Cisco Identity Services Engine API リファレンス ガイド、リリース 1.22013 年 7 月 19 日

Text Part Number: OL-26134-01-J

【注意】シスコ製品をご使用になる前に、安全上の注意

（www.cisco.com/jp/go/safety_warning/）をご確認ください。

本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報

につきましては、日本語版掲載時点で、英語版にアップデートがあ

り、リンク先のページが移動 / 変更されている場合がありますこと

をご了承ください。

あくまでも参考和訳となりますので、正式な内容については米国サ

イトのドキュメントを参照ください。

また、契約等の記述については、弊社販売パートナー、または、弊

社担当者にご確認ください。

このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨事項

は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用は、すべ

てユーザ側の責任になります。

対象製品のソフトウェア ライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's publicdomain version of the UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.

ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコおよび

これら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証をはじめ

とする、明示されたまたは黙示された一切の保証の責任を負わないものとします。

いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、間接

的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものとします。

CCDE, CCVP, Cisco Eos, Cisco StadiumVision, the Cisco logo, DCE, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, andLearn is a service mark; and Access Registrar, Aironet, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, Cisco, theCisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration WithoutLimitation, Enterprise/Solver, EtherChannel, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient,IOS, iPhone, IP/TV, iQ Expertise, the iQ logo, iQ Net Readiness Scorecard, iQuick Study, IronPort, the IronPort logo, LightStream, Linksys, MediaTone, MeetingPlace,MGX, Networkers, Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise,The Fastest Way to Increase Your Internet Quotient, TransPath, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in theUnited States and certain other countries.

All other trademarks mentioned in this document or Website are the property of their respective owners.The use of the word partner does not imply a partnership relationshipbetween Cisco and any other company.(0801R)

このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使用

されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to thisURL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnershiprelationship between Cisco and any other company. (1110R)

Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2© 2013 Cisco Systems, Inc. All rights reserved.

