnect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="framed_protocol" type="xs:string" minOccurs="0"/> <xs:element name="started" type="xs:anyType" minOccurs="0"/> <xs:element name="stopped" type="xs:anyType" minOccurs="0"/> <xs:element name="ckpt_id" type="xs:long" minOccurs="0"/> <xs:element name="type" type="xs:long" minOccurs="0"/> <xs:element name="nad_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="vlan" type="xs:string" minOccurs="0"/> <xs:element name="dacl" type="xs:string" minOccurs="0"/> <xs:element name="authentication_type" type="xs:string" minOccurs="0"/> <xs:element name="interface_name" type="xs:string" minOccurs="0"/> <xs:element name="reason" type="xs:string" minOccurs="0"/> <xs:element name="endpoint_policy" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:complexType></xs:schema>
2-20Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
IPAddress API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2)を参照してくだ
さい。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント
(/ise/mnt/Session/<specific-api-call>/<nasipaddress>)に置き換えて、ターゲット ノードの URL アド
レス フィールドに IPAddress API コールを入力します。
https://acme123/ise/mnt/Session/IPAddress/10.10.10.10
(注) xxx.xxx.xxx.xxx の形式を使用して NAS IP アドレスを指定していることを確認します。
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー
ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、
ターゲット モニタリング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
(注) この API コールは、直近の 5 日の間に作成されたセッション データだけを返します。
IPAddress API コール データ
This XML file does not appear to have any style information associated with it. The document tree is shown below.-<sessionParameters><passed xsi:type="xs:boolean">true</passed><failed xsi:type="xs:boolean">false</failed><user_name>ipepvpnuser</user_name><nas_ip_address>10.10.10.10</nas_ip_address><calling_station_id>172.23.130.90</calling_station_id><nas_port>1015</nas_port><identity_group>iPEP-VPN-Group</identity_group><network_device_name>iPEP-HA-Routed</network_device_name><acs_server>HAREESH-R6-1-PDP2</acs_server><authen_protocol>PAP_ASCII</authen_protocol>-<network_device_groups>Device Type#All Device Types,Location#All Locations</network_device_groups><access_service>RADIUS</access_service>
2-21Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
Session Attribute API コール
<auth_acs_timestamp>2010-12-15T19:57:29.885Z</auth_acs_timestamp><authentication_method>PAP_ASCII</authentication_method>-<execution_steps>11001,11017,15008,15048,15048,15004,15041,15004,15013,24210,24212,22037,15036,15048,15048,15004,15016,11002</execution_steps><audit_session_id>0acb6be4000000044D091DA9</audit_session_id><nac_policy_compliance>NotApplicable</nac_policy_compliance><auth_id>1291240762083580</auth_id><auth_acsview_timestamp>2010-12-15T19:57:29.887Z</auth_acsview_timestamp><message_code>5200</message_code><acs_session_id>HAREESH-R6-1-PDP2/81148292/693</acs_session_id><service_selection_policy>iPEP-VPN</service_selection_policy><identity_store>Internal Users</identity_store>-<response>{User-Name=ipepvpnuser; State=ReauthSession:0acb6be4000000044D091DA9; Class=CACS:0acb6be4000000044D091DA9:HAREESH-R6-1-PDP2/81148292/693; Termination-Action=RADIUS-Request; }</response><service_type>Framed</service_type>-<cisco_av_pair>audit-session-id=0acb6be4000000044D091DA9,ipep-proxy=true</cisco_av_pair><acs_username>ipepvpnuser</acs_username><radius_username>ipepvpnuser</radius_username><selected_identity_store>Internal Users</selected_identity_store><authentication_identity_store>Internal Users</authentication_identity_store><identity_policy_matched_rule>Default</identity_policy_matched_rule><nas_port_type>Virtual</nas_port_type><selected_azn_profiles>iPEP-Unknown-Auth-Profile</selected_azn_profiles><tunnel_details>Tunnel-Client-Endpoint=(tag=0) 172.23.130.90</tunnel_details>-<other_attributes>ConfigVersionId=44,DestinationIPAddress=10.203.107.162,DestinationPort=1812,Protocol=Radius,Framed-Protocol=PPP,Proxy-State=Cisco Secure ACS9e733142-070a-11e0-c000-000000000000-2906094480-3222,CPMSessionID=0acb6be4000000044D091DA9,CPMSessionID=0acb6be4000000044D091DA9,Device Type=Device Type#All Device Types,Location=Location#All Locations,Model Name=Unknown,Software Version=Unknown,Device IP Address=10.203.107.228,Called-Station-ID=172.23.130.94</other_attributes><response_time>20</response_time><acct_id>1291240762083582</acct_id><acct_acs_timestamp>2010-12-15T19:57:30.281Z</acct_acs_timestamp><acct_acsview_timestamp>2010-12-15T19:57:30.283Z</acct_acsview_timestamp><acct_session_id>F1800007</acct_session_id><acct_status_type>Start</acct_status_type>-<acct_class>CACS:0acb6be4000000044D091DA9:HAREESH-R6-1-PDP2/81148292/693</acct_class><acct_delay_time>0</acct_delay_time><framed_protocol>PPP</framed_protocol><started xsi:type="xs:boolean">true</started><stopped xsi:type="xs:boolean">false</stopped></sessionParameters>
2-22Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
古いセッションの削除
古いセッションの削除一部のデバイスでは、ワイヤレス LAN コントローラ(WLC)など、古いセッションを保持できるよ
うにする場合があります。このような場合、手動で非アクティブなセッションを削除するには、HTTP DELETE API コールを使用します。これを行うには、次の手順に示すように、URL(HTTP、HTTPS)構文のデータを転送するための無償のサードパーティ製のコマンドライン ツールである cURL を使用します。
Cisco ISE は、古いセッションを追跡しなくなりました。これは、Cisco ISE がネットワークへの接続
を長時間にわたって失い、WLC またはネットワーク アクセス デバイス(NAD)のアカウンティング
を停止し損なう場合を軽減するためです。HTTP DELETE API コールを使用して、Cisco ISE からこの
ような古い情報をクリアすることができます。
(注) HTTP および HTTPS を使用してファイルを取得するための無償ユーティリティである GNU Wget は、
HTTP DELETE API コールをサポートしません。
ステップ 1 コマンド ラインからターゲット モニタリング ノードにログインします。
(注) API コールは大文字と小文字が区別され、慎重に入力する必要があります。変数 <mntnode> はターゲット モニタリング ノードを表します。
ステップ 2 手動で MAC アドレスの古いセッションを削除するには、コマンドラインで次の API コールを発行し
ます。
curl -X DELETE https://<mntnode>/ise/mnt/Session/Delete/MACAddress/<macaddress>
ステップ 3 手動でセッション ID の古いセッションを削除するには、コマンドラインで次の API コールを発行しま
す。
curl -X DELETE https://<mntnode>/ise/mnt/Session/Delete/SessionID/<sid#>
ステップ 4 手動でモニタリング ノードのすべてのセッションを削除するには、コマンドラインで次の API コール
を発行します。
curl -X DELETE https://<mntnode>/ise/mnt/Session/Delete/All
2-23Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 2 章 セッション管理用の API コールの使用方法
古いセッションの削除
2-24Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
Cisco Identity ServicesOL-26134-01-J
C H A P T E R 3
トラブルシューティング用の API コールの使用方法Cisco ISE トラブルシューティング API コールは、ステータス要求をターゲット モニタリング ノード
に送信し、次の診断関連情報を取得します。
• ノードのバージョンおよびタイプ(Version API コールを使用)
• 障害理由(FailureReasons API コールを使用)
• 認証ステータス(AuthStatus API コールを使用)
• アカウンティング ステータス(AcctStatus API コールを使用)
次の項では、トラブルシューティング API コールの各タイプを説明するほか、ファイルの例、各コー
ル発行の手順、および返されるデータのサンプルが記載されています。
• 「Version API コールの使用方法」(P.3-1)
• 「FailureReasons API コールの使用方法」(P.3-3)
• 「AuthStatus API コールの使用方法」(P.3-6)
• 「AcctStatus API コール データの使用方法」(P.3-11)
Version API コールの使用方法
各ノードの Representational State Transfer(REST)プログラミング インターフェイス(PI)サービス
とクレデンシャルをテストするには Version API コールを使用します。ここでは、スキーマ ファイルの
出力例、この API コールを呼び出すことにより、Cisco ISE ソフトウェアのバージョンおよびノード タイプを要求する手順、この API コール発行後に返されるノードのバージョンとタイプのサンプルにつ
いて説明します。
各ノード タイプには関連付けられた値があり、次のいずれかを指定できます。
• STANDALONE_MNT_NODE = 0
• ACTIVE_MNT_NODE = 1
• BACKUP_MNT_NODE = 2
• NOT_AN_MNT_NODE = 3
Version API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
3-1 Engine API リファレンス ガイド、リリース 1.2
第 3 章 トラブルシューティング用の API コールの使用方法
<xs:element name="product" type="product"/>
<xs:complexType name="product"> <xs:sequence> <xs:element name="version" type="xs:string" minOccurs="0"/> <xs:element name="type_of_node" type="xs:int"/> </xs:sequence> <xs:attribute name="name" type="xs:string"/> </xs:complexType></xs:schema>
Version API コールの呼び出し
(注) ターゲット ノードが有効なモニタリング ノードであることを確認します。Cisco ISE ノードのペルソナ
を確認するには、「モニタリング ノードの確認」(P.1-2)を参照してください。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント(/ise/mnt/<specific-api-call>)に置き換え
て、ターゲット ノードの URL アドレス フィールドに Version API コールを入力します。
https://acme123/ise/mnt/Version
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー
ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、
モニタリング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
Version API コール データ
次の例では、Version API コールはターゲット ノードに関する次の情報を返しました。
• ノードのバージョン:この例では、1.0.3.032 を表示します。
• モニタリング ノードのタイプ:この例では、1 を表示し、ノードがアクティブであることを意味し
ます。
This XML file does not appear to have any style information associated with it. The document tree is shown below.
-<product name="Cisco Identity Services Engine"><version>1.0.3.032</version><type_of_node>1</type_of_node></product>
3-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
FailureReasons API コールの使用方法
FailureReasons API コールを使用して、表 3-1 で説明されている失敗した操作と可能な解決策のリスト
を返します。
(注) Cisco ISE Failure Reasons Editor を使用して操作の失敗の完全なリストにアクセスする方法に関する詳
細については、「障害理由レポートの使用方法」(P.A-1) を参照してください。
FailureReasons API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="failureReasonList" type="failureReasonList"/>
<xs:complexType name="failureReasonList"> <xs:sequence> <xs:element name="failureReason" type="failureReason" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType>
<xs:complexType name="failureReason"> <xs:sequence> <xs:element name="code" type="xs:string" minOccurs="0"/> <xs:element name="cause" type="xs:string" minOccurs="0"/> <xs:element name="resolution" type="xs:string" minOccurs="0"/> </xs:sequence> <xs:attribute name="id" type="xs:string"/> </xs:complexType></xs:schema>
FailureReasons API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2)を参照してくだ
さい。
表 3-1 FailureReasons API コールから返されるデータ
要素 例
障害理由 ID <failureReason id="11011">
コード <11011 RADIUS listener failed>
原因 <Could not open one or more of the ports used to receive RADIUS requests>
解決策 <Ensure that ports 1812, 1813, 1645 and 1646 are not being used by another process on the system>
3-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント(/ise/mnt/<specific-api-call>)に置き換え
て、ターゲット ノードの URL アドレス フィールドに FailureReasons API コールを入力します。
https://acme123/ise/mnt/FailureReasons
(注) コールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィールドに慎
重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、モニタ
リング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
FailureReasons API コール データ
(注) 次の FailureReasons API コールの例は、返されるデータの小規模なサンプルを表示しています。
This XML file does not appear to have any style information associated with it. The document tree is shown below. -<failureReasonList>-<failureReason id="100001">-<code>100001 AUTHMGR-5-FAIL Authorization failed for client</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100002">-<code>100002 AUTHMGR-5-SECURITY_VIOLATION Security violation on the interface</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100003">-<code>100003 AUTHMGR-5-UNAUTHORIZED Interface unauthorized
3-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100004">-<code>100004 DOT1X-5-FAIL Authentication failed for client</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100005"><code>100005 MAB-5-FAIL Authentication failed for client</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100006">-<code>100006 RADIUS-4-RADIUS_DEAD RADIUS server is not responding</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100007">-<code>100007 EPM-6-POLICY_APP_FAILURE Interface ACL not configured</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>
Cisco ISE Failure Reasons Editor の詳細については、付録 A「障害理由レポートの使用方法」を参照し
てください。
3-5Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
AuthStatus API コールの使用方法
ターゲット ノードにおけるセッションの認証ステータスをチェックするために AuthStatus API コール
を使用します。クエリーに対して少なくとも 1 つの MAC アドレスを指定する必要があります。
ここでは、次の項目について説明します。
• 「AuthStatus API コールのスキーマ ファイル」(P.3-7)
• 「AuthStatus API コールの呼び出し」(P.3-9)
• 「AuthStatus API コール データ」(P.3-9)
次の検索関連パラメータを設定できます。
• 期間:指定した MAC アドレスに関連付けられた認証ステータス レコードの検索と取得が試行され
る秒数を定義します。ユーザが設定可能な値の有効範囲は 1 ~ 864000 秒(10 日)です。0 秒の値
を入力した場合は、デフォルト期間の 10 日が指定されます。
• レコード:MAC アドレスごとに検索するセッションのレコード数を定義します。ユーザが設定可
能な値の有効範囲は 1 ~ 500 レコードです。0 を入力した場合は、デフォルト設定の 200 レコード
が指定されます。
(注) 期間パラメータおよびレコード パラメータの両方に値 0 を指定すると、この AuthStatus API コールは、指定された MAC アドレスに関連付けられている最新の認証セッション レコードのみを返します。
ここに、期間とレコードの属性を指定した URL の一般的な形式の例を示します。
https://10.10.10.10/ise/mnt/AuthStatus/MACAddress/01:23:45:67:89:98/900000/2/All
• 属性:AuthStatus API コールを使用して認証ステータスの検索で返された認証ステータスのテーブ
ルの属性数を定義します。有効な値は 0(デフォルト)、All、または user_name+acs_timestamp です(AuthStatus スキーマの例「AuthStatus API コールのスキーマ ファイル」(P.3-7)を参照)。
– 「0」を入力すると、表 3-2で定義された属性が返されます。これらは出力スキーマの restAuthStatus のセクションに記載されています。
– 「All」を入力すると、より詳しい属性セットが返されます。これらは出力スキーマの fullRESTAuthStatus のセクションに記載されています。
– user_name+acs_timestamp のスキーマに示されている値を入力すると、それらの属性だけが返
されます。user_name 属性と acs_timestamp 属性は、出力スキーマ restAuthStatus のセクショ
ンに記載されています。
表 3-2 認証ステータス テーブルの属性
属性 説明
name = "passed" または name = "failed"
認証ステータスの結果:
• 合格
• 不合格
name = "user_name" ユーザ名
name = "nas_ip_address" ネットワーク アクセス デバイスの IP アドレス /ホスト名
name = "failure_reason" セッション認証に失敗した原因
name = "calling_station_id" 送信元 IP アドレス
name = "nas_port" ネットワーク アクセス サーバ ポート
3-6Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
AuthStatus API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="authStatusOutputList" type="fullRESTAuthStatusOutputList"/>
<xs:complexType name="fullRESTAuthStatusOutputList"> <xs:sequence> <xs:element name="authStatusList" type="fullRESTAuthStatusList" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType>
<xs:complexType name="fullRESTAuthStatusList"> <xs:sequence> <xs:element name="authStatusElements" type="fullRESTAuthStatus" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="key" type="xs:string"/> </xs:complexType>
<xs:complexType name="fullRESTAuthStatus"> <xs:complexContent>
name = "identity_group" 関連するユーザとホストで構成される論理グループ
name = "network_device_name" ネットワーク デバイスの名前
name = "acs_server" Cisco ISE アプライアンスの名前
name = "eap_authentication" 認証要求に使用する拡張認証プロトコル(EAP)方式
name = "framed_ip_address" 特定のユーザに設定されたアドレス
name = "network_device_groups" 関連するネットワーク デバイスで構成される論理グループ
name = "access_service" アプリケーション アクセス サービス
name = "acs_timestamp" Cisco ISE 認証要求に関連付けられたタイム スタンプ
name = "authentication_method" 認証で使用される方式を指定します
name = "execution_steps" 要求の処理中にログに記録された各診断メッセージのメッセージ コードのリスト
name = "radius_response" RADIUS 応答のタイプ(例:VLAN、ACL)
name = "audit_session_id" 認証セッションの ID
name = "nas_identifier" 特定のリソースに関連づけられているネットワーク アクセス サーバ(NAS)
name = "nas_port_id" 使用される NAS ポート ID
name = "nac_policy_compliance" ポスチャ ステータスを示します(準拠または非準拠)
name = "selected_azn_profiles" 認証に使用されるプロファイルを指定します
name = "service_type" フレームド ユーザを示します
name = "eap_tunnel" EAP 認証に使用されるトンネルまたは外部方式
name = "message_code" 処理された要求の結果を定義する監査のメッセージを識別します
name = "destination_ip_address" 宛先 IP アドレスを指定します
表 3-2 認証ステータス テーブルの属性 (続き)
属性 説明
3-7Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
<xs:extension base="restAuthStatus"> <xs:sequence> <xs:element name="id" type="xs:long" minOccurs="0"/> <xs:element name="acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acs_session_id" type="xs:string" minOccurs="0"/> <xs:element name="service_selection_policy" type="xs:string" minOccurs="0"/> <xs:element name="authorization_policy" type="xs:string" minOccurs="0"/> <xs:element name="identity_store" type="xs:string" minOccurs="0"/> <xs:element name="response" type="xs:string" minOccurs="0"/> <xs:element name="cts_security_group" type="xs:string" minOccurs="0"/> <xs:element name="use_case" type="xs:string" minOccurs="0"/> <xs:element name="cisco_av_pair" type="xs:string" minOccurs="0"/> <xs:element name="ad_domain" type="xs:string" minOccurs="0"/> <xs:element name="acs_username" type="xs:string" minOccurs="0"/> <xs:element name="radius_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_role" type="xs:string" minOccurs="0"/> <xs:element name="nac_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_posture_token" type="xs:string" minOccurs="0"/> <xs:element name="nac_radius_is_user_auth" type="xs:string" minOccurs="0"/> <xs:element name="selected_posture_server" type="xs:string" minOccurs="0"/> <xs:element name="selected_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="authentication_identity_store" type="xs:string"
minOccurs="0"/> <xs:element name="azn_exp_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="ext_pol_server_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="grp_mapping_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="identity_policy_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_type" type="xs:string" minOccurs="0"/> <xs:element name="query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="sel_exp_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="selected_query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="tunnel_details" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_attributes" type="xs:string" minOccurs="0"/> <xs:element name="cisco_ssg_attributes" type="xs:string" minOccurs="0"/> <xs:element name="other_attributes" type="xs:string" minOccurs="0"/> <xs:element name="response_time" type="xs:long" minOccurs="0"/> <xs:element name="nad_failure" type="xs:anyType" minOccurs="0"/> </xs:sequence> </xs:extension> </xs:complexContent> </xs:complexType>
<xs:complexType name="restAuthStatus"> <xs:sequence> <xs:element name="passed" type="xs:anyType" minOccurs="0"/> <xs:element name="failed" type="xs:anyType" minOccurs="0"/> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="failure_reason" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_port" type="xs:string" minOccurs="0"/> <xs:element name="identity_group" type="xs:string" minOccurs="0"/> <xs:element name="network_device_name" type="xs:string" minOccurs="0"/> <xs:element name="acs_server" type="xs:string" minOccurs="0"/> <xs:element name="eap_authentication" type="xs:string" minOccurs="0"/> <xs:element name="framed_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="network_device_groups" type="xs:string" minOccurs="0"/> <xs:element name="access_service" type="xs:string" minOccurs="0"/> <xs:element name="acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="authentication_method" type="xs:string" minOccurs="0"/> <xs:element name="execution_steps" type="xs:string" minOccurs="0"/> <xs:element name="radius_response" type="xs:string" minOccurs="0"/>
3-8Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
<xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_identifier" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_id" type="xs:string" minOccurs="0"/> <xs:element name="nac_policy_compliance" type="xs:string" minOccurs="0"/> <xs:element name="selected_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="service_type" type="xs:string" minOccurs="0"/> <xs:element name="eap_tunnel" type="xs:string" minOccurs="0"/> <xs:element name="message_code" type="xs:string" minOccurs="0"/> <xs:element name="destination_ip_address" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:complexType></xs:schema>
AuthStatus API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2)を参照してくだ
さい。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント
(/ise/mnt/<specific-api-call>/MACAddress/ <macaddress>/<seconds>/<numberofrecordspermacaddress>/All)に置き換えて、ターゲット ノード
の URL アドレス フィールドに AuthStatus API コールを入力します。
https://acme123/ise/mnt/AuthStatus/MACAddress/00:50:56:10:13:02/120/100/All
(注) API コールは大文字と小文字が区別されます。API コール規則での「mnt」の使用は、ター
ゲット モニタリング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
AuthStatus API コール データ
This XML file does not appear to have any style information associated with it. The document tree is shown below. -<authStatusOutputList>-<authStatusList key="00:0C:29:46:F3:B8"><authStatusElements>-<passed xsi:type="xs:boolean">true</passed><failed xsi:type="xs:boolean">false</failed><user_name>suser77</user_name><nas_ip_address>10.77.152.209</nas_ip_address><calling_station_id>00:0C:29:46:F3:B8</calling_station_id><identity_group>User Identity Groups:Guest</identity_group>
3-9Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
<acs_server>guest-240</acs_server><acs_timestamp>2012-10-05T10:50:56.515Z</acs_timestamp><execution_steps>5231</execution_steps><message_code>5231</message_code><id>1349422277270561</id><acsview_timestamp>2012-10-05T10:50:56.517Z</acsview_timestamp><identity_store>Internal Users</identity_store><response_time>146</response_time><other_attributes>ConfigVersionId=81,EndPointMACAddress=00-0C-29-46-F3-B8,PortalName=DefaultGuestPortal,CPMSessionID=0A4D98D1000001F26F0C04D9,CiscoAVPair=</other_attributes></authStatusElements>-<authStatusElements><passed xsi:type="xs:boolean">true</passed><failed xsi:type="xs:boolean">false</failed><user_name>00:0C:29:46:F3:B8</user_name><nas_ip_address>10.77.152.209</nas_ip_address><calling_station_id>00:0C:29:46:F3:B8</calling_station_id><identity_group>Guest_IDG</identity_group><network_device_name>switch</network_device_name><acs_server>guest-240</acs_server><authentication_method>mab</authentication_method><authentication_protocol>Lookup</authentication_protocol><acs_timestamp>2012-10-05T10:49:47.915Z</acs_timestamp><execution_steps>11001,11017,11027,15049,15008,15048,15048,15004,15041,15006,15013,24209,24211,22037,15036,15048,15004,15016,11022,11002</execution_steps><response>{UserName=00:0C:29:46:F3:B8; User-Name=00-0C-29-46-F3-B8; State=ReauthSession:0A4D98D1000001F26F0C04D9; Class=CACS:0A4D98D1000001F26F0C04D9:guest-240/138796808/76; Termination-Action=RADIUS-Request; Tunnel-Type=(tag=1) VLAN; Tunnel-Medium-Type=(tag=1) 802; Tunnel-Private-Group-ID=(tag=1) 2; cisco-av-pair=url-redirect-acl=ACL-WEBAUTH-REDIRECT; cisco-av-pair=url-redirect=https://guest-240.cisco.com:8443/guestportal/gateway?sessionId=0A4D98D1000001F26F0C04D9&action=cwa; cisco-av-pair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-pre-posture-506e980a; cisco-av-pair=profile-name=WindowsXP-Workstation;}</response><audit_session_id>0A4D98D1000001F26F0C04D9</audit_session_id><nas_port_id>GigabitEthernet1/0/17</nas_port_id><posture_status>Pending</posture_status><selected_azn_profiles>CWA_Redirect</selected_azn_profiles><service_type>Call Check</service_type><message_code>5200</message_code><nac_policy_compliance>Pending</nac_policy_compliance><id>1349422277270556</id><acsview_timestamp>2012-10-05T10:49:47.915Z</acsview_timestamp><identity_store>Internal Endpoints</identity_store><response_time>13</response_time><other_attributes>ConfigVersionId=81,DestinationPort=1812,Protocol=Radius,AuthorizationPolicyMatchedRule=CWA_Redirect,NAS-Port=50117,Framed-MTU=1500,NAS-Port-Type=Ethernet,EAP-Key-Name=,cisco-nas-port=GigabitEthernet1/0/17,AcsSessionID=guest-240/138796808/76,UseCase=Host Lookup,SelectedAuthenticationIdentityStores=Internal Endpoints,ServiceSelectionMatchedRule=MAB,IdentityPolicyMatchedRule=Default,CPMSessionID=0A4D98D1000001F26F0C04D9,EndPointMACAddress=00-0C-29-46-F3-B8,EndPointMatchedProfile=WindowsXP-Workstation,ISEPolicySetName=Default,HostIdentityGroup=Endpoint Identity Groups:Guest_IDG,Device Type=Device Type#All Device Types,Location=Location#All Locations,Device IP Address=10.77.152.209,Called-Station-ID=00:24:F7:73:9A:91,CiscoAVPair=audit-session-id=0A4D98D1000001F26F0C04D9</other_attributes>-</authStatusElements>-
3-10Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
</authStatusList>-</authStatusOutputList>
AcctStatus API コール データの使用方法
ターゲット ノードの最新のデバイスおよびセッションのアカウント情報を取得するために AcctStatus API コールを使用できます。ここでは、次の項目について説明します。
• 「AcctStatus API コールのスキーマ ファイル」(P.3-11)
• 「AcctStatus API コールの呼び出し」(P.3-12)
• 「AcctStatus API コール データ」(P.3-12)
次の時間関連パラメータを設定できます。
• 期間:指定された MAC アドレスに関連付けられた最新アカウントのデバイス レコードの検索と取
得が試行される秒数を定義します。ユーザが設定可能な値の有効範囲は 1 ~ 432000 秒(5 日)で
す。
– 2400 秒(40 分)の値を入力した場合は、指定 MAC アドレスの過去 40 分間のデバイス レコードが必要であることを意味します。
– 0 秒の値を入力した場合は、デフォルト期間の 15 分(900 秒)を指定します。これは、指定 MAC アドレスの過去 15 分間のデバイス レコードが必要であることを意味します。
AcctStatus API コールは、API 出力として、次のアカウント ステータスのデータ フィールドを提供し
ます。
AcctStatus API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="acctStatusOutputList" type="restAcctStatusOutputList"/>
<xs:complexType name="restAcctStatusOutputList"> <xs:sequence> <xs:element name="acctStatusList" type="restAcctStatusList" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType>
<xs:complexType name="restAcctStatusList"> <xs:sequence>
表 3-3 アカウト ステータスのデータ フィールド
データ フィールド 説明
MAC アドレス クライアントの MAC アドレス
audit-session-id 認証セッション ID
パケット入力 受信されたパケットの総数
パケット出力 送信されたパケットの総数
バイト入力 受信された合計バイト数
バイト出力 送信された合計バイト数
セッション時間 現在のセッションの期間
3-11Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
<xs:element name="acctStatusElements" type="restAcctStatus" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="macAddress" type="xs:string"/> <xs:attribute name="username" type="xs:string"/> </xs:complexType>
<xs:complexType name="restAcctStatus"> <xs:sequence> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="paks_in" type="xs:long" minOccurs="0"/> <xs:element name="paks_out" type="xs:long" minOccurs="0"/> <xs:element name="bytes_in" type="xs:long" minOccurs="0"/> <xs:element name="bytes_out" type="xs:long" minOccurs="0"/> <xs:element name="session_time" type="xs:long" minOccurs="0"/> <xs:element name="username" type="xs:string" minOccurs="0"/> <xs:element name="server" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:complexType></xs:schema>
AcctStatus API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2)を参照してくだ
さい。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント
(/ise/mnt/<specific-api-call>/MACAddress/<macaddress>/ <durationofcurrenttime>)に置き換えて、
ターゲット ノードの URL アドレス フィールドに AcctStatus API コールを入力します。
https://acme123/ise/mnt/AcctStatus/MACAddress/00:26:82:7B:D2:51/1200
(注) これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー
ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、
モニタリング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
AcctStatus API コール データ
This XML file does not appear to have any style information associated with it. The document tree is shown below. -<acctStatusOutputList>
3-12Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
-<acctStatusList macAddress="00:25:9C:A3:7D:48">-<acctStatusElements><calling_station_id>00:25:9C:A3:7D:48</calling_station_id><audit_session_id>0acb6b0b0000000B4D0C0DBD</audit_session_id><paks_in>0</paks_in><paks_out>0</paks_out><bytes_in>0</bytes_in><bytes_out>0</bytes_out><session_time>240243</session_time><server>HAREESH-R6-1-PDP1</server></acctStatusElements></acctStatusList></acctStatusOutputList>
3-13Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 3 章 トラブルシューティング用の API コールの使用方法
3-14Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
Cisco Identity ServicesOL-26134-01-J
C H A P T E R 4
認可変更 REST API の使用方法認可変更(CoA)コールは、ターゲット モニタリング ノードの指定されたセッションにコマンドを送
信して次を実行します。
• セッション再認証(Reauth API コールを使用)
• セッション切断(Disconnect API コールを使用)。
次の項では、CoA API の各タイプを説明するほか、スキーマ ファイルの例、各コール発行の手順、お
よび返されるデータのサンプルについて説明します。
• 「Reauth API コールの使用方法」(P.4-1)
• 「Disconnect API コールの使用方法」(P.4-2)
Reauth API コールの使用方法
Reauth API コールは、指定されたセッションに再認証コマンドを送信します。各セッションは、関連
づけられている値があり、次のいずれかになります。
• 0:REAUTH_TYPE_DEFAULT
• 1:REAUTH_TYPE_LAST
• 2:REAUTH_TYPE_RERUN
Reauth API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema"> <xs:element name="remoteCoA" type="coAResult"/><xs:complexType name="coAResult"> <xs:sequence> <xs:element name="results" type="xs:boolean" minOccurs="0"/> </xs:sequence> <xs:attribute name="requestType" type="xs:string"/> </xs:complexType></xs:schema>
Reauth API コールの呼び出し
(注) ターゲット ノードが、有効なモニタリング ノードであることを確認している必要があります。ノード
のペルソナを確認するには、「モニタリング ノードの確認」(P.1-2) を参照してください。
4-1 Engine API リファレンス ガイド、リリース 1.2
第 4 章 認可変更 REST API の使用方法
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント
(/ise/mnt/CoA/<specific-api-call>/<macaddress>/ <reauthtype>/<nasipaddress>/<destinationipaddress>)に置き換えて、ターゲット ノードの URL アド
レス フィールドに Reauth API コールを入力します。
https://acme123/ise/mnt/CoA/Reauth/server12/00:26:82:7B:D2:51/2/10.10.10.10
(注) コールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィールドに慎
重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、モニタ
リング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
Reauth API コール データ
Reauth API コールは次のいずれかの結果を返します。
• 「True」はコマンドが正常に実行されたことを示します。
• 「False」はコマンドが実行されなかったことを意味します。
This XML file does not appear to have any style information associated with it. The document tree is shown below.