OL-26134-01-J

C O N T E N T S

はじめに vii

目的 vii

対象読者 vii

マニュアルの構成 vii

ドキュメントの表記法 viii

関連資料 viii

このリリースのマニュアル ix

プラットフォーム別のマニュアル ix

マニュアルの入手方法およびテクニカル サポート x

P A R T 1 Monitoring REST API

C H A P T E R 1 Monitoring REST API の概要 1-1

モニタリング ノードの確認 1-2

サポートされる API コール 1-2

HTTP PUT API コール 1-8

C H A P T E R 2 セッション管理用の API コールの使用方法 2-1

セッション カウンタ API コール 2-1

ActiveCount API コールの使用方法 2-1

ActiveCount API コールのスキーマ ファイル 2-1

ActiveCount API コールの呼び出し 2-2

ActiveCount API コール データ 2-2

PostureCount API コールの使用方法 2-2

PostureCount API コールのスキーマ ファイル 2-3

PostureCount API コールの呼び出し 2-3

PostureCount API コール データ 2-3

ProfilerCount API コールの使用方法 2-4

ProfilerCount API コールのスキーマ ファイル 2-4

ProfilerCount API コールの呼び出し 2-4

ProfilerCount API コール データ 2-5

セッション リスト API コール 2-5

ActiveList API コールの使用方法 2-5

ActiveList API コールのスキーマ ファイル 2-5

iiiCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

Contents

ActiveList API コールの呼び出し 2-6

ActiveList API コール データ 2-6

AuthList API コールの使用方法 2-7

AuthList API コールのスキーマ ファイル 2-7

AuthList API コールの呼び出し 2-8

AuthList API コール データ 2-8

Session Attribute API コール 2-10

MACAddress API コールの使用方法 2-11

MACAddress API コールのスキーマ ファイル 2-11

MACAddress API コールの呼び出し 2-13

MACAddress API コール データ 2-13

UserName API コールの使用方法 2-15

UserName API コールのスキーマ ファイル 2-15

UserName API コールの呼び出し 2-17

UserName API コール データ 2-17

IPAddress API コールの使用方法 2-19

IPAddress API コールのスキーマ ファイル 2-19

IPAddress API コールの呼び出し 2-21

IPAddress API コール データ 2-21

古いセッションの削除 2-23

C H A P T E R 3 トラブルシューティング用の API コールの使用方法 3-1

Version API コールの使用方法 3-1

Version API コールのスキーマ ファイル 3-1

Version API コールの呼び出し 3-2

Version API コール データ 3-2

FailureReasons API コールの使用方法 3-3

FailureReasons API コールのスキーマ ファイル 3-3

FailureReasons API コールの呼び出し 3-3

FailureReasons API コール データ 3-4

AuthStatus API コールの使用方法 3-6

AuthStatus API コールのスキーマ ファイル 3-7

AuthStatus API コールの呼び出し 3-9

AuthStatus API コール データ 3-9

AcctStatus API コール データの使用方法 3-11

AcctStatus API コールのスキーマ ファイル 3-11

AcctStatus API コールの呼び出し 3-12

AcctStatus API コール データ 3-12

ivCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

Contents

C H A P T E R 4 認可変更 REST API の使用方法 4-1

Reauth API コールの使用方法 4-1

Reauth API コールのスキーマ ファイル 4-1

Reauth API コールの呼び出し 4-1

Reauth API コール データ 4-2

Disconnect API コールの使用方法 4-2

Disconnect API コールのスキーマ ファイル 4-2

Disconnect API コールの呼び出し 4-3

Disconnect API コール データ 4-3

P A R T 2 外部 RESTful サービス API

C H A P T E R 5 外部 RESTful サービス API の概要 5-1

データの検証 5-1

外部 RESTful サービスの名前空間 5-2

外部 RESTful API サービスのイネーブル化 5-2