-<remoteCoA requestType="reauth"><results>true</results></remoteCoA>
Disconnect API コールの使用方法
Disconnect API コールは、指定されたセッションに切断コマンドを送信します。各ポートは、関連づ
けられている値があり、次のいずれかになります。
• 0:DYNAMIC_AUTHZ_PORT_DEFAULT
• 1:DYNAMIC_AUTHZ_PORT_BOUNCE
• 2:DYNAMIC_AUTHZ_PORT_SHUTDOWN
Disconnect API コールのスキーマ ファイル
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<xs:element name="remoteCoA" type="coAResult"/>
<xs:complexType name="coAResult"> <xs:sequence>
4-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 4 章 認可変更 REST API の使用方法
<xs:element name="results" type="xs:boolean" minOccurs="0"/> </xs:sequence> <xs:attribute name="requestType" type="xs:string"/> </xs:complexType></xs:schema>
Disconnect API コールの呼び出し
(注) API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。
ノードのペルソナを確認するには、「モニタリング ノードの確認」(P.1-2) を参照してください。
ステップ 1 ターゲット モニタリング ノードにログインします。
たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。
https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash
ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント
(/ise/mnt/CoA/<Disconnect>/<serverhostname>/ <macaddress>/<portoptiontype>/<nasipaddress>/<destinationipaddress>)に置き換えて、ターゲット ノードの URL アドレス フィールドに Disconnect API コールを入力します。
https://acme123/ise/mnt/CoA/Disconnect/server12/00:26:82:7B:D2:51/2/10.10.10.10
(注) コールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィールドに慎
重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、モニタ
リング ノードを表します。
ステップ 3 Enter キーを押して API コールを発行します。
Disconnect API コール データ
Disconnect API コールは次のいずれかの結果を返します。
• 「True」はコマンドが正常に実行されたことを示します。
• 「False」はコマンドが実行されなかったことを意味します。
This XML file does not appear to have any style information associated with it. The document tree is shown below.
-<remoteCoA requestType="reauth"><results>true</results></remoteCoA>
4-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 4 章 認可変更 REST API の使用方法
4-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
P A R T 2
外部 RESTful サービス API
Cisco Identity ServicesOL-26134-01-J
C H A P T E R 5
外部 RESTful サービス API の概要外部 RESTful サービスは HTTPS および REST 方法論に基づいており、ポート 9060 を使用します。こ
の章では、Cisco ISE でサポートされている外部 RESTful サービス アプリケーション プログラミング インターフェイス(API)、および作成、読み取り、更新、削除(CRUD)操作に使用される関連 API コールを使用するためのガイドラインおよび例について説明します。
これらの API は、ユーザ、エンドポイント、エンドポイント グループ、ID グループおよび SGT が ISE データに対する CRUD 操作を実行できるようにすることによって、ISE 設定データへのインター
フェイスを提供します。
HTTPS ポート 9060 はデフォルトで閉じられています。API を使用する最初の要件は、ISE CLI から外
部 RESTful サービスをイネーブルにすることです。
(注) CLI からイネーブルにする前に外部 RESTful サービス API を起動しようとすると、403- "forbidden" のような応答ステータスを受信します。
外部 RESTful サービスにはデバッグ ロギング カテゴリがあり、Cisco ISE のデバッグ ロギングのペー
ジでイネーブルにできます。詳細については、『Cisco Identity Services Engine User Guide, Release 1.2』の「Debug Log Configuration Options」セクションを参照してください。
すべての Representational State Transfer(REST)操作は、システムで監査され、記録されます。
関連項目
「外部 RESTful API サービスのイネーブル化」(P.5-2)
データの検証
サーバに送信された CRUD データは、Cisco ISE が GUI に対して持つルールと同じルールで検証され
ます。すべての検証は、検証レイヤに集中化されます。ポストされたすべての XML データはスキーマ
と照合して検証されます。
次の 2 種類の検証が実行されます。データ検証および構造検証。データ検証は、データが Cisco ISE に準拠していることを検証します。たとえば、必須フィールド、フィールド長、タイプなど。構造検証は
スキーマを検証します。たとえば、フィールドの順序、名前、など。
5-1 Engine API リファレンス ガイド、リリース 1.2
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービスの名前空間
次のようなリソースの名前やユニフォーム リソース識別子(URI)内の厳密な名前空間を維持する必
要があります。
• 内部ユーザ ID、エンドポイント、エンドポイント グループおよび ID グループ。
• セキュリティ グループ タグ(SGT)のセキュリティ グループ アクセス(SGA)。
• 応答メッセージに表示される検索結果など、他のすべての外部 RESTful サービス リソースに対す
る外部 RESTful サービス。
Accept/Content-Type ヘッダーには、次の名前空間が含まれている必要があります。
application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml
例:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml
要求 XML には、次の名前空間の定義が含まれている必要があります。
identity.ers.ise.cisco.com
sga.ers.ise.cisco.com
例:<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns:endpoint xmlns:ns="identity.ers.ise.cisco.com" id="id">
<group>Profiled</group>
...
</ns:endpoint>
外部 RESTful API サービスのイネーブル化
ステップ 1 application configure ise コマンドを実行します。
ステップ 2 次のオプションが画面に表示されます。
[1]Reset Active Directory settings to defaults[2]Display Active Directory settings[3]Configure Active Directory settings[4]Restart/Apply Active Directory settings[5]Clear Active Directory Trusts Cache and restart/apply Active Directory settings[6]Enable/Disable External RESTful Services API[7]Reset M&T Session Database[8]Rebuild M&T Unusable Indexes[9]Purge M&T Operational Data[10]Reset M&T Database[11]Refresh M&T Database Statistics[12]Display Profiler Statistics[13]Exit
ステップ 3 6 と入力して Enter キーを押します。
次のメッセージが表示されます。
Current External RESTful Services State: disabled
By proceeding, External RESTful Services port 9060 will be opened and External RESTful Services API will be enabled
Are you sure you want to proceed?y/n [n]:
5-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
ステップ 4 y を入力して、Enter を押します。
次のメッセージが表示されます。
Enabling External RESTful Services port 9060...
External RESTful Services API enabled
ステップ 5 次の URL の外部 RESTful サービス SDK ページにアクセスして、外部サービス RESTful API がイネー
ブルになっているかどうかを確認してください。https://<ipaddress>:9060/ers/sdk。SDK にアクセスす
るには、常にポート番号を 9060 として追加する必要があります。
外部 RESTful サービス管理者
API を使用するには、外部 RESTful サービス管理者グループで ISE 管理者を作成する必要があります。
管理者ユーザの作成の詳細については、『Cisco Identity Services User Guide, Release 1.2』の次の項を
参照してください。
http://www.cisco.com/en/US/docs/security/ise/1.2/user_guide/ise_man_admin.html#wp1579129
REST クライアント
外部 RESTful サービス API を使用するには、HTTPS クライアントが必要です。Curl のコマンドを使
用してサーバに要求をポストすることも、独自の Python スクリプトまたは Java クライアントを書き込
むこともできます。Chrome ブラウザの POSTMAN プラグインなどの HTTP ポスティング ツールを使
用することもできます。これで、外部 RESTful サービスがイネーブルになり、準備ができたので、使
用し始めることができます。
関連項目
「外部 RESTful サービス API コールの呼び出し」(P.6-1)
第 6 章「REST API クライアントの使用方法」
リソースのバージョンと MediaType外部 RESTful サービスでは、リソースの表現および要求本体は通常、XML で符号化されます
(RFC4267 で指定されている)。リソースの各タイプは、次のパターンに一致する独自のメディアタイ
プを持ちます。
application/vnd.com.cisco.ise.xxx.yyy.version+xml;charset=UTF-8
ここで、「xxx」は名前空間を表し、「yyy」はリソースを表し、バージョンはクライアントが使用する
リソースのバージョンを指定します。(RFC 3023)。たとえば、スキーマ バージョン 1.0 の内部ユーザ
のリソースの MediaType は次のように表されます。
application/vnd.com.cisco.ise.identity.internaluser.1.0+xml;charset=UTF-8
外部 RESTful サービス API は、XML で使用可能なすべてのリソースの表現を提供する必要がありま
す。要求されたメディア タイプが Cisco ISE サーバでサポートされていない場合は、いつでも
「Resource version is no longer supported(リソースのバージョンはサポートされなくなりました)」な
どの原因のリストとともにステータス 415 が返されます。
5-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス要求
外部 RESTful サービスに行われる要求では、表 5-1 で説明されているように複数の固有の HTTP ヘッ
ダーが使用されます。
外部 RESTful サービス応答ヘッダー
外部 RESTful サービスによって返される要求では、表 5-2 で説明されているように複数の固有の HTTP ヘッダーが使用されます。
共通の外部 RESTful サービス HTTP 応答コード
外部 RESTful サービスは、表 5-3 で説明されているように共通の HTTP 応答コードを返します。応答
ヘッダーで返されるステータス コードに加えて、各要求には、要求の性質に応じて、追加の XML コンテンツがある場合があります。
表 5-1 外部 RESTful サービス要求ヘッダー
ヘッダー サポートされる値 用途 必須
Accept メディア タイプまたはメディア タイプ パターンのカンマ区切りリ
スト。
このクライアントが受け入れを準備
しているメディア タイプを、リソー
スのバージョンを含めて、サーバに
示します。
GET/GET ALL/DELETE/GET VERSION 操作(これらに
は、メッセージ本文は含まれ
ません)で、はい。
Authorization 「Basic」に加えてユーザ名とパス
ワード(RFC 2617 に準拠)。
この要求を実行する許可ユーザを識
別します。
すべての要求で、はい。
Content-Length 要求メッセージ本文の長さ(バイ
ト単位)。
メッセージ本文のサイズを示しま
す。
メッセージ本文を含む要求
で、はい。
Content-Type 要求メッセージ本文を示すメディ
ア タイプ。
要求メッセージ本文の表現と構文に
ついて示します。
メッセージ本文を含む要求
で、はい。
表 5-2 外部 RESTful サービス応答ヘッダー
ヘッダー サポートされる値 用途 必須
Content-Length 応答メッセージ本文の長さ(バ
イト単位)。
メッセージ本文のサイズを示し
ます。
メッセージ本文を含む応答で、
はい。
Content-Type 応答メッセージ本文を示すメ
ディア タイプ。
応答メッセージ本文の表現と構
文について示します。
メッセージ本文を含む応答で、
はい。
Location 新しく作成されたリソースの正
規の URI。新しく作成されたリソースの表
現を要求するために使用できる
新しい URI を返します。
URI でアクセスできる新しい
サーバ側リソースを作成する要
求への応答で、はい。
5-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部サービス RESTful API でのバージョン管理
外部サービス RESTful API は、バージョン管理メカニズムによって以前の Cisco ISE バージョンとの
下位互換性を提供します。Cisco ISE Release 1.2 は最初の外部 RESTful サービス リリースなので、す
べてのリソースはバージョン 1.0 で、下位互換性は必要ではありません。
表 5-3 外部 RESTful サービスから返された HTTP 応答コードの説明
HTTP ステータス 説明
200 OK 要求は正常に完了しました。この要求により URI でアドレス指定可能な新しい
リソースが作成され、新しいリソースの表現を含む応答本文が返される場合
は、新規作成されたリソースの正規の URI を含む Location ヘッダーとともに 200 ステータスが返されます。
201 Created 新しいリソースを作成する要求は完了しましたが、新しいリソースの表現を含
む応答本文は返されていません。新しく作成されたリソースの正規の URI を含
む Location ヘッダーも返す必要があります。
202 Accepted 要求が受け入れられ処理されていますが、処理が完了していません。HTTP/1.1 仕様に従って、返されるエンティティ(ある場合)は、要求の現在のステータ
スの説明、およびステータス モニタへのポインタまたは要求の実行が期待でき
る時間の概算へのポインタを含む必要があります。
204 No Content サーバは要求を満たしましたが、応答メッセージ本文を返す必要はありませ
ん。
400 Bad Request 欠落した情報または無効な情報が含まれるため(入力フィールドの検証エラー
または必要な値の欠落など)、要求を処理できませんでした。
401 Unauthorized 要求に含まれる認証クレデンシャルが欠落しているか、または無効です。
403 Forbidden サーバはクレデンシャルを認識しましたが、この要求を実行する許可を所有し
ていません。
404 Not Found 要求は、存在しないリソースの URI を指定しました。
405 Method Not Allowed
要求に指定された HTTP 動詞(DELETE、GET、HEAD、POST、PUT)は、
この要求 URI でサポートされていません。
406 Not Acceptable この要求によって識別されたリソースは、要求の Accept ヘッダーのメディア タイプの 1 つに対応する表現を生成できません。
409 Conflict サーバによってサポートされるリソースの現在の状態に競合が生じるため、作
成または更新要求を完了できませんでした(たとえば、既存のリソースに割り
当てられている一意の ID で新しいリソースを作成する試行)。
415 Unsupported Media Type
Accept ヘッダーに指定されたメディア タイプは、サーバによってサポートさ
れていません。これは、クライアント リソースのバージョンがサーバでサポー
トされなくなった場合の共通の応答です。
429 Too many requests
同時に非常に多くの RESTful サービス要求があります。
500 Internal Server Error
サーバで、要求の処理を妨げる予期しない状態が発生しました。
501 Not Implemented
サーバは(現在)要求を処理するために必要な機能をサポートしていません。
503 Service Unavailable
サーバの一時的な過負荷またはメンテナンスのため、サーバは現在要求を処理
できません。
5-5Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
それぞれの RESTful リソースにはモデル バージョン(major.minor)があります。バージョンは、次の
ような構文を持つ要求ヘッダーの一部である必要があります。
application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml
たとえば、内部ユーザ リソース バージョン 1.0 を取得するには、次の要求を渡します。
DELETE /ers/config/internaluser/333 HTTP/1.1Host: cisco.comAuthorization: Basic xxxxxxxxxxxxxxxxxxxAccept: application/vnd.com.cisco.ise.identity.internaluser.1.0+xml
要求の認証と承認後、バージョン一致のチェックが実行され、次のいずれかの一致の結果になります。
さらに、各リソースにはサーバでサポートされているバージョンのリストを取得する API があります。
外部サービス RESTful API でのページング
検索結果は、デフォルトでページあたり 20 のリソースでページ付けされます。ページ番号付けはペー
ジ番号 0 から開始します。1 ページあたりの最大リソース数は 100 を超えることはできません。ページ
ング パラメータを使用してデフォルトを上書きできます。ページング パラメータは、クエリー パラ
メータを使用して URI で渡されます。
たとえば、「名前」フィールドで昇順にソートされた内部ユーザの最初の 50 レコードを取得するには、
次の要求を渡します。
GET/ers/config/internaluser/?page=0&size=50&sortacs=name.EQ.Finance HTTP/1.1
次のページング パラメータを使用できます。
表 5-4 バージョン一致の結果
バージョン一致 結果
送信されたバージョンなし サーバは、ステータス 415 の「Unsupported Media Type」を返します。
クライアントのバージョンとサーバのバー
ジョンは等しい
サーバは、要求の処理を続行します。
クライアントのマイナー バージョンとサーバ
のマイナー バージョンは等しくない
サーバは、バージョン ギャップを示す応答の警告
メッセージを追加し、要求の処理を続行します。
クライアントとサーバのメジャー バージョン
が一致しません サーバは、ステータス 415 および対応するエラー メッセージを返します。
表 5-5 ページング パラメータ
パラメータ 説明
page ページの開始インデックス。デフォルト値は 0 です。
size ページ サイズ。デフォルト値は 10 で、最大サイズは 100 です。
sortbyasc 昇順でフィールドをソートします。デフォルト値は "name" フィール
ドです。
sortbydsc 降順でフィールドをソートします。デフォルト値は "name" フィール
ドです。
5-6Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部サービス RESTful API でのソート
デフォルトでは、検索結果はカラム名に従って昇順でソートされます。ソート パラメータを指定して、
デフォルトのソート設定を上書きできます。クエリー パラメータを使用してソート パラメータを URI で渡すことができます。デフォルト設定を上書きするために 'sortasc'(昇順)または 'sortdsc'(降順)
パラメータを指定できます。
たとえば、内部ユーザの最初の 50 レコードを「名前」フィールドで降順にソートするには、次の要求
を渡します。
GET /ers/config/internaluser?filter=name.STARTW.a&filter=identityGroup.EQ.Finance&size=50&page=0&sortdsc=name
外部サービス RESTful API でのフィルタリング
フィルタのクエリー文字列パラメータを使用して簡単なフィルタ操作を実行できます。複数のフィルタ
を送信できます。すべてのフィルタ基準に共通の論理演算子はデフォルトで AND です。
"filtertype=or" のクエリー文字列パラメータを使用してこれを変更できます。
各リソース データ モデルの説明には、属性がフィルタ処理されたフィールドかどうか指定する必要が
あります。
たとえば、名が "a" で始まり "Finance" ID グループに属する内部ユーザを取得するには、次の要求を渡
します。
GET /ers/config/internaluser/?page=0&size=20&sortacs=name&filter=name.STARTSW.a&filter=identityGroup.EQ.Finance HTTP/1.1
次のフィルタ パラメータを使用できます。
表 5-6 使用可能なフィルタ パラメータ
パラメータ 説明
EQ 等しい
GT より大きい
LT より小さい
STARTSW から開始
ENDSW で終了
CONTAINS が次の文字列を含む(Contains)
NEQ 等しくない。
NSTARTSW から開始しない
NENDSW で終了しない
NCONTAINS 含まない
5-7Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス データ モデル
検索結果内のリンクの例
<ns2:searchResult xmlns:ns2="ers.ise.cisco.com" total="1163"><link rel="self" href="http://cisco.com/ers/config/internaluser?page=0&size=20" type="application/xml"/><link rel="next" href="http://cisco.com/ers/config/internaluser?page=20&size=20" type="application/xml"/><resources><link rel="john doe" href="http://cisco.com/ers/config/internaluser/333" type="application/xml"/><link rel="jeff smit" href="http://cisco.com/ers/config/internaluser/444" type="application/xml"/>...</resources></ns2:searchResult>
外部 RESTful サービス データ モデル外部 RESTful サービス データ モデルは、外部 RESTful API サービスが操作する RESTful リソースの
表現を定義します。表現はフィールドから構成され、各フィールドは XML ディクショナリを使用して
符号化された名前と値を持ちます。値は、数値または文字列リテラル、リスト、またはディクショナリ