外部 RESTful サービス管理者 5-3

REST クライアント 5-3

リソースのバージョンと MediaType 5-3

外部 RESTful サービス要求 5-4

外部 RESTful サービス応答ヘッダー 5-4

共通の外部 RESTful サービス HTTP 応答コード 5-4

外部サービス RESTful API でのバージョン管理 5-5

外部サービス RESTful API でのページング 5-6

外部サービス RESTful API でのソート 5-7

外部サービス RESTful API でのフィルタリング 5-7

検索結果内のリンクの例 5-8

外部 RESTful サービス データ モデル 5-8

基本リソース 5-9

内部ユーザ 5-9

エンドポイント 5-10

エンドポイント ID グループ 5-10

ID グループ 5-11

SGT 5-11

VersionInfo 5-12

SearchResult 5-12

外部 RESTful サービス応答 5-12

応答メッセージ 5-13

エラー応答 5-13

vCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

Contents

更新されるフィールド 5-14

外部 RESTful サービス API のセキュリティ機能 5-14

外部 RESTful サービス認証 5-15

外部 RESTful サービス許可 5-15

インジェクション攻撃 5-15

総当たり攻撃 5-15

接続制限 5-15

ISE 導入での外部 RESTful サービス 5-16

外部 RESTful サービス SDK 5-16

外部 RESTful サービス スキーマ ファイルのダウンロード 5-17

外部 RESTful サービス システム フロー 5-17

外部 RESTful サービスの成功フロー シーケンス 5-17

外部 RESTful サービスの失敗フロー シーケンス 5-18

C H A P T E R 6 外部 RESTful サービス コール 6-1

外部 RESTful サービス API コールの呼び出し 6-1

GetVersion API コール 6-1

GetVersion 要求のサンプル 6-2

GetVersion 応答のサンプル 6-2

内部ユーザの外部 RESTful サービス API コール 6-2

内部ユーザ スキーマ 6-3

Get All Users API コール 6-3

すべてのユーザの取得要求のサンプル 6-4

すべてのユーザの取得応答のサンプル 6-4

Get User API コール 6-4

ユーザの取得要求のサンプル 6-5

ユーザの取得応答のサンプル 6-5

Create User API コール 6-5

ユーザの作成要求のサンプル 6-6

ユーザの作成応答のサンプル 6-6

Update User API コール 6-7

ユーザの更新要求のサンプル 6-7

ユーザの更新応答のサンプル 6-8

Delete User API コール 6-8

ユーザの削除要求のサンプル 6-8

ユーザの削除応答のサンプル 6-8

エンドポイントの外部 RESTful サービス API コール 6-9

エンドポイントのスキーマ 6-9

Get All Endpoints API コール 6-9

viCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

Contents

すべてのエンドポイントの取得要求のサンプル 6-10

すべてのエンドポイントの取得応答のサンプル 6-10

Get Endpoint API コール 6-10

エンドポイントの取得要求のサンプル 6-11

エンドポイントの取得応答のサンプル 6-11

Create Endpoint API コール 6-11

エンドポイントの作成要求のサンプル 6-12

エンドポイントの作成応答のサンプル 6-12

Update Endpoint API コール 6-12

エンドポイントの更新要求のサンプル 6-13

エンドポイントの更新応答のサンプル 6-13

Delete Endpoint API コール 6-14

エンドポイントの削除要求のサンプル 6-14

エンドポイントの削除応答のサンプル 6-14

Register Endpoint API コール 6-14

エンドポイントの登録要求のサンプル 6-15

エンドポイントの登録応答のサンプル 6-15

Deregister Endpoint API コール 6-15

エンドポイントの登録解除要求のサンプル 6-16

エンドポイントの登録解除応答のサンプル 6-16

エンドポイント ID グループの外部 RESTful サービス API コール 6-16

エンドポイント ID グループのスキーマ 6-17

Get All Endpoint Identity Groups API コール 6-17

すべてのエンドポイント ID グループの取得要求のサンプル 6-17

すべてのエンドポイント ID グループの取得応答のサンプル 6-18

Get Endpoint Identity Group API コール 6-18

エンドポイント ID グループの取得要求のサンプル 6-18

エンドポイント ID グループの取得応答のサンプル 6-18

Create Endpoint Identity Group API コール 6-19

エンドポイント ID グループの作成要求のサンプル 6-19

エンドポイント ID グループの作成応答のサンプル 6-19

Update Endpoint Identity Group API コール 6-20

エンドポイント ID グループの更新要求のサンプル 6-20

エンドポイント ID グループの更新応答のサンプル 6-20

Delete Endpoint Identity Group API コール 6-21

エンドポイント ID グループの削除要求のサンプル 6-21

エンドポイント ID グループの削除応答のサンプル 6-21

Profiler プロファイルの外部 RESTful サービス API コール 6-21

Profiler プロファイルのスキーマ 6-22

Get All Profiles API コール 6-22

viiCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

Contents

すべてのプロファイルの取得要求のサンプル 6-22

すべてのプロファイルの取得応答のサンプル 6-23

Get Profile API コール 6-23

プロファイルの取得要求のサンプル 6-23

プロファイルの取得応答のサンプル 6-24

Create Profile API コール 6-24

プロファイルの作成要求のサンプル 6-24

プロファイルの作成応答のサンプル 6-25

ID グループの外部 RESTful サービス API コール 6-25

ID グループのスキーマ 6-25

Get All Identity Groups API コール 6-25

すべての ID グループの取得要求のサンプル 6-26

すべての ID グループの取得応答のサンプル 6-26

Get Identity Group API コール 6-26

ID グループの取得要求のサンプル 6-27

ID グループの取得応答のサンプル 6-27

セキュリティ グループ タグの外部 RESTful サービス API コール 6-27

Get All SGTs API コール 6-28

すべての SGT の取得要求のサンプル 6-28

すべての SGT の取得応答のサンプル 6-28

Get SGT API コール 6-28

SGT の取得要求のサンプル 6-29

SGT の取得応答のサンプル 6-29

REST API クライアントの使用方法 6-29

GET を使用した外部 RESTful サービス API コールの実行 6-30

URI 6-30

Accept ヘッダー 6-31

Authorization ヘッダー 6-31

POSTMAN を使用した GET 要求の実行 6-31

POST を使用した外部 RESTful サービス API コールの実行 6-32

URI 6-32

Content-Type ヘッダー 6-33

Authorization ヘッダー 6-33

POSTMAN を使用した POST 要求の実行 6-33

PUT を使用した外部 RESTful サービス API コールの実行 6-34

URI 6-35

Content-Type ヘッダー 6-35

Authorization ヘッダー 6-35

POSTMAN を使用した PUT 要求の実行 6-35

viiiCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

Contents

DELETE を使用した外部 RESTful サービス API コールの実行 6-36

URI 6-37

Accept ヘッダー 6-37

Authorization ヘッダー 6-37

POSTMAN を使用した DELETE 要求の実行 6-37

外部 RESTful サービス Java デモ アプリケーション 6-38

外部 RESTful サービス Java デモ アプリケーションのダウンロード 6-39

A P P E N D I X A 障害理由レポートの使用方法 A-1

障害理由の表示 A-1

ixCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

Contents

xCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

はじめに

• 「目的」（P.vii）

• 「対象読者」（P.vii）

• 「マニュアルの構成」（P.vii）

• 「ドキュメントの表記法」（P.viii）

• 「関連資料」（P.viii）

• 「マニュアルの入手方法およびテクニカル サポート」（P.x）

目的このガイドは、Cisco ISE 導入において概説された API を使用するための基本的な注意事項を、開発

者、システム管理者やネットワーク管理者、またはシステム インテグレータに提供します。

外部 RESTful サービス API および関連 API コールは、Cisco ISE リソースに対して CRUD（作成、読

み取り、更新、削除）操作を実行するために使用できます。外部 RESTful サービス API は、HTTP プロトコルおよび REST 方法論に基づいています。

（注） このガイドは、『Cisco Identity Services Engine User Guide, Release 1.2』に代わるものではありませ

ん。Cisco ISE ネットワークとそのノードおよびペルソナ、動作または用途の概念、Cisco ISE ユーザ インターフェイスの使用法の詳細については、『Cisco Identity Services Engine User Guide, Release 1.2 』を参照してください。