で、それぞれ XML で表現されます。
リソースの各タイプには、独自のインターネット メディア タイプが含まれます。内部メディア タイプ
は、次のパターンに準拠している必要があります。
application/vnd.com.cisco.ise.resource.version+xml;charset=UTF-8
各 RESTful リソースに対応するメディア タイプはセクション ヘッダーで角カッコに含まれています。
リソースのモデルの説明では、[Post] で注釈を付けられたフィールドは、新しいリソースを作成するた
めに使用される POST 要求に含まれます。同様に、[PUT] で注釈を付けられたフィールドは、既存の
リソースのプロパティを更新するために使用される PUT 要求に含まれます。注釈を付けられていない
フィールドを PUT または POST 要求の要求本体に含めないでください。 そのような要求はサーバに
よって無視されます。
表 5-7 リソースごとのフィルタリング可能な属性のリスト
リソース フィルタリング可能な属性
エンドポイント mac、portalUser、profile、profileId、staticGroupAssignment、staticProfileAssignment
内部ユーザ name
エンドポイント ID グループ name
ID グループ name
SGT name
プロファイラ ポリシー(読み取り専用) name
5-8Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス データ モデル
基本リソース
各リソースには、次の表に記載されている一連の属性またはフィールドを構成する基本表現が含まれま
す。
内部ユーザ
内部ユーザのインターネット メディア タイプは次の形式に準拠している必要があります。
application/vnd.com.cisco.ise.identity.internaluser.1.0+xml
内部ユーザのデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれます。
表 5-8 基本表現属性
フィールド名 タイプ デフォルト値
発生回
数 説明
URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、
このユーザがアクセスできるリソースのクライ
アントの表現が更新されます。
id String — 1 リソースの uid [PUT]
name String — 1 リソースの名前 [POST][PUT]
description String — 0..1 リソースの説明 [POST][PUT]
表 5-9 内部ユーザのデータ モデル - 属性
フィールド名 タイプ デフォルト値
発生回
数 説明
URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、
このユーザがアクセスできるリソースのクライ
アントの表現が更新されます。
id String — 1 リソースの uid [PUT]
name String — 1 内部ユーザ名 [POST][PUT]
description String — 0..1 ユーザの説明 [POST][PUT]
enabled ブール値 true 1 ユーザがイネーブルかどうかを示す [POST][PUT]
email String — 0..1 ユーザの電子メール アドレス [POST][PUT]
password String — 1 ユーザのパスワード [POST][PUT]
firstName String — 1 ユーザの名 [POST][PUT]
lastName String — 1 ユーザの姓 [POST][PUT]
changePassword ブール値 true 1 次回のログイン試行時にパスワード変更を強制
する
identityGroups String — 1 identityGroup ID がカンマで区切られた文字列。
costumeAttributes マップ(K、V) — 0..1 属性の名前を表すキー ストリングと属性の値を
表す値ストリングとのマッピング
5-9Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス データ モデル
エンドポイント
内部ユーザのインターネット メディア タイプは次の形式に準拠している必要があります。
application/vnd.com.cisco.ise.identity.endpoint.1.0+xml
エンドポイントのデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれ
ます。
エンドポイント ID グループ
エンドポイント ID グループのインターネット メディア タイプは次の形式に準拠している必要がありま
す。
application/vnd.com.cisco.ise.identity.endpointidentitygroup.1.0+xml
エンドポイント ID グループのデータ モデルには、次の表に記載されている一連の属性またはフィール
ドが含まれます。
表 5-10 エンドポイントのデータ モデル - 属性
フィールド名 タイプ デフォルト値
発生回
数 説明
URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、
このエンドポイントがアクセスできるリソース
のクライアントの表現が更新されます。
id String — 1 リソースの uid [PUT]
description String — 0..1 エンドポイントの説明 [POST][PUT]
macAddress String true 1 エンドポイントの MAC アドレス
profile String — 0..1 エンドポイント ポリシー
profileID String — 0..1 プロファイル ID
EndPointIdentityGroupId
String — 0..1 次回のログイン試行時にパスワード変更を強制
する
StaticIdGroupAssignment
ブール値 false 1 ID グループの ID がカンマで区切られた文字列
portalUser String — 0..1 属性名を表すキー ストリングと属性値を表す値
ストリングとのマッピング。
IdentityStore String — — —
identityStoreId String — — —
表 5-11 エンドポイント ID グループのデータ モデル - 属性
フィールド名 タイプ デフォルト値
発生回
数 説明
URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、
このユーザがアクセスできるリソースのクライ
アントの表現が更新されます。
id String — 1 リソースの uid [PUT]
name String — 1 ID グループの名前 [POST][PUT]
5-10Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス データ モデル
ID グループ
ID グループのインターネット メディア タイプは次の形式に準拠している必要があります。
application/vnd.com.cisco.ise.identity.identitygroup.1.0+xml
ID グループのデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれま
す。
SGT
SGT のインターネット メディア タイプは次の形式に準拠している必要があります。
application/vnd.com.cisco.ise.sga.sgt.1.0+xml
SGT のデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれます。
description String — 0..1 ID グループの説明 [POST][PUT]
systemDefined ブール値 — 1 —
表 5-11 エンドポイント ID グループのデータ モデル - 属性 (続き)
フィールド名 タイプ デフォルト値
発生回
数 説明
表 5-12 ID グループのデータ モデル - 属性
フィールド名 タイプ デフォルト値
発生回
数 説明
URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、
このユーザがアクセスできるリソースのクライ
アントの表現が更新されます。
id String — 1 リソースの uid [PUT]
name String — 1 ID グループの名前 [POST][PUT]
description String — 0..1 ID グループの説明 [POST][PUT]
表 5-13 SGT のデータ モデル - 属性
フィールド名 タイプ デフォルト値
発生回
数 説明
URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、
このユーザがアクセスできるリソースのクライ
アントの表現が更新されます。
id String — 1 リソースの uid [PUT]
name String — 1 SGT の名前 [POST][PUT]
description String — 0..1 SGT の説明 [POST][PUT]
value String — 1 SGT 値
generatedId String — 1 SGT によって生成された ID。この属性は読み取
り専用です
isTagFromRange ブール値 — 1 isTagFromRange
5-11Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス データ モデル
VersionInfo
VersionInfo のインターネット メディア タイプは次の形式に準拠している必要があります。
application/vnd.com.cisco.ise.ers.versioninfo.1.0+xml
VersionInfo のデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれま
す。
SearchResult
SearchResult のインターネット メディア タイプは次の形式に準拠している必要があります。
application/vnd.com.cisco.ise.ers.searchresult.1.0+xml
SearchResult のデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれま
す。
外部 RESTful サービス応答
外部 RESTful サービス応答のインターネット メディア タイプは次の形式に準拠している必要がありま
す。
application/vnd.com.cisco.ise.ersresponse.1.0+xml
外部 RESTful サービス応答のデータ モデルには、次の表に記載されている一連の属性またはフィール
ドが含まれます。
表 5-14 VersionInfo のデータ モデル - 属性
フィールド名 タイプ
発生回
数 説明
supportedVersions String 1 このデータ モデルでサポートされているバージョンを説明する CSV。
currentServerVersion
String 1 サーバ データ モデル実装のバージョン。
表 5-15 SearchResult のデータ モデル - 属性
フィールド名 タイプ
発生回
数 説明
total String 1 検索結果の総数
type String 1 検索を実行するリソース タイプ
self ハイパーリンク 1 現在の表現を更新するリンク
next ハイパーリンク 0..1 次の結果ページを取得するリンク
Prev ハイパーリンク 0..1 前の結果ページを取得するリンク
resources BaseResource[] 0..1 基本リソースの集合
5-12Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス データ モデル
応答メッセージ
応答メッセージのインターネット メディア タイプは次の形式に準拠している必要があります。
application/vnd.com.cisco.ise.ersresponse.1.0+xml
応答メッセージのデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれ
ます。
エラー応答
要求が失敗するときは常に、問題を説明するために、HTTP エラー ステータスと応答の内容がクライ
アントに返されます。次の表で、発生する可能性のあるエラーについて説明します。
表 5-16 外部 RESTful サービス応答のデータ モデル - 属性
フィールド名 タイプ
発生回
数 説明
operation String 1 実行された操作を説明する(たとえば、[put]update-internaluser)
targetURI ハイパーリンク 0..1 応答が続く要求 URI
messages ResponseMessage[] 0..1 サーバからのメッセージの配列
表 5-17 応答メッセージのデータ モデル - 属性
フィールド名 タイプ
発生回
数 説明
title String 1 このメッセージで報告される問題の性質を説明するローカライズされた
テキスト。
type String 1 次の値を使用して、メッセージ タイプを示します。
• INFO
• 警告
• エラー
code String 0..1 このメッセージで報告されるエラーのタイプを識別するシンボリック エラー コード(たとえば、検証エラー)
stackTrace String 0..1 このメッセージに関連付けられたスタック トレース(デバッグ モードの
み)。
hint String 0..1 問題の性質をさらに説明するローカライズされたテキストで、クライア
ントが試行可能な回避策を含むことがあります。
表 5-18 エラー コード
エラー コード 説明 HTTP ステータス
ERS_INTERNAL_EXCEPTION 実行時に発生する予期しない内部サーバ エラー。 500
ERS_VERSION_EXCEPTION 要求内容で送信されるリソースのバージョンがサー
バによってサポートされなくなった場合に発生しま
す。
415
5-13Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス API のセキュリティ機能
更新されるフィールド
更新されるフィールドのインターネット メディア タイプは次の形式に準拠している必要があります。
application/vnd.com.cisco.ise.ers.updatedfields.1.0+xml
更新されるフィールドのデータ モデルには、次の表に記載されている一連の属性またはフィールドが
含まれます。
外部 RESTful サービス API のセキュリティ機能外部 RESTful サービス API はデフォルトでディセーブルであり、管理権限を持つユーザが明示的にイ
ネーブルにする必要があります。外部 RESTful サービス API は、HTTPS アクセス(ポート 9060 を使
用)および基本 HTTP 認証だけをサポートします。プレーンな HTTP アクセスはサポートされていま
せん。外部 RESTful サービス API 実装では、パスワードの総当たり攻撃を阻止するためのメカニズム
を使用します。
ERS_MEDIA_TYPE_EXCEPTION ACCEPT または Content-Type ヘッダーでクライア
ントから送信されるメディア タイプが無効である場
合に発生します。
415
ERS_UNSUPPORTED_RESOURCE_EXCEPTION
URI に表示されているようには、リソースがサーバ
でサポートされていない場合に発生します。
400
ERS_UNSUPPORTED_METHOD_EXCEPTION 要求メソッド タイプが、指定した URI ではサポート
されていない場合に発生します。
400
ERS_QUERY_VALIDATION_EXCEPTION 検索フィルタまたはページング パラメータが無効で
ある場合に発生します。
400
ERS_SCHEMA_VALIDATION_EXCEPTION スキーマに対するリソースの検証に失敗した場合に
発生します。
400
ERS_CONVERSION_EXCEPTION 一部の内部変換のために発生し、
INTERNAL_EXCEPTION として処理される必要が
あります。
500
ERS_APPLICATION_RESOURCE_VALIDATION_EXCEPTION
リソースの意味検証が要件を満たしていない場合に
発生します。
400
ERS_CRUD_OPERATION_EXCEPTION CRUD 操作の実行中に発生し、
INTERNAL_EXCEPTION として処理される必要が
あります。
500
表 5-18 エラー コード (続き)
エラー コード 説明 HTTP ステータス
表 5-19 更新されるフィールドのデータ モデル - 属性
フィールド名 タイプ
発生回
数 説明
field String 1 変更されたフィールド名
oldValue String 1 フィールドの古い値
newValue String 1 フィールドの変更後の値
5-14Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス API のセキュリティ機能
外部 RESTful サービス認証
外部 RESTful サービス API は HTTPS でのみ実行され、基本認証をサポートします。認証クレデン
シャルは、暗号化され、要求ヘッダーの一部となっています。認証は、Tomcat サーバに対応する基本
認証メカニズムを使用して実装されます。
(注) 外部 RESTful サービス アプリケーションが完全にステートレスなので、セッションは管理されませ
ん。
外部 RESTful サービス許可
外部 RESTful サービス API では、読み取り専用とフルアクセス レベルの認証を提供します。外部 RESTful サービスを使用して操作を実行するための特権をユーザに割り当てる必要があります。次の 2 種類のロールを割り当てることができます。
• 外部 RESTful サービス スーパー ユーザ:外部 RESTful サービス API にフル アクセスできます
(GET、POST、DELETE、PUT)。
• 外部 RESTful サービス ゲスト:読み取り専用アクセスができます(GET 要求のみ)。
必要な権限がないのに、外部 RESTful サービス操作を実行しようとすると、エラー応答を受信します。
関連項目
• 新しい Cisco ISE 管理者の作成
インジェクション攻撃
外部 RESTful サービス Web アプリケーションは、クロス サイト スクリプティング、SQL/HQL イン
ジェクション、シェル インジェクション、およびファイル名操作攻撃を含むあらゆる種類のインジェ
クション攻撃に対して保護されています。入力の検証も十分行われます。
総当たり攻撃
外部 RESTful サービス API では、パスワードの総当たり攻撃を防止するためのメカニズムを提供しま
す。ユーザが Cisco ISE GUI で定義されているパスワード ポリシーに違反した場合、そのようなユー
ザ プロファイルは中断またはディセーブルされ、401 ステータス メッセージが返されます。
接続制限
外部 RESTful サービスが使用するポート(ポート 9060 上の https)は、同時に 10 以下の接続しか受け
入れません。このメカニズムは、クライアントが API を誤用したり(CPU スタベーション)、ドキュメ
ントを攻撃したりできないようにします。
5-15Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
ISE 導入での外部 RESTful サービス
ISE 導入での外部 RESTful サービスすべての外部 RESTful サービス要求は、プライマリ ノードに対してのみ有効です。セカンダリ ノード
は、読み取りアクセス(GET 要求)のみできます。
外部 RESTful サービス SDK独自のツールを作成するために、外部 RESTful サービスのソフトウェア開発キット(SDK)ページを
使用できます。次の URL からそのページにアクセスします。https://<ipaddress>:9060/ers/sdk
[外部 RESTful サービス SDK(External RESTful Services SDK)] ページには、管理者ユーザだけが
アクセスできます。次の情報が含まれています。
• 使用可能なすべての API のリスト、および要求構造と応答構造を含む xml の例
• ダウンロード可能なスキーマ ファイル
• 『Cisco ISE API Reference Guide』
• 外部 RESTful サービス クライアントの Java デモ アプリケーション
使用可能なすべての機能については図 5-1 を参照してください。
図 5-1 外部 RESTful サービス SDK
5-16Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス システム フロー
外部 RESTful サービス スキーマ ファイルのダウンロード
外部 RESTful サービス SDK には、外部 RESTful サービス API でサポートされる次の XSD スキーマ ファイルが付属しています。
• ers.xsd
• identity.xsd
• sga.xsd
ステップ 1 次の URL を使用して [外部 RESTful サービス SDK(External RESTful Services SDK)] ページにロ
グインします。
https://<ipaddress>:9060/ers/sdk
ステップ 2 外部 RESTful サービス管理者としてログインします。
ステップ 3 [ダウンロード(Downloads)] の下で使用できる [スキーマ ファイル(Schema Files)] をクリックし
ます。
JAXB などの使用可能なツールとともにこのファイルを使用して、スキーマ クラスを生成できます。
HTTP クライアント コードを開発するか、またはサード パーティ HTTP クライアント コードを使用し
て、XSD ファイルから生成されたスキーマ クラスと統合できます。
(注) コンテンツに送信されたすべての XML データはスキーマと照合して検証されます。したがって、
XML のフィールド順序と構文はスキーマに表示されるものと同じである必要があります。そうでない
場合、Bad Request ステータス コードを受信します。
外部 RESTful サービス システム フロー共通の外部 RESTful サービス フローは常に、クライアントから送信される HTTPS 要求とサーバから
の HTTPS 応答から構成されます。フローは、要求タイプ、URI、要求ヘッダー、応答ヘッダー、およ
び応答の内容によって異なります。
外部 RESTful サービスの成功フロー シーケンス
共通のフローは常に、クライアントから送信される HTTPS 要求と ISE サーバからの HTTPS 応答から
構成されます。フローは、要求タイプ、URI、要求ヘッダー、応答ヘッダーおよび応答の内容によって
異なります。要求が成功すると、要求されたアクションが正常に実行されたことを示すために、一般に 200(OK)、201(Created)または 204(No Content)の HTTP ステータス コードが返されます。さ
らに、それらには、要求された情報の表現を含む応答メッセージ本文(適切なメディア タイプ)が含
まれる場合があります。ただし、いくつかの点で失敗する可能性もあります。さまざまな基礎となる原
因が、範囲 400 ~ 499(クライアント側エラー)または 500 ~ 599(サーバ側の問題)のさまざまな HTTP ステータス コードによって記述されています。各要求タイプの説明では、要求のタイプによっ
て返される可能性があるステータス コードをリストする必要があります。
5-17Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス システム フロー
次の図に、外部 RESTful サービスの成功フローの例を示します。
図 5-2 外部 RESTful サービスの成功フロー シーケンス
関連項目
「共通の外部 RESTful サービス HTTP 応答コード」(P.5-4)
外部 RESTful サービスの失敗フロー シーケンス
要求処理中に、いくつかの点で失敗する可能性もあります。さまざまな基礎となる原因が、範囲 400 ~ 499(クライアント側エラー)または 500 ~ 599(サーバ側の問題)のさまざまな HTTP ステータス コードによって記述されています。各要求タイプの説明では、要求のタイプによって返される可能性が
あるステータス コードをリストする必要があります。応答がエラー ステータス コード(400 ~ 499 または 500 ~ 599)と共に返される場合、サーバは失敗の原因を記述したメッセージ データ モデルを含
む、0 以上のメッセージ データ モデルを含む、応答メッセージ本文を返す必要があります。このよう
なメッセージのテキスト値は、たとえば、クライアント側のアプリケーションの人間のユーザと通信す
るために使用される場合があります。
失敗したフローでは、応答の内容に障害の原因となったエラー メッセージのリストが含まれます。
5-18Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス システム フロー
次の図に、外部 RESTful サービスの失敗フローの例を示します。
図 5-3 外部 RESTful サービスの失敗フロー シーケンス
関連項目
「共通の外部 RESTful サービス HTTP 応答コード」(P.5-4)
5-19Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 5 章 外部 RESTful サービス API の概要
外部 RESTful サービス システム フロー
5-20Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
Cisco Identity ServicesOL-26134-01-J
C H A P T E R 6
外部 RESTful サービス コール• 「外部 RESTful サービス API コールの呼び出し」(P.6-1)
• 「GetVersion API コール」(P.6-1)
• 「内部ユーザの外部 RESTful サービス API コール」(P.6-2)
• 「エンドポイントの外部 RESTful サービス API コール」(P.6-9)
• 「エンドポイント ID グループの外部 RESTful サービス API コール」(P.6-16)
• 「ID グループの外部 RESTful サービス API コール」(P.6-25)