対象読者このガイドは、Cisco ISE アプライアンスを管理する経験豊富なネットワーク管理者、API を利用する

システム インテグレータ、Cisco ISE 導入の管理やトラブルシューティングの役割を持つサードパー

ティ製パートナーを対象としています。このガイドを使用する前提条件として、トラブルシューティン

グと診断方法についてと、API コールの作成および解釈方法について、基礎を理解しておく必要があり

ます。

マニュアルの構成• Part 1：REST API のモニタリング

viiCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

– 第 1 章「Monitoring REST API の概要」

– 第 2 章「セッション管理用の API コールの使用方法」

– 第 3 章「トラブルシューティング用の API コールの使用方法」

– 第 4 章「認可変更 REST API の使用方法」

• Part 2：外部 RESTful API サービス API

– 第 5 章「外部 RESTful サービス API の概要」

– 第 6 章「外部 RESTful サービス コール」

• Reference

– 付録 A「障害理由レポートの使用方法」

ドキュメントの表記法

（注） 「注釈」です。役立つ情報や、このマニュアル以外の参照資料などを紹介しています。

関連資料• 「このリリースのマニュアル」（P.ix）

• 「プラットフォーム別のマニュアル」（P.ix）

（注） 印刷物または電子マニュアルの更新は、

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html を参照してください。

表記法 項目

bold 手順テキストのタブおよびボタン名のほか、コマ

ンド、キーワード、およびユーザが入力するテキ

ストは太字で記載されます。

italic ドキュメント名、新規用語または強調する用語、

値を指定するための引数は、italic フォントで示

しています。

courier システムが表示する端末セッションおよび情報

は、courier（モノスペース、固定幅）フォントで

示しています。

> スペースで囲まれた右山カッコ（>）は、メ

ニュー パスでオプションを区切るために使用され

ます。

< > ASCII 出力など、イタリック体が許可されない例

では、値を指定する必要がある引数は山カッコで

表示します。

viiiCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

このリリースのマニュアル

プラットフォーム別のマニュアル

• Cisco ISEhttp://www.cisco.com/en/US/products/ps11640/index.html

• Cisco Secure Access Control Server（ACS）http://www.cisco.com/en/US/products/ps9911/tsd_products_support_series_home.html

• Cisco NAC アプライアンスhttp://www.cisco.com/en/US/products/ps6128/tsd_products_support_series_home.html

• Cisco NAC プロファイラhttp://www.cisco.com/en/US/products/ps8464/tsd_products_support_series_home.html

• Cisco NAC ゲスト サーバhttp://www.cisco.com/en/US/products/ps10160/tsd_products_support_series_home.html

表 1 Cisco Identity Services Engine の製品マニュアル

マニュアル名 参照先

『Release Notes for the Cisco Identity Services Engine, Release 1.2』

http://www.cisco.com/en/US/products/ps11640/prod_release_notes_list.html

『Cisco Identity Services Engine Network Component Compatibility, Release 1.2』

http://www.cisco.com/en/US/products/ps11640/products_device_support_tables_list.html

『Cisco Identity Services Engine User Guide, Release 1.2』

http://www.cisco.com/en/US/products/ps11640/products_user_guide_list.html

『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』

http://www.cisco.com/en/US/products/ps11640/prod_installation_guides_list.html

『Cisco Identity Services Engine, Release 1.2 Migration Tool Guide』

http://www.cisco.com/en/US/products/ps11640/prod_installation_guides_list.html

『Cisco Identity Services Engine Sponsor Portal User Guide, Release 1.2』

http://www.cisco.com/en/US/products/ps11640/products_user_guide_list.html

『Cisco Identity Services Engine CLI Reference Guide, Release 1.2』

http://www.cisco.com/en/US/products/ps11640/prod_command_reference_list.html

『Cisco Identity Services Engine Troubleshooting Guide, Release 1.2』

http://www.cisco.com/en/US/products/ps11640/prod_troubleshooting_guides_list.html

『Regulatory Compliance and Safety Information for Cisco Identity Services Engine, Cisco 1121 Secure Access Control System, Cisco NAC Appliance, Cisco NAC Guest Server, and Cisco NAC Profiler』

http://www.cisco.com/en/US/products/ps11640/prod_installation_guides_list.html

『Cisco Identity Services Engine In-Box Documentation and China RoHS Pointer Card』

http://www.cisco.com/en/US/products/ps11640/products_documentation_roadmaps_list.html

ixCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

マニュアルの入手方法およびテクニカル サポートマニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新

される『What's New in Cisco Product Documentation』を参照してください。シスコの新規および改訂

版の技術マニュアルの一覧も示されています。

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

『What's New in Cisco Product Documentation』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできま

す。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。

xCisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

P A R T 1

Monitoring REST API

Cisco Identity ServicesOL-26134-01-J

C H A P T E R 1

Monitoring REST API の概要

Monitoring REST API では、ネットワークでモニタリング ノードを使用して、セッションおよびノー

ド固有の情報を収集することができます。セッションは、目的のノードにアクセスしてから情報の収集

に必要な操作を完了するまでの期間として定義されます。

次の Monitoring REST API カテゴリが Cisco ISE Release 1.2 でサポートされます :