• 「セキュリティ グループ タグの外部 RESTful サービス API コール」(P.6-27)
• 「REST API クライアントの使用方法」(P.6-29)
• 「外部 RESTful サービス Java デモ アプリケーション」(P.6-38)
外部 RESTful サービス API コールの呼び出し外部 RESTful サービス API コールを呼び出す前に、次の前提条件を満たす必要があります。
• CLI から外部 RESTful サービスをイネーブルにします。
• 外部 RESTful サービス管理者権限をイネーブルにします。
外部 RESTful サービス API コールを呼び出すために、JAVA、cURL Linux コマンド、Python などの REST クライアントを使用できます。
関連項目
• 「外部 RESTful API サービスのイネーブル化」(P.5-2)
• 「外部 RESTful サービス許可」(P.5-15)
GetVersion API コールGetVersion API コールは、使用可能なすべてのリソース(エンドポイント、内部ユーザ、エンドポイ
ント ID グループ、およびセキュリティ グループ タグ(SGT))に共通です。これは、必要なリソース
のバージョン情報を取得します。
6-1 Engine API リファレンス ガイド、リリース 1.2
第 6 章 外部 RESTful サービス コール
内部ユーザの外部 RESTful サービス API コール
GetVersion 要求のサンプル
Sample Request for Get Version Internal Users API Method:PUTURI: https://10.56.13.196:9060/ers/config/internaluser/versioninfoHTTP Accept header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml
GetVersion 応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:versionInfo xmlns:ns2="ers.ise.cisco.com"> <currentServerVersion>1.0</currentServerVersion> <link type="application/xml" href="link" rel="self"/> <supportedVersions>0.9,0.8</supportedVersions></ns2:versionInfo>
内部ユーザの外部 RESTful サービス API コール内部ユーザの外部 RESTful サービス API コールは、Create、Read、Update、Delete(CRUD)機能を
完全にサポートします。これらの API コールで使用される内部ユーザ ID は Cisco ISE データベースに
保存された UUID タイプです。
表 6-1 GetVersion の特性
特性 説明
説明 指定したリソースのバージョン情報を取得します
概要 GET/ers/config/<resource-name>/version
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 VersionInfo タイプのリソース
応答ステータス 200、400、401、403、404、415、500
6-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
内部ユーザの外部 RESTful サービス API コール
内部ユーザ スキーマ
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns3:internaluser name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">
<changePassword>true</changePassword>
<customAttributes>
<entry>
<key>key2</key>
<value>value3</value>
</entry>
<entry>
<key>key1</key>
<value>value1</value>
</entry>
</customAttributes>
<email>[email protected]</email>
<enabled>true</enabled>
<firstName>firstName</firstName>
<identityGroups>identityGroups</identityGroups>
<lastName>lastName</lastName>
<password>password</password>
</ns3:internaluser>
Get All Users API コール
Cisco ISE のすべての内部ユーザを取得するには、Get All Users API コールを使用します。
表 6-2 内部ユーザに対して使用できる外部 RESTful サービス API コール
API コール
HTTP メソッ
ド URL 内容
クエリー文
字列
すべてのユーザの
取得
GET /ers/config/internaluser — Page、Size、sortacs また
は sortdsn、Filter
ユーザの取得 GET /ers/config/internaluser/{internaluser-id}
— —
ユーザの作成 POST /ers/config/internaluser/ internaluser —
ユーザの更新 PUT /ers/config/internaluser/{internaluser-id}
internaluser —
ユーザの削除 DELETE /ers/config/internaluser/{internaluser-id}
— —
6-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
内部ユーザの外部 RESTful サービス API コール
すべてのユーザの取得要求のサンプル
Method: GETURI: https://10.56.13.196:9060/ers/config/internaluserHTTP Accept header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml Request Content:N/A
すべてのユーザの取得応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:searchResult total="2" xmlns:ns2="ers.ise.cisco.com"> <nextPage type="application/xml" href="link-to-next-page" rel="next"/> <previousPage type="application/xml" href="link-to-previous-page" rel="previous"/> <resources> <resource name="name1" id="id1" description="description1"/> <resource name="name2" id="id2" description="description2"/> </resources></ns2:searchResult>
Get User API コール
ユーザ ID を使用して内部ユーザを取得するには、Get User API コールを使用します。
表 6-3 Get All Users の特性
特性 説明
説明 内部ユーザの集合を取得します
概要 GET /ers/config/internaluser
要求ヘッダー Accept、Authorization、Host
クエリー文字列 start、size、sortbyacn、sortbydcn、filter(フィ
ルタでサポートされるフィールド:name、description、firstName、lastName、identityGroup、email、enabled)
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 SearchResult
応答ステータス 200、400、401、403、404、415、500
表 6-4 Get User の特性
特性 説明
説明 指定された内部ユーザを取得します
概要 GET /ers/config/internaluser/{internaluser-id}
要求ヘッダー Accept、Authorization、Host
6-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
内部ユーザの外部 RESTful サービス API コール
ユーザの取得要求のサンプル
Method: GETURI: https://10.56.13.196:9060/ers/config/internaluser/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml Request Content:N/A
ユーザの取得応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:internaluser name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <changePassword>true</changePassword> <customAttributes> <entry> <key>key2</key> <value>value3</value> </entry> <entry> <key>key1</key> <value>value1</value> </entry> </customAttributes> <email>[email protected]</email> <enabled>true</enabled> <firstName>firstName</firstName> <identityGroups>identityGroups</identityGroups> <lastName>lastName</lastName> <password>password</password></ns3:internaluser>}
Create User API コール
Cisco ISE の内部ユーザを作成するには、Create User API コールを使用します。外部 RESTful サービ
ス API を使用して内部ユーザを作成するのに、パスワードは必須です。
クエリー文字列 —
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 InternalUser タイプのリソース
応答ステータス 200、400、401、403、404、415、500
表 6-4 Get User の特性 (続き)
特性 説明
6-5Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
内部ユーザの外部 RESTful サービス API コール
ユーザの作成要求のサンプル
Method: POSTURI: https://10.56.13.196:9060/ers/config/internaluserHTTP Content-Type header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml; charset=utf-8 Request Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:internaluser name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <changePassword>true</changePassword> <customAttributes> <entry> <key>key2</key> <value>value3</value> </entry> <entry> <key>key1</key> <value>value1</value> </entry> </customAttributes> <email>[email protected]</email> <enabled>true</enabled> <firstName>firstName</firstName> <identityGroups>identityGroups</identityGroups> <lastName>lastName</lastName> <password>password</password></ns3:internaluser>
ユーザの作成応答のサンプル
HTTP Status: 201 (Created)Content: N/A
表 6-5 Create User API コールの特性
特性 説明
説明 指定された内部ユーザを作成します
概要 POST /ers/config/internaluser/
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 InternalUser
応答ヘッダー Content-Length、Content-Type、Location
応答メッセージ本文 InternalUser タイプのリソース
応答ステータス 201、400、401、403、415、500
6-6Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
内部ユーザの外部 RESTful サービス API コール
Update User API コール
Cisco ISE の内部ユーザを更新するには、Update User API コールを使用します。外部 RESTful サービ
ス API を使用して内部ユーザを更新しているときに、既存のパスワードを変更しない場合は、現在の
パスワードを入力する必要はありません。内部ユーザを更新するときに既存のパスワードを変更する場
合は、プレーン テキストで指定できます。
ユーザの更新要求のサンプル
Method: PUTURI: https://10.56.13.196:9060/ers/config/internaluser/{id}HTTP Content-Type header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml; charset=utf-8 Request Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:internaluser name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <changePassword>true</changePassword> <customAttributes> <entry> <key>key2</key> <value>value3</value> </entry> <entry> <key>key1</key> <value>value1</value> </entry> </customAttributes> <email>[email protected]</email> <enabled>true</enabled> <firstName>firstName</firstName> <identityGroups>identityGroups</identityGroups> <lastName>lastName</lastName> <password>password</password></ns3:internaluser>
表 6-6 Update User の特性
特性 説明
説明 指定された内部ユーザを更新します
概要 PUT /ers/config/internaluser/{internaluser-id}
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 InternalUser
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 更新されたフィールドのリスト
応答ステータス 200、400、401、403、404、415、500
6-7Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
内部ユーザの外部 RESTful サービス API コール
ユーザの更新応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:updatedFields xmlns:ns2="ers.ise.cisco.com"> <updatedField field="field1"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField> <updatedField field="some other field"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField></ns2:updatedFields>
Delete User API コール
Cisco ISE から内部ユーザを削除するには、Delete User API コールを使用します。
ユーザの削除要求のサンプル
Method: DELETEURI: https://10.56.13.196:9060/ers/config/internaluser/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml Request Content:N/A
ユーザの削除応答のサンプル
HTTP Status: 204 (No Content)Content: N/A
表 6-7 Delete User の特性
特性 説明
説明 指定された内部ユーザを削除します
概要 DELETE /ers/config/internaluser/{internaluser-id}
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 InternalUser タイプのリソース
応答ステータス 204、400、401、403、404、415、500
6-8Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイントの外部 RESTful サービス API コール
エンドポイントの外部 RESTful サービス API コールこれらの API コールで使用される内部ユーザ ID は Cisco ISE データベースに保存された UUID タイプ
です。
(注) これらの例は、DB データへの参照があるため、そのまま使用するためのものではありません。例を基
本テンプレートとして処理し、サーバに送信する前に編集する必要があります。
エンドポイントのスキーマ
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">
<groupId>groupId</groupId>
<identityStore>identityStore</identityStore>
<identityStoreId>identityStoreId</identityStoreId>
<mac>00:01:02:03:04:05</mac>
<portalUser>portalUser</portalUser>
<profileId>profileId</profileId>
<staticGroupAssignment>true</staticGroupAssignment>
<staticProfileAssignment>false</staticProfileAssignment>
</ns3:endpoint>
Get All Endpoints API コール
Get All Endpoints API コールを使用して、エンドポイントのリストを取得します。
表 6-8 エンドポイントに対して使用できる外部 RESTful サービス API コール
オペレーション メソッド URL 内容
クエリー文字
列
すべてのエンドポイン
トの取得
GET /ers/config/endpoint — page、size、sortacs または sortdsn、filter
エンドポイントの取得 GET /ers/config/endpoint/{endpoint-id} — —
エンドポイントの作成 POST /ers/config/endpoint/ endpoint —
エンドポイントの更新 PUT /ers/config/endpoint/{endpoint-id} endpoint —
エンドポイントの削除 DELETE /ers/config/endpoint/{endpoint-id} — —
エンドポイントの登録 PUT /ers/config/endpoint/register endpoint —
エンドポイントの登録
解除
PUT /ers/config/endpoint/{endpoint-id}/deregister
— —
6-9Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイントの外部 RESTful サービス API コール
すべてのエンドポイントの取得要求のサンプル
Method: GETURI: https://10.56.13.196:9060/ers/config/endpointHTTP Accept header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml Request Content:N/A
すべてのエンドポイントの取得応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:searchResult total="2" xmlns:ns2="ers.ise.cisco.com"> <nextPage type="application/xml" href="link-to-next-page" rel="next"/> <previousPage type="application/xml" href="link-to-previous-page" rel="previous"/> <resources> <resource name="name1" id="id1" description="description1"/> <resource name="name2" id="id2" description="description2"/> </resources></ns2:searchResult>
(注) サポートされていないため、エンドポイントに、完全なオブジェクトに対するハイパーリンクはありま
せん。名前の説明と ID だけが表示されます。
Get Endpoint API コール
ユーザ ID を使用してエンドポイントを取得するには、Get Endpoint API コールを使用します。
表 6-9 Get All Endpoints の特性
特性 説明
説明 エンドポイントの集合を取得します
概要 GET ers/config/endpoint
要求ヘッダー Accept、Authorization、Host
クエリー文字列 start、size、sortbyacn、sortbydcn、filter(フィルタでサ
ポートされるフィールド:mac、portalUser、profileId、staticGroupAssignment、staticProfileAssignment)
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 SearchResult
応答ステータス 200、400、401、403、404、415、500
6-10Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイントの外部 RESTful サービス API コール
エンドポイントの取得要求のサンプル
Method: GETURI: https://10.56.13.196:9060/ers/config/endpoint/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml Request Content:N/A
エンドポイントの取得応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <groupId>groupId</groupId> <identityStore>identityStore</identityStore> <identityStoreId>identityStoreId</identityStoreId> <mac>00:01:02:03:04:05</mac> <portalUser>portalUser</portalUser> <profileId>profileId</profileId> <staticGroupAssignment>true</staticGroupAssignment> <staticProfileAssignment>false</staticProfileAssignment></ns3:endpoint>
Create Endpoint API コール
Cisco ISE のエンドポイントを作成するには、Create Endpoint API コールを使用します。
表 6-10 Get Endpoint の特性
特性 説明
説明 指定されたエンドポイントを取得します
概要 GET /ers/config/endpoint/{endpoint-id}
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 InternalUser タイプのリソース
応答ステータス 200、400、401、403、404、415、500
表 6-11 Create Endpoint の特性
特性 説明
説明 指定されたエンドポイントを作成します
概要 POST /ers/config/endpoint
6-11Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイントの外部 RESTful サービス API コール
エンドポイントの作成要求のサンプル
Method: POST
URI: https://10.56.13.196:9060/ers/config/endpoint
HTTP Content-Type header:
application/vnd.com.cisco.ise.identity.endpoint.1.0+xml; charset=utf-8
Request Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">
<groupId>groupId</groupId>