• セッション管理

• トラブルシューティング

• 認可変更（CoA）

（注） Monitoring ペルソナによって監視されているエンドポイントに関する情報を収集するために、サポー

ト対象のカテゴリだけを使用できます。Monitoring は、ノード タイプが Cisco ISE Release 1.2 の導入

で実行できる、サポート対象の 3 つのペルソナの 1 つです。このガイドの残りの部分では、Cisco ISE ノードの Monitoring ペルソナを説明するため、「モニタリング ノード」を使用します。

これらのカテゴリを Cisco ISE アプライアンスの Policy service ペルソナに関する情報の収集に使用し

ようとすると、エラーが発生します。Cisco ISE ノードおよびペルソナに関する詳細については、

『Cisco Identity Services Engine User Guide, Release 1.2』を参照してください。

Monitoring REST API コールを使用すると、ネットワークで、個々のエンド ポイントに格納されてい

る重要なリアルタイムのセッション ベースの情報を検索、監視、収集することができます。モニタリ

ング ノードを通じてこの情報にアクセスできます。

収集するリアルタイムのセッション ベースの情報は、Cisco ISE 操作を理解するのに役立ち、状態や問

題の診断を支援することができます。また、モニタリング動作に影響を及ぼす可能性のあるエラー条

件、またはアクティビティや動作をトラブルシュートするために使用できます。図 1-1 に示すように、

Monitoring REST API コールは、モニタリング ノードにアクセスして Cisco ISE 導入のエンド ポイン

トに格納されている重要なセッション ベースの情報を取得する目的で使用されます。

1-1 Engine API リファレンス ガイド、リリース 1.2

第 1 章 Monitoring REST API の概要

モニタリング ノードの確認

図 1-1 分散展開での Monitoring REST API コール

モニタリング ノードの確認

はじめる前に

API コールをモニタリング ノードで正常に呼び出す前に、監視するノードが有効なノードであること

を確認しておく必要があります。

（注） パブリック Monitoring REST API を使用できるようにするには、最初に有効なクレデンシャルを使用

して Cisco ISE で認証を受ける必要があります。

ステップ 1 有効なログイン クレデンシャル（ユーザ名とパスワード）を [Cisco ISE ログイン（Cisco ISE Login）] ウィンドウに入力し、[ログイン（Login）] をクリックします。

Cisco ISE ダッシュボードとユーザ インターフェイスが表示されます。

ステップ 2 [許可（Authorization）] > [システム（System）] > [展開（Deployment）] の順に選択します。

展開されたすべての設定済みノードがリストされた [ 展開ノード（Deployment Nodes）] ページが表示

されます。

ステップ 3 [展開ノード（Deployment Nodes）] ページの [ロール（Roles）] カラムで、モニタするターゲット ノードのロールがモニタリング ノードとしてリストされていることを確認します。

サポートされる API コール次の表で、さまざまな種類の API コールを説明し、API コールの形式の例を示します。

• 表 1-1（P.1-3）：セッション管理用の API コールを定義します。

• 表 1-2（P.1-6）：トラブルシューティング用の API コールを定義します。

Adminstration

Policy service

Monitoring

Web

Java

PHP

Cisco ISE

RESTHTTPS

API

3101

31

1-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 1 章 Monitoring REST API の概要

サポートされる API コール

• 表 1-3（P.1-7）：CoA API コールを定義します。

Cisco ISE でサポートされる Monitoring REST API を使用して認証を受けるため、汎用プログラマチッ

ク インターフェイスを使用する計画の場合、Cisco ISE と使用するツールを接続する REST ベースのク

ライアントを最初に作成する必要があります。次に、この REST クライアントを使用して Cisco ISE Monitoring REST API で認証を受け、API 要求を変換してモニタリング ノードに送信します。そして、

API 応答を再変換し、指定されたツールに引き渡します。

表 1-1 Cisco ISE セッション管理 API コール

API コール カテゴリ 説明と例

セッション カウンタ

ActiveCount アクティブなセッションの数をリストします。

https://<ISEhost>/ise/mnt/Session/ActiveCount

PostureCount ポスチャされたエンドポイントの数をリストします。

https://<ISEhost>/ise/mnt/Session/PostureCount

（注） ポスチャとは、Cisco ISE ネットワークに接続しているすべて

のエンドポイントの状態（またはポスチャ）の確認を支援す

るサービスです。Cisco ISE は、デバイスのポスチャ コンプ

ライアンスを確認するために NAC Agent を使用します。

ProfilerCount アクティブなプロファイラ サービス セッションの数をリストします。

https://<ISEhost>/ise/mnt/Session/ProfilerCount

（注） プロファイラとは、Cisco ISE ネットワークにあるすべての接

続エンドポイントの機能の識別、検索、確認を支援するサー

ビスです。

1-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 1 章 Monitoring REST API の概要

サポートされる API コール

セッション リスト

（注） セッション リストには、MAC アドレス、ネットワーク アクセス デバイス（NAD）の IP アドレス、ユーザ名、セッションに関連付けられているセッション ID 情報が含まれます。

ActiveList すべてのアクティブなセッションをリストします。

https://<ISEhost>/ise/mnt/Session/ActiveList

（注） Cisco ISE のこのリリースでは、アクティブな認証済みエンド

ポイント セッションの表示可能な最大数は、250,000 に制限

されています。

AuthList 現在アクティブなすべての認証済みセッションをリストします。

https://<ISEhost>/ise/mnt/Session/AuthList/<parameteroptions>

異なる値を返す次のパラメータ オプションを指定できます。

• null/null：すべてのアクティブな認証済みセッションをリストし

ます。

• null/endtime：指定された終了時刻の後にアクティブなすべての

認証済みセッションがリストされます。

• starttime/null：指定された開始時刻の前にアクティブなすべての

認証済みセッションがリストされます。

• starttime/endtime：指定された開始時刻と終了時刻の間で認証さ

れたすべてのアクティブなセッションがリストされます。

次の形式で、開始時刻と終了時刻の日付と時刻を入力します。

YYYY-MM-DD hh:mm:ss.s

値は次のとおりです。

• YYYY：4 桁の年

• MM：2 桁の月（01 = 1 月など）

• DD：2 桁の日（01 ～ 31）

• hh：2 桁の時刻（00 ～ 23）（a.m.と p.m. は 使用できません）

• mm：2 桁の分（00 ～ 59）

• ss：2 桁の秒（00 ～ 59）

• s：秒の小数を表す 1 桁以上の値

（注） すべての Cisco ISE ノードは、タイム ゾーンを使用して設定

されます。推奨されるタイム ゾーンは UTC です。

4 つのパラメータ オプションをすべて示すサンプルについては、

「AuthList API コール データ」（P.2-8）を参照してください。

表 1-1 Cisco ISE セッション管理 API コール （続き）

API コール カテゴリ 説明と例

1-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 1 章 Monitoring REST API の概要

サポートされる API コール

セッション管理用の Cisco ISE API コールの詳細については、第 2 章「セッション管理用の API コー

ルの使用方法」を参照してください。

セッション属性

（注） これは、指定された検索属性を含む最新のセッションのタイムスタンプに基づいた検索です。

MACAddress 指定した MAC アドレスを含む最新のセッションについてデータベー

スを検索します。

https://<ISEhost>/ise/mnt/Session/MACAddress/<macaddress>

（注） XX:XX:XX:XX:XX:XX は MAC アドレス形式です。大文字

と小文字は区別されません（例：0a: 0B: 0c: 0D: 0e: 0F）。

（注） MAC アドレスは、監視対象の正しいセッションを検索する唯

一の一意のキーとして機能します。MAC アドレスの検索の

ベースとすることが可能なアクティブなすべてのセッション

と MAC アドレスをリストするには ActiveList API コールを

使用します。

UserName 指定したユーザ名を含む最新のセッションについてデータベースを検

索します。

https://<ISEhost>/ise/mnt/Session/UserName/<username>

（注） ユーザ名は、ネットワーク ユーザ名に使用しているものと同

じ Cisco ISE パスワード ポリシーに準拠している必要があり

ます。Monitoring REST API の唯一の無効な文字はバックス

ラッシュ（\）文字です。詳細については、『Cisco Identity Services Engine User Guide, Release 1.1』の「User Password Policy」を参照してください。