<identityStore>identityStore</identityStore>
<identityStoreId>identityStoreId</identityStoreId>
<mac>00:01:02:03:04:05</mac>
<portalUser>portalUser</portalUser>
<profileId>profileId</profileId>
<staticGroupAssignment>true</staticGroupAssignment>
<staticProfileAssignment>false</staticProfileAssignment>
</ns3:endpoint>
エンドポイントの作成応答のサンプル
HTTP Status: 201 (Created)Content: N/A
Update Endpoint API コール
Cisco ISE のエンドポイントを更新するには、Update Endpoint API コールを使用します。
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 エンドポイント
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 InternalUser タイプのリソース
応答ステータス 200、400、401、403、404、415、500
表 6-11 Create Endpoint の特性 (続き)
特性 説明
6-12Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイントの外部 RESTful サービス API コール
エンドポイントの更新要求のサンプル
Method: PUTURI: https://10.56.13.196:9060/ers/config/endpoint/{id}HTTP Content-Type header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml; charset=utf-8 Request Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <groupId>groupId</groupId> <identityStore>identityStore</identityStore> <identityStoreId>identityStoreId</identityStoreId> <mac>00:01:02:03:04:05</mac> <portalUser>portalUser</portalUser> <profileId>profileId</profileId> <staticGroupAssignment>true</staticGroupAssignment> <staticProfileAssignment>false</staticProfileAssignment></ns3:endpoint>
エンドポイントの更新応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:updatedFields xmlns:ns2="ers.ise.cisco.com"> <updatedField field="field1"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField> <updatedField field="some other field"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField></ns2:updatedFields>
表 6-12 Update Endpoint の特性
特性 説明
説明 指定されたエンドポイントを更新します
概要 PUT /ers/config/endpoint/{endpoint-id}
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 エンドポイント
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 更新されたフィールドのリスト
応答ステータス 200、400、401、403、404、415、500
6-13Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイントの外部 RESTful サービス API コール
Delete Endpoint API コール
Cisco ISE のエンドポイントを削除するには、Delete Endpoint API コールを使用します。
エンドポイントの削除要求のサンプル
Method: DELETEURI: https://10.56.13.196:9060/ers/config/endpoint/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml Request Content:N/A
エンドポイントの削除応答のサンプル
HTTP Status: 204 (No Content)Content: N/A
Register Endpoint API コール
Cisco ISE のエンドポイントを登録するには、Register Endpoint API コールを使用します。エンドポイ
ントがすでに存在する場合は、登録されます。存在しない場合は、作成され、登録されます。いずれの
シナリオでも、リターン ステータスは、no content を意味する 204 になります。GUI 登録フローと同
様に、エンドポイントは登録済みデバイス グループに静的に割り当てられ、ポータル ユーザおよび ID ストアはコンテンツで指定されているとおりに設定されます。
表 6-13 Delete Endpoint の特性
特性 説明
説明 指定されたエンドポイントを削除します
概要 DELETE /ers/config/endpoint/{endpoint-id}
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 —
応答ステータス 200、400、401、403、404、415、500
表 6-14 Register Endpoint の特性
特性 説明
説明 指定されたエンドポイントを登録します
概要 PUT /ers/config/endpoint/register
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 endpoint
応答ヘッダー Content-Length、Content-Type
6-14Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイントの外部 RESTful サービス API コール
エンドポイントの登録要求のサンプル
Method: PUTURI: https://10.56.13.196:9060/ers/config/endpoint/registerHTTP Content-Type header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml; charset=utf-8 Request Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <groupId>groupId</groupId> <identityStore>identityStore</identityStore> <identityStoreId>identityStoreId</identityStoreId> <mac>00:01:02:03:04:05</mac> <portalUser>portalUser</portalUser> <profileId>profileId</profileId> <staticGroupAssignment>true</staticGroupAssignment> <staticProfileAssignment>false</staticProfileAssignment></ns3:endpoint>
エンドポイントの登録応答のサンプル
HTTP Status: nullContent: N/A
Deregister Endpoint API コール
Cisco ISE のエンドポイントを登録解除するには、Deregister Endpoint API コールを使用します。
応答メッセージ本文 更新されたフィールドのリスト
応答ステータス 202、400、401、403、404、415、500
表 6-14 Register Endpoint の特性 (続き)
特性 説明
表 6-15 Deregister Endpoint の特性
特性 説明
説明 指定されたエンドポイントを登録解除します
概要 PUT /ers/config/endpoint/{endpoint-id}/deregister
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 —
応答メッセージ本文 —
応答ステータス 202、400、401、403、404、415、500
6-15Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイント ID グループの外部 RESTful サービス API コール
エンドポイントの登録解除要求のサンプル
Method: PUTURI: https://10.56.13.196:9060/ers/config/endpoint/{id}/deregisterHTTP Content-Type header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml; charset=utf-8 Request Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <groupId>groupId</groupId> <identityStore>identityStore</identityStore> <identityStoreId>identityStoreId</identityStoreId> <mac>00:01:02:03:04:05</mac> <portalUser>portalUser</portalUser> <profileId>profileId</profileId> <staticGroupAssignment>true</staticGroupAssignment> <staticProfileAssignment>false</staticProfileAssignment></ns3:endpoint>
エンドポイントの登録解除応答のサンプル
HTTP Status: nullContent: N/A
エンドポイント ID グループの外部 RESTful サービス API コール
これらの API コールで使用される内部ユーザ ID は Cisco ISE データベースに保存された UUID タイプ
です。
(注) 後述の項に示されている例は、DB データへの参照があるため、そのまま使用するためのものではあり
ません。例を基本テンプレートとして処理し、サーバに送信する前に編集する必要があります。
表 6-16 エンドポイント ID グループに対して使用できる外部 RESTful サービス API コール
オペレーション メソッド URL 内容
クエリー文字
列
すべてのエンドポイン
ト グループの取得
GET /ers/config/endpointgroup — page、size、sortacs また
は sortdsn、filter
エンドポイント グルー
プの取得
GET /ers/config/endpointgroup/{endpointgroup-id}
— —
6-16Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイント ID グループの外部 RESTful サービス API コール
エンドポイント ID グループのスキーマ
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns3:endpointgroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">
<systemDefined>true</systemDefined>
</ns3:endpointgroup>
Get All Endpoint Identity Groups API コール
Get All Endpoint Identity Groups API コールを使用して、エンドポイント ID グループの集合を取得し
ます。
すべてのエンドポイント ID グループの取得要求のサンプル
Method: GETURI: https://10.56.13.196:9060/ers/config/endpointgroupHTTP Accept header:application/vnd.com.cisco.ise.identity.endpointgroup.1.0+xml Request Content:N/A
エンドポイント グルー
プの作成
POST /ers/config/endpointgroup/ Endpointgroup —
エンドポイント グルー
プの更新
PUT /ers/config/endpointgroup/{endpointgroup-id}
Endpointgroup —
エンドポイント グルー
プの削除
DELETE /ers/config/endpointgroup/{endpointgroup-id}
— —
表 6-16 エンドポイント ID グループに対して使用できる外部 RESTful サービス API コール (続き)
オペレーション メソッド URL 内容
クエリー文字
列
表 6-17 Get All Endpoint Identity Groups の特性
特性 説明
説明 エンドポイント グループの集合を取得します
概要 GET /ers/config/endpointgroup
要求ヘッダー Accept、Authorization、Host
クエリー文字列 start、size、sortbyacn、sortbydcn、filter
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 SearchResult
応答ステータス 202、400、401、403、404、415、500
6-17Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイント ID グループの外部 RESTful サービス API コール
すべてのエンドポイント ID グループの取得応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:searchResult total="2" xmlns:ns2="ers.ise.cisco.com"> <nextPage type="application/xml" href="link-to-next-page" rel="next"/> <previousPage type="application/xml" href="link-to-previous-page" rel="previous"/> <resources> <resource name="name1" id="id1" description="description1"/> <resource name="name2" id="id2" description="description2"/> </resources></ns2:searchResult>
(注) エンドポイントの完全なオブジェクトに対するハイパーリンクはありません。名前、説明、および ID だけが表示されます。
Get Endpoint Identity Group API コール
Get Endpoint Identity Group API コールを使用して、指定されたエンドポイント ID グループを取得し
ます。
エンドポイント ID グループの取得要求のサンプル
Method: GETURI: https://10.56.13.196:9060/ers/config/endpointgroup/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.endpointgroup.1.0+xml Request Content:N/A
エンドポイント ID グループの取得応答のサンプル
HTTP Status: 200 (OK)
表 6-18 Get Endpoint Identity Group の特性
特性 説明
説明 指定されたエンドポイント グループを取得しま
す
概要 GET /ers/config/endpoint/{endpointgroup-id}
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 Endpoint タイプのリソース
応答ステータス 200、400、401、403、404、415、500
6-18Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイント ID グループの外部 RESTful サービス API コール
Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpointgroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <systemDefined>true</systemDefined></ns3:endpointgroup>}
Create Endpoint Identity Group API コール
Create Endpoint Identity Group API コールを使用して、指定されたエンドポイント ID グループを作成
します。
:
エンドポイント ID グループの作成要求のサンプル
Method: POSTURI: https://10.56.13.196:9060/ers/config/endpointgroupHTTP Content-Type header:application/vnd.com.cisco.ise.identity.endpointgroup.1.0+xml; charset=utf-8 Request Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpointgroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <systemDefined>true</systemDefined></ns3:endpointgroup>
エンドポイント ID グループの作成応答のサンプル
HTTP Status: 201 (Created)Content: N/A
表 6-19 Create Endpoint Identity Group の特性
特性 説明
説明 指定されたエンドポイント グループを作成しま
す
概要 POST /ers/config/endpoint/
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 Endpoint Group
応答ヘッダー Content-Length、Content-Type、Location
応答メッセージ本文 Endpoint Group タイプのリソース
応答ステータス 201、400、401、403、415、500
6-19Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
エンドポイント ID グループの外部 RESTful サービス API コール
Update Endpoint Identity Group API コール
Update Endpoint Identity Group API コールを使用して、指定されたエンドポイント ID グループを更新
します。
エンドポイント ID グループの更新要求のサンプル
Method: PUTURI: https://10.56.13.196:9060/ers/config/endpointgroup/{id}HTTP Content-Type header:application/vnd.com.cisco.ise.identity.endpointgroup.1.0+xml; charset=utf-8 Request Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpointgroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <systemDefined>true</systemDefined></ns3:endpointgroup>
エンドポイント ID グループの更新応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:updatedFields xmlns:ns2="ers.ise.cisco.com"> <updatedField field="field1"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField> <updatedField field="some other field"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField></ns2:updatedFields>}
表 6-20 Update Endpoint Identity Group の特性
特性 説明
説明 指定されたエンドポイント グループを更新しま
す
概要 PUT /ers/config/endpoint/{endpointgroup-id}
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 Endpoint Group
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 更新されたフィールドのリスト
応答ステータス 200、400、401、403、404、415、500
6-20Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
Profiler プロファイルの外部 RESTful サービス API コール
Delete Endpoint Identity Group API コール
Delete Endpoint Identity Group API コールを使用して、指定されたエンドポイント ID グループを削除
します。
エンドポイント ID グループの削除要求のサンプル
Method: DELETEURI: https://10.56.13.196:9060/ers/config/endpointgroup/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.endpointgroup.1.0+xml Request Content:N/A
エンドポイント ID グループの削除応答のサンプル
HTTP Status: 204 (No Content)Content: N/A
Profiler プロファイルの外部 RESTful サービス API コールProfiler プロファイル API コールを使用すると、プロファイルを検索することができます。Profiler プロファイルは、エンドポイントが分類されるか、または静的に割り当てられるプロファイルです。
Profiler プロファイルは、プロファイラ ポリシーとも呼ばれます。プロファイル ID はエンドポイント
の属性です。エンドポイントは名前でフィルタリングできます。
(注) 次の項に示されている例は、DB データへの参照があるため、そのまま使用するためのものではありま
せん。例を基本テンプレートとして処理し、サーバに送信する前に編集する必要があります。
表 6-21 Delete Endpoint Identity Group の特性
特性 説明
説明 指定されたエンドポイント グループを削除しま
す
概要 DELETE /ers/config/endpointgroup/{endpointgroup-id}
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 —
応答ステータス 204、400、401、403、404、415、500
6-21Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
Profiler プロファイルの外部 RESTful サービス API コール
Profiler プロファイルのスキーマ
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns3:profilerprofile name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"/>
Get All Profiles API コール
Get All Profiles API コールを使用して、Profiler プロファイルのリストを取得します。
すべてのプロファイルの取得要求のサンプル
Method: GET
URI: https://10.56.13.196:9060/ers/config/profilerprofile
HTTP Accept header:
application/vnd.com.cisco.ise.identity.profilerprofile.1.0+xml
Request Content:
N/A
表 6-22 Profiler プロファイルに対して使用できる外部 RESTful サービス API コール
オペレーション メソッド URL 内容 クエリー文字列
すべてのプロファイルの
取得
GET /ers/config/profilerprofile
— Start
サイズ(Size)
sortacs または sortdsn
filter
プロファイルの取得(ID で取得)
GET /ers/config/profilerprofile/{id}
— —
プロファイルの作成 POST ers/config/profilerprofile — —
表 6-23 Get All Profiles の特性
特性 説明
説明 Profiler プロファイルの集合を取得します
概要 GET /ers/config/profilerprofile
要求ヘッダー Accept、Authorization、Host
クエリー文字列 start、size、sortbyacn、sortbydcn、filter(フィ
ルタでサポートされるフィールド:name)
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 SearchResult
応答ステータス 200、400、401、403、404、415、500
6-22Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
Profiler プロファイルの外部 RESTful サービス API コール
すべてのプロファイルの取得応答のサンプル
HTTP Status: 200 (OK)
Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns2:searchResult total="2" xmlns:ns2="ers.ise.cisco.com">
<nextPage type="application/xml" href="link-to-next-page" rel="next"/>
<previousPage type="application/xml" href="link-to-previous-page" rel="previous"/>
<resources>
<resource name="name1" id="id1" description="description1"/>
<resource name="name2" id="id2" description="description2"/>
</resources>
</ns2:searchResult>
(注) このリリースでサポートされていないため、Profiler プロファイルの完全なオブジェクトに対するハイ
パーリンクはありません。名前の説明と ID だけが表示されます。
Get Profile API コール
Get Profile API コールを使用して、特定の Profiler プロファイルを取得します。
プロファイルの取得要求のサンプル
Method: GET
URI: https://10.56.13.196:9060/ers/config/profilerprofile/{id}
HTTP Accept header:
application/vnd.com.cisco.ise.identity.profilerprofile.1.0+xml
Request Content:
N/A
表 6-24 Get Profile の特性
特性 説明
説明 指定された Profiler プロファイルを取得します。
概要 GET ers/config/profilerprofile/{id}
要求ヘッダー Accept、Authorization、Host
クエリー文字列 start、size、sortbyacn、sortbydcn、filter(フィ
ルタでサポートされるフィールド:name)
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 SearchResult
応答ステータス 200、400、401、403、404、415、500
6-23Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
Profiler プロファイルの外部 RESTful サービス API コール
プロファイルの取得応答のサンプル
HTTP Status: 200 (OK)
Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns3:profilerprofile name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"/>
Create Profile API コール
Create Profile API コールを使用して、Profiler プロファイルを作成します。
プロファイルの作成要求のサンプル
Method: POST
URI: https://10.56.13.196:9060/ers/config/profilerprofile
HTTP Content-Type header:
application/vnd.com.cisco.ise.identity.profilerprofile.1.0+xml; charset=utf-8
Request Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns3:profilerprofile name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"/>
表 6-25 Create Profile の特性
特性 説明
説明 Profiler プロファイルを作成します
概要 POST ers/config/profilerprofile
要求ヘッダー Accept、Authorization、Host
クエリー文字列 start、size、sortbyacn、sortbydcn、filter(フィ
ルタでサポートされるフィールド:name)
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 —
応答ステータス 200、400、401、403、404、415、500
6-24Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
ID グループの外部 RESTful サービス API コール
プロファイルの作成応答のサンプル
HTTP Status: 201 (Created)
Content:
N/A
ID グループの外部 RESTful サービス API コール外部 RESTful サービスの ID グループ API コールを使用すると、ID グループを検索することができま
す。
(注) 後述の項に示されている例は、DB データへの参照があるため、そのまま使用するためのものではあり
ません。例を基本テンプレートとして処理し、サーバに送信する前に編集する必要があります。
ID グループのスキーマ
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns3:identitygroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">
<parent>parent</parent>
</ns3:identitygroup>
Get All Identity Groups API コール
Get All Identity Groups API コールを使用して、Cisco ISE の ID グループを ID で取得します。
表 6-26 ID グループに対して使用できる外部 RESTful サービス API コール
オペレーション メソッド URL 内容 クエリー文字列
ID グループの取得(ID で取得)
GET /ers/config/identitygroup/{id}
— —
ID グループのリスト GET /ers/config/identitygroup — page、size、sortacs または sortdsn、filter
IdentityGroup リソースの
バージョン情報の取得
GET /ers/config/identitygroup/version
— —
表 6-27 Get All Identity Groups の特性
特性 説明
説明 ID で ID グループ リソースを取得します。
概要 GET /ers/config/identitygroup/{id}
要求ヘッダー Accept、Authorization、Host
6-25Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
ID グループの外部 RESTful サービス API コール
すべての ID グループの取得要求のサンプル
Method: GETURI: https://10.56.13.196:9060/ers/config/identitygroup/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.identitygroup.1.0+xml Request Content:N/A
すべての ID グループの取得応答のサンプル
HTTP Status: 200 (OK)
Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<ns3:identitygroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">
<parent>parent</parent>
</ns3:identitygroup>
Get Identity Group API コール
Get Identity Group API コールを使用して、Cisco ISE の特定の ID グループを取得します。
クエリー文字列 start、size、sortbyacn、sortbydcn、filter(フィ
ルタでサポートされるフィールド:name、description)
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 —
応答ステータス 200、400、401、403、404、415、500
表 6-27 Get All Identity Groups の特性 (続き)
特性 説明
表 6-28 Get Identity Group の特性
特性 説明
説明 指定された ID グループのリソースを取得します
概要 GET /ers/config/identitygroup
要求ヘッダー Accept、Authorization、Host
クエリー文字列 start、size、sortbyacn、sortbydcn、filter(フィ
ルタでサポートされるフィールド:name、description)
要求メッセージ本文 —
6-26Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
セキュリティ グループ タグの外部 RESTful サービス API コール
ID グループの取得要求のサンプル
Method: GETURI: https://10.56.13.196:9060/ers/config/identitygroup/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.identitygroup.1.0+xml Request Content:N/A
ID グループの取得応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:identitygroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <parent>parent</parent></ns3:identitygroup>
セキュリティ グループ タグの外部 RESTful サービス API コール
セキュリティ グループ タグ(SGT)API コールを使用すると、SGT を検索することができます。これ
らの API コールで使用される内部ユーザ ID は Cisco ISE データベースに保存された UUID タイプで
す。
(注) 後述の項に示されている例は、DB データへの参照があるため、そのまま使用するためのものではあり
ません。例を基本テンプレートとして処理し、サーバに送信する前に編集する必要があります。
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 SearchResult
応答ステータス 200、400、401、403、404、415、500
表 6-28 Get Identity Group の特性 (続き)
特性 説明
表 6-29 SGT に対して使用できる外部 RESTful サービス API コール
オペレーション メソッド URL 内容 クエリー文字列
すべての SGT の取
得
GET /ers/config/sgt — page、size、sortacs または sortdsn、filter
SGT の取得(ID で取得)
GET /ers/config/sgt/{sgt-id} — —
6-27Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
セキュリティ グループ タグの外部 RESTful サービス API コール
Get All SGTs API コール
Get All SGTs API コールを使用して、SGT リソースの集合を取得します。
すべての SGT の取得要求のサンプル
Method: GETURI: https://10.56.13.196:9060/ers/config/sgtHTTP Accept header:application/vnd.com.cisco.ise.sga.sgt.1.0+xml Request Content:N/A
すべての SGT の取得応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:searchResult total="2" xmlns:ns2="ers.ise.cisco.com"> <nextPage type="application/xml" href="link-to-next-page" rel="next"/> <previousPage type="application/xml" href="link-to-previous-page" rel="previous"/> <resources> <resource name="name1" id="id1" description="description1"/> <resource name="name2" id="id2" description="description2"/> </resources></ns2:searchResult>
Get SGT API コール
Get SGT API コールを使用して、特定の SGI リソースを取得します。
表 6-30 Get All SGTs の特性
特性 説明
説明 SGT リソースの集合を取得します
概要 GET /ers/config/sgt
要求ヘッダー Accept、Authorization、Host
クエリー文字列 start、size、sortbyacn、sortbydcn、filter(フィ
ルタでサポートされるフィールド:name)
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 SearchResult
応答ステータス 200、400、401、403、404、415、500
6-28Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
REST API クライアントの使用方法
SGT の取得要求のサンプル
Method: GETURI: https://10.56.13.196:9060/ers/config/sgt/{id}HTTP Accept header:application/vnd.com.cisco.ise.sga.sgt.1.0+xml Request Content:N/A
SGT の取得応答のサンプル
HTTP Status: 200 (OK)Content:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:sgt name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="sga.ers.ise.cisco.com"> <generationId>generationId</generationId> <isTagFromRange>isTagFromRange</isTagFromRange> <value>1</value></ns3:sgt>}
REST API クライアントの使用方法外部 RESTful サービス API を使用してアプリケーションを構築およびテストするには、Google Chrome の POSTMAN プラグインなど、業界標準の REST API クライアントを使用できます。
REST アーキテクチャと原則に従って設計されているので、POSTMAN Chrome プラグインは、使い
やすい REST クライアントです。POSTMAN Chrome プラグインは、要求の収集を保存できるように
し、ブラウザ環境で作業をしているときに便利で、軽量の特定のタスクを含む多くの機能を提供しま
す。外部 RESTful サービス API をテストするために POSTMAN プラグインを使用することもできま
す。
POSTMAN では、Google Chrome Web ブラウザを使用して標準の HTTP および HTTPS 要求および応
答を送信および取得できるようにします。Cisco ISE リソースに対する操作を実行するために、次の標
準 HTTP メソッドを使用できます。
表 6-31 Get SGT の特性
特性 説明
説明 指定された SGT を取得します
概要 GET /ers/config/sgt/{sgt-id}
要求ヘッダー Accept、Authorization、Host
クエリー文字列 —
要求メッセージ本文 —
応答ヘッダー Content-Length、Content-Type
応答メッセージ本文 InternalUser タイプのリソース
応答ステータス 200、400、401、403、404、415、500
6-29Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
REST API クライアントの使用方法
• GET
• POST
• PUT
• DELETE
外部 RESTful サービス API はさまざまな API コールでこれらの HTTP 要求を使用できるようにし、次
に、HTTP 要求は Cisco ISE サーバに対する操作を実行できるようにします。これらの HTTP 要求が使
用される操作の包括的リストについては、「外部 RESTful サービス コール」(P.6-1) を参照してくださ
い。
(注) POSTMAN プラグインをダウンロードするには、https://chrome.google.com/webstore/detail/postman-rest-client/fdmmgilgnpjigdojojpjoooidkmcomcm?hl=en にアクセスしてください。POSTMAN プラグインの使用方法の詳細については、
https://github.com/a85/POSTMan-Chrome-Extension/wiki を参照してください。
GET を使用した外部 RESTful サービス API コールの実行
GET メソッドは、指定されたリソースの表現を要求します。GET を使用した要求は、データを取得す
るだけで、他の効果はありません。
GET 要求をリソース URI に送信して、検索操作を実行することができます。デフォルトで、結果はデ
フォルト サイズが 20 の最初のページ(ページ インデックス = 0)です。フィルタ、ソート、および
ページング パラメータを URI に追加して、検索操作の結果を制御できます。検索は、次の結果タイプ
を返します。
SearchResult: MediaType[MediaType: [application/vnd.com.cisco.ise.ers.searchresult.1.0+xml]
結果として生成されたリソースは、名前、ID、説明、およびリソースの完全な表現へのリンクを含む
基本リソースの集合です。
(注) 外部 RESTful サービス API コールは、この項で説明されていない外部 RESTful サービス API のその
他のコンポーネントに加え、GET HTTP メソッドを使用します。特性、要求、および応答など、さま
ざまな外部 RESTful サービス API コンポーネントの詳細については、「外部 RESTful サービス コー
ル」を参照してください。
Get HTTPS メソッドを使用する外部 RESTful サービス API コールの要求本文には、次の 3 つの構築ブ
ロックが含まれます。
• URI
• Accept ヘッダー
• Authorization ヘッダー
URI
Get メソッドはユニフォーム リソース識別子(URI)を Cisco ISE サーバに送信し、HTTP 返信は未処
理の結果のデータです。一般的な URI は、次の形式に従う必要があります。
• https://<Cisco ISE Server address:<port>/<namespace>/config/<Cisco ISE Resource Name>
6-30Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
REST API クライアントの使用方法
ここで、<Cisco ISE Server Address> は Cisco ISE サーバのサーバ アドレスを示し、<port> はポート 9060 を示し、<namespace> は Cisco ISE リソースが属する名前空間を示し、<Cisco ISE Resource Name> は Cisco ISE リソースの名前を示します。
次に、interaluser Cisco ISE リソースのデータを要求する URI の例を示します。
• https://10.56.13.196:9060/ers/config/internaluser.
(注) URI は、要求本文ではなく、URL にすぎません。この URL は、GET メソッドを使用してサーバに送
信されます。
Accept ヘッダー
Accept ヘッダーは次の形式に従う必要があります。
• application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml
ここで、<resource-namespace> は Cisco ISE リソースが属する名前空間を示し、<resource-type> は Cisco ISE リソースのタイプを示し、<major-version> は Cisco ISE 導入のメジャー バージョン番号を
示し、<minor-version> は導入のマイナー バージョン番号を示します。
次に、一般的な Accept ヘッダーの例を示します。
• application/vnd.com.cisco.ise.identity.internaluser.1.0+xml
Authorization ヘッダー
Authorization ヘッダーには、GET 要求に組み込まれている暗号化認証キーが含まれます。認可のクレ
デンシャルを指定した後、暗号化キーを生成する必要があります。その後、暗号化キーは要求の本体に
埋め込まれます。
(注) 暗号化キーの生成の詳細については、「POSTMAN を使用した GET 要求の実行」(P.6-31) を参照して
ください。
POSTMAN を使用した GET 要求の実行
ステップ 1 Google Chrome ブラウザで POSTMAN プラグインを開きます。
ステップ 2 左側のペインのオプションを使用して、新しい収集を作成します。
(注) POSTMAN プラグインの使用方法の詳細については、
https://github.com/a85/POSTMan-Chrome-Extension/wiki を参照してください。
ステップ 3 ドロップダウン メニューから、[GET] を選択します。
ステップ 4 URL アドレス バーに、URI を入力します。
URI で、通信しようとする Cisco ISE サーバ、およびアクセスしようとする Cisco ISE リソースを指定
します。URI の形式の詳細については、「URI」(P.6-30) を参照してください。
ステップ 5 [基本認証(Basic Auth)] タブをクリックします。
ユーザ アクセス クレデンシャルを指定できるオプションが表示されます。
6-31Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
REST API クライアントの使用方法
ステップ 6 アクセス クレデンシャルを [ユーザ名(Username)] および [パスワード(Password)] フィールドに
指定し、[ヘッダーの更新(Refresh Headers)] をクリックします。
POSTMAN は暗号化キーを含む Authorization ヘッダーを表示します。
ステップ 7 次の値を指定して、Accept ヘッダーを追加します。application/vnd.com.cisco.ise.ers.<namespace>.<ise resource>.1.0+xml
(注) Accept ヘッダーの詳細については、「Accept ヘッダー」(P.6-31) を参照してください。
ステップ 8 [送信(Send)] をクリックします。
POSTMAN プラグインは、要求が成功していることを示す 200 OK ステータスの応答を表示します。
要求は、URI で指定したたリソースの詳細も返します。
POST を使用した外部 RESTful サービス API コールの実行
Post メソッドは、要求に含まれているエンティティを、URI で識別される Web リソースの新しい下位
として、サーバが承認することを要求します。
POST 要求をリソース URI に送信して、リソースを作成することができます。要求するコンテンツは、
リソースの XML 表現を保持し、スキーマに従って正しい形式にする必要があります。要求ヘッダー
は、暗号化された認可、およびリソースのコンテンツとそのバージョンを定義するコンテンツタイプを
保持します。
(注) 外部サービス RESTful API コールは、このセクションで説明されていない外部 RESTful API サービス
の他のコンポーネントに加え、HTTP POST 方式を使用します。特性、要求、および応答など、さまざ
まなコンポーネントの詳細については、「外部 RESTful サービス コール」を参照してください。
POST HTTP メソッドを使用する外部 RESTful サービス API コールの要求本文には、次の 3 つの構築
ブロックが含まれます。
• URI
• Content-Type ヘッダー
• Authorization ヘッダー
URI
POST メソッドはユニフォーム リソース識別子(URI)を Cisco ISE サーバに送信します。一般的な URI は、次の形式に従う必要があります。
• https://<Cisco ISE Server address:<port>/<namespace>/config/<Cisco ISE Resource Name>
ここで、<Cisco ISE Server Address> は Cisco ISE サーバのサーバ アドレスを示し、<port> はポート 9060 を示し、<namespace> は Cisco ISE リソースが属する名前空間を示し、<Cisco ISE Resource Name> は Cisco ISE リソースの名前を示します。
次に、interaluser Cisco ISE リソースのデータを要求する URI の例を示します。
• https://10.56.13.196:9060/ers/config/internaluser.
6-32Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
REST API クライアントの使用方法
(注) URI は、要求本文ではなく、URL にすぎません。この URL は、POST メソッドを使用してサーバに送
信されます。
Content-Type ヘッダー
Content-Type ヘッダーは次の形式に従う必要があります。
• application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml
ここで、<resource-namespace> は Cisco ISE リソースが属する名前空間を示し、<resource-type> は Cisco ISE リソースのタイプを示し、<major-version> は Cisco ISE 導入のメジャー バージョン
番号を示し、<minor-version> は導入のマイナー バージョン番号を示します。
次に、一般的な Content-Type ヘッダーの例を示します。
• application/vnd.com.cisco.ise.identity.internaluser.1.0+xml
Authorization ヘッダー
Authorization ヘッダーには、POST 要求に組み込まれている暗号化認証キーが含まれます。認可のク
レデンシャルを指定した後、暗号化キーを生成する必要があります。その後、暗号化キーは要求の本体
に埋め込まれます。
(注) 暗号化キーの生成の詳細については、「POSTMAN を使用した POST 要求の実行」(P.6-33) を参照し
てください。
POSTMAN を使用した POST 要求の実行
ステップ 1 Google Chrome ブラウザで POSTMAN プラグインを開きます。
ステップ 2 左側のペインのオプションを使用して、新しい収集を作成します。
(注) POSTMAN プラグインの使用方法の詳細については、
https://github.com/a85/POSTMan-Chrome-Extension/wiki を参照してください。
ステップ 3 ドロップダウン メニューから、[POST] を選択します。
ステップ 4 URL アドレス バーに、URI を入力します。
URI で、通信しようとする Cisco ISE サーバ、およびアクセスしようとする Cisco ISE リソースを指定
します。URI の形式の詳細については、「URI」(P.6-32) を参照してください。
ステップ 5 [基本認証(Basic Auth)] タブをクリックします。
ユーザ アクセス クレデンシャルを指定できるオプションが表示されます。
ステップ 6 アクセス クレデンシャルを [ユーザ名(Username)] および [パスワード(Password)] フィールドに
指定し、[ヘッダーの更新(Refresh Headers)] をクリックします。
POSTMAN は暗号化キーを含む Authorization ヘッダーを表示します。
ステップ 7 次の値を指定して、Content-Type ヘッダーを追加します。application/vnd.com.cisco.ise.ers.<namespace>.<ise resource>.1.0+xml
6-33Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
REST API クライアントの使用方法
(注) Content-Type ヘッダーの詳細については、「Content-Type ヘッダー」(P.6-33) を参照してくだ
さい。
ステップ 8 [未処理(raw)] の横に表示されるドロップダウン メニューから、[XML] を選択します。
ステップ 9 [未処理(raw)] をクリックします。
ステップ 10 POSTMAN プラグインは、POST 要求の本文を指定できる編集ペインを開きます。
ステップ 11 編集ペインで POST 要求のメッセージ本文を入力します。
(注) メッセージ本文には、Cisco ISE サーバに作成しようとする Cisco ISE リソースに対応する詳細を含め
る必要があります。たとえば、内部ユーザを作成しているときには、内部ユーザの名前や説明、パス
ワードなどの詳細を指定する必要があります。POST 要求を使用する外部 RESTful サービス API コー
ルのメッセージ本文、および指定する必要がある Cisco ISE リソースの詳細の詳細については、「外部 RESTful サービス コール」を参照してください。
ステップ 12 [送信(Send)] をクリックします。
POSTMAN プラグインは、要求が成功していることを示す 201 CREATED ステータスの応答を表示し
ます。追加したリソースが GUI に表示されているかどうかを確認するために、Cisco ISE にログインで
きます。
PUT を使用した外部 RESTful サービス API コールの実行
PUT メソッドは、含められたエンティティを指定された URI の下に保存するように要求します。URI がすでに存在しているリソースを指す場合は、変更されます。URI が既存のリソースを指さない場合
は、サーバはその URI でリソースを作成できます。
PUT 要求をリソース URI に送信して、リソースを更新することができます。要求するコンテンツは、
リソースの XML 表現を保持し、スキーマに従って正しい形式にする必要があります。要求ヘッダー
は、暗号化された認可、およびリソースのコンテンツとそのバージョンを定義するコンテンツタイプを
保持します。
(注) 外部 RESTful サービス API コールは、この項で説明されていない外部 RESTful サービス API のその
他のコンポーネントに加え、PUT HTTP メソッドを使用します。特性、要求、および応答など、さま
ざまなコンポーネントの詳細については、「外部 RESTful サービス コール」を参照してください。
PUT HTTP メソッドを使用する外部 RESTful サービス API コールの要求本文には、次の 3 つの構築ブ
ロックが含まれます。
• URI
• Content-Type ヘッダー
• Authorization ヘッダー
6-34Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
REST API クライアントの使用方法
URI
PUT メソッドはユニフォーム リソース識別子(URI)を Cisco ISE サーバに送信します。一般的な URI は、次の形式に従う必要があります。
• https://<Cisco ISE Server address:<port>/<namespace>/config/<Cisco ISE Resource Name>
ここで、<Cisco ISE Server Address> は Cisco ISE サーバのサーバ アドレスを示し、<port> はポート 9060 を示し、<namespace> は Cisco ISE リソースが属する名前空間を示し、<Cisco ISE Resource Name> は Cisco ISE リソースの名前を示します。
次に、interaluser Cisco ISE リソースのデータを要求する URI の例を示します。
• https://10.56.13.196:9060/ers/config/internaluser.
(注) URI は、要求本文ではなく、URL にすぎません。この URL は、PUT メソッドを使用してサーバに送
信されます。
Content-Type ヘッダー
Content-Type ヘッダーは次の形式に従う必要があります。
• application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml
ここで、<resource-namespace> は Cisco ISE リソースが属する名前空間を示し、<resource-type> は Cisco ISE リソースのタイプを示し、<major-version> は Cisco ISE 導入のメジャー バージョン
番号を示し、<minor-version> は導入のマイナー バージョン番号を示します。
次に、一般的な Content-Type ヘッダーの例を示します。
• application/vnd.com.cisco.ise.identity.internaluser.1.0+xml
Authorization ヘッダー
Authorization ヘッダーには、PUT 要求に組み込まれている暗号化認証キーが含まれます。認可のクレ
デンシャルを指定した後、暗号化キーを生成する必要があります。その後、暗号化キーは要求の本体に
埋め込まれます。
(注) 暗号化キーの生成の詳細については、「POSTMAN を使用した PUT 要求の実行」(P.6-35) を参照して
ください。
POSTMAN を使用した PUT 要求の実行
ステップ 1 Google Chrome ブラウザで POSTMAN プラグインを開きます。
ステップ 2 左側のペインのオプションを使用して、新しい収集を作成します。
(注) POSTMAN プラグインの使用方法の詳細については、
https://github.com/a85/POSTMan-Chrome-Extension/wiki を参照してください。
ステップ 3 ドロップダウン メニューから、[PUT] を選択します。
6-35Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
REST API クライアントの使用方法
ステップ 4 URL アドレス バーに、URI を入力します。
URI で、通信しようとする Cisco ISE サーバ、およびアクセスしようとする Cisco ISE リソースを指定
します。URI の形式の詳細については、「URI」(P.6-35) を参照してください。
ステップ 5 [基本認証(Basic Auth)] タブをクリックします。
ユーザ アクセス クレデンシャルを指定できるオプションが表示されます。
ステップ 6 アクセス クレデンシャルを [ユーザ名(Username)] および [パスワード(Password)] フィールドに
指定し、[ヘッダーの更新(Refresh Headers)] をクリックします。
POSTMAN は暗号化キーを含む Authorization ヘッダーを表示します。
ステップ 7 次の値を指定して、Content-Type ヘッダーを追加します。application/vnd.com.cisco.ise.ers.<namespace>.<ise resource>.1.0+xml
(注) Content-Type ヘッダーの詳細については、「Content-Type ヘッダー」(P.6-35) を参照してくだ
さい。
ステップ 8 [未処理(raw)] の横に表示されるドロップダウン メニューから、[XML] を選択します。
ステップ 9 [未処理(raw)] をクリックします。
ステップ 10 POSTMAN プラグインは、POST 要求の本文を指定できる編集ペインを開きます。
ステップ 11 編集ペインで POST 要求のメッセージ本文を入力します。
(注) メッセージ本文には、Cisco ISE サーバに更新しようとする Cisco ISE リソースに対応する詳細を含め
る必要があります。たとえば、内部ユーザを更新しているときには、内部ユーザの名前や説明、パス
ワードなどの詳細を指定する必要があります。PUT 要求を使用する外部 RESTful サービス API コール
のメッセージ本文、および指定する必要がある Cisco ISE リソースの詳細の詳細については、「外部 RESTful サービス コール」を参照してください。
ステップ 12 [送信(Send)] をクリックします。
POSTMAN プラグインは、要求が成功していることを示す 201 CREATED ステータスの応答を表示し
ます。追加したリソースが GUI に表示されているかどうかを確認するために、Cisco ISE にログインで
きます。
DELETE を使用した外部 RESTful サービス API コールの実行
DELETE メソッドは、指定されたリソースを削除します。
DELETE 要求をリソース URI に送信して、リソースを削除することができます。要求ヘッダーは、暗
号化された認可、およびリソースのコンテンツとそのバージョンを定義するコンテンツタイプを保持し
ます。
(注) 外部 RESTful サービス API コールは、この項で説明されていない外部 RESTful サービス API のその
他のコンポーネントに加え、DELETE HTTP メソッドを使用します。特性、要求、および応答など、
さまざまなコンポーネントの詳細については、「外部 RESTful サービス コール」を参照してください。
6-36Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
REST API クライアントの使用方法
DELETE HTTP メソッドを使用する外部 RESTful サービス API コールの要求本文には、次の 3 つの構
築ブロックが含まれます。
• URI
• Accept ヘッダー
• Authorization ヘッダー
URI
DELETE メソッドはユニフォーム リソース識別子(URI)を Cisco ISE サーバに送信します。一般的
な URI は、次の形式に従う必要があります。
• https://<Cisco ISE Server address:<port>/<namespace>/config/<Cisco ISE Resource Name>
ここで、<Cisco ISE Server Address> は Cisco ISE サーバのサーバ アドレスを示し、<port> はポート 9060 を示し、<namespace> は Cisco ISE リソースが属する名前空間を示し、<Cisco ISE Resource Name> は Cisco ISE リソースの名前を示します。
次に、interaluser Cisco ISE リソースのデータを要求する URI の例を示します。
• https://10.56.13.196:9060/ers/config/internaluser.
(注) URI は、要求本文ではなく、URL にすぎません。この URL は、GET メソッドを使用してサーバに送
信されます。
Accept ヘッダー
Accept ヘッダーは次の形式に従う必要があります。
• application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml
ここで、<resource-namespace> は Cisco ISE リソースが属する名前空間を示し、<resource-type> は Cisco ISE リソースのタイプを示し、<major-version> は Cisco ISE 導入のメジャー バージョン番号を
示し、<minor-version> は導入のマイナー バージョン番号を示します。
次に、一般的な Accept ヘッダーの例を示します。
• application/vnd.com.cisco.ise.identity.internaluser.1.0+xml
Authorization ヘッダー
Authorization ヘッダーには、DELETE 要求に組み込まれている暗号化認証キーが含まれます。認可の
クレデンシャルを指定した後、暗号化キーを生成する必要があります。その後、暗号化キーは要求の本
体に埋め込まれます。
(注) 暗号化キーの生成の詳細については、「POSTMAN を使用した DELETE 要求の実行」(P.6-37) を参照
してください。
POSTMAN を使用した DELETE 要求の実行
ステップ 1 Google Chrome ブラウザで POSTMAN プラグインを開きます。
6-37Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
外部 RESTful サービス Java デモ アプリケーション
ステップ 2 左側のペインのオプションを使用して、新しい収集を作成します。
(注) POSTMAN プラグインの使用方法の詳細については、
https://github.com/a85/POSTMan-Chrome-Extension/wiki を参照してください。
ステップ 3 ドロップダウン メニューから、[DELETE] を選択します。
ステップ 4 URL アドレス バーに、URI を入力します。
URI で、通信しようとする Cisco ISE サーバ、およびアクセスしようとする Cisco ISE リソースを指定
します。URI の形式の詳細については、「URI」(P.6-37) を参照してください。
ステップ 5 [基本認証(Basic Auth)] タブをクリックします。
ユーザ アクセス クレデンシャルを指定できるオプションが表示されます。
ステップ 6 アクセス クレデンシャルを [ユーザ名(Username)] および [パスワード(Password)] フィールドに
指定し、[ヘッダーの更新(Refresh Headers)] をクリックします。
POSTMAN は暗号化キーを含む Authorization ヘッダーを表示します。
ステップ 7 次の値を指定して、Accept ヘッダーを追加します。application/vnd.com.cisco.ise.ers.<namespace>.<ise resource>.1.0+xml
(注) Accept ヘッダーの詳細については、「Accept ヘッダー」(P.6-37) を参照してください。
ステップ 8 [送信(Send)] をクリックします。
POSTMAN プラグインは、要求が成功していることを示す 200 OK ステータスの応答を表示します。
追加したリソースが GUI に表示されているかどうかを確認するために、Cisco ISE にログインできま
す。
外部 RESTful サービス Java デモ アプリケーション外部 RESTful サービス Java デモ アプリケーションは、単純な外部 RESTful サービス クライアント コードで、外部 RESTful サービス API コールを使用して内部ユーザおよびエンドポイントを設定しま
す。この Java クライアント コードの主な Cisco ISE 依存関係は、ers-schema.jar ファイルです。デモ Java アプリケーションは、Apache DefaultHttpClient に基づく汎用 HTTP クライアントおよび 2 つの
メイン クラスから構成されます。これらのクラスは、順番に REST コールを実行します。
ソース コードおよび必要なライブラリは、デモ アプリケーションの zip ファイルで参照として使用可
能です。外部 RESTful サービス Java デモ アプリケーションおよび ers-schema.jar ファイルは、外部 RESTful サービス オンライン SDK からダウンロードできます。
関連項目
• 「外部 RESTful サービス Java デモ アプリケーションのダウンロード」(P.6-39)
6-38Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
外部 RESTful サービス Java デモ アプリケーション
外部 RESTful サービス Java デモ アプリケーションのダウンロード
ステップ 1 ブラウザのアドレス バーに外部 RESTful サービス SDK の URL を入力します。たとえば、https://<ise hostname or ip address>:9060/ers/sdk と入力します。ここで、<ise hostname or ip address> は Cisco ISE ホストの IP アドレスを示します。
ステップ 2 ユーザ名と、Cisco ISE の初期セットアップで指定して設定した大文字と小文字が区別されるパスワー
ドを入力します。
ステップ 3 [ログイン(Login)] をクリックするか、Enter を押します。
ステップ 4 外部 RESTful サービス オンライン SDK のページのナビゲーション ペインから、[開発者リソース
(Developer Resources)] > [ダウンロード(Downloads)] を選択します。
ステップ 5 [スキーマ Jar(ers-schema-1.2.0-896.jar)(Schema Jar (ers-schema-1.2.0-896.jar))] をクリックしま
す。
ers-schema-1.0-892.jar ファイルがローカル マシンにダウンロードされます。
ステップ 6 [ERS Java デモ アプリケーション(Java ERS Demo Application)] をクリックします。
ers-demo-app.zip ファイルがローカル マシンにダウンロードされます。
終了後
(注) 外部 RESTful サービス Java デモ アプリケーションを使用するために必要なすべての情報は、デモ アプリケーション zip ファイル(ers-demo-app.zip)にある readme.txt ファイルを参照してください。
6-39Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
第 6 章 外部 RESTful サービス コール
外部 RESTful サービス Java デモ アプリケーション
6-40Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J
Cisco Identity Services EngiOL-26134-01-J
A
P P E N D I X A
障害理由レポートの使用方法モニタリング ノード操作が失敗した理由の完全なリストを表示および編集するには、Cisco ISE 障害理
由レポートにアクセスします。操作失敗および可能な解決策のリストを表示するには、ターゲット モニタリング ノードの Cisco ISE ユーザ インターフェイスにログインし、障害理由エディタにアクセス
する必要があります。
(注) Cisco ISE 障害理由に関する詳細または一般的なトラブルシューティングに関する問題については、
『Cisco Identity Services Engine User Guide, Release 1.2』の「Monitoring and Troubleshooting」およ
び「Troubleshooting Cisco ISE」を参照してください。
障害理由の表示
ステップ 1 [操作(Operations)] > [レポート(Reports)] > [認証の要約(Authentication Summary)] レポート
を選択します。
ステップ 2 ナビゲーション パネルの [モニタリング(Monitoring)] を展開し、[障害理由エディタ(Failure Reason Editor)] を選択します。
ステップ 3 提供されたフィルタのリストから [障害理由(Failure Reasons)] を選択します。
ステップ 4 探している障害理由を指定します。
ステップ 5 [実行(Run)] をクリックします。
障害理由のリストが右側のパネルに表示されます。
ステップ 6 任意の障害理由をクリックして、新しいウィンドウで詳細レポートを取得します。
A-1ne API リファレンス ガイド、リリース 1.2
付録 A 障害理由レポートの使用方法
障害理由の表示
A-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2
OL-26134-01-J