IPAddress 指定した NAS IP アドレスを含む最新のセッションについてデータ

ベースを検索します。

https://<ISEhost>/ise/mnt/Session/IPAddress/<nasipaddress>

（注） xxx.xxx.xxx.xxx は NAS IP アドレス形式（例：10.10.10.10）です。

表 1-1 Cisco ISE セッション管理 API コール （続き）

API コール カテゴリ 説明と例

1-5Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 1 章 Monitoring REST API の概要

サポートされる API コール

表 1-2 Cisco ISE トラブルシューティング API コール - トラブルシューティング

API コール 説明と例

Version ノードのバージョンおよびタイプをリストします。

https://<ISEhost>/ise/mnt/Version

ノードのタイプは、次の値（0 ～ 3）のいずれかです。

0：STAND_ALONE_MNT_NODE

1：ACTIVE_MNT_NODE

2：STAND_BY_MNT_NODE

3：NOT_AN_MNT_NODE

（注） STAND_ALONE_MNT_NODE は、分散展開で機能しないモニ

タリング ノードであることを意味します。

ACTIVE_MNT_NODE は、分散展開におけるプライマリ - セカ

ンダリ関係のプライマリ ノードであることを意味します。

STAND_BY_MNT_NODE は、分散展開におけるプライマリ - セカンダリ ペアのセカンダリ ノードであることを意味します。

NOT_AN_MNT_NODE は、モニタリング ノードではないこと

を意味します。サポート対象の ISE ノードおよびペルソナの詳

細については、『Cisco Identity Services Engine User Guide, Release 1.1』を参照してください。

FailureReasons 障害の理由をリストします。

https://<ISEhost>/ise/mnt/FailureReasons

各障害理由は、次の例に示すように、エラーコード（failureReason id）、簡単な説明（code）、障害理由（cause）、および可能な対処

（resolution）を表示します。

<failureReason id="100009"><code> 100009 WEBAUTH_FAIL<cause> This may or may not be indicating a violation.<resolution> Please review and resolve this issue according to your organization's policy.

（注） FailureReasons API コールは、モニタリング ノードから情報を

収集するために一度だけ呼び出されます。使用しているファイ

ル システムまたはデータベースに、返された障害理由の内容を

保存する必要があります。これらの API コールの返信内容はあ

くまでも参照用に使用することを目的としています。認証中に

問題が発生した場合、認証応答で提供される障害理由コードと、

ユーザのファイル システムまたはデータベースに保存している

た障害理由のリストと比較する必要があります。

Cisco ISE 障害理由の完全なリストについては、付録 A「障害理由レ

ポートの使用方法」を参照してください。

1-6Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 1 章 Monitoring REST API の概要

サポートされる API コール

トラブルシューティング用の Cisco ISE API コールの詳細については、第 2 章「セッション管理用の API コールの使用方法」を参照してください。

AuthStatus すべてのセッションの認証ステータスをリストします。

https://<ISEhost>/ise/mnt/AuthStatus/MACAddress/<macaddress>/<numberofseconds>/<numberofrecordspermacaddress>/All

（注） seconds パラメータ <numberofseconds> は、0 秒から 432000 秒（5 日）の範囲でユーザが設定できます。

セッション アカウンティング ステータスの取得

AcctStatus 特定の期間内のすべてのセッションのアカウンティング ステータスを

示します。

https://<ISEhost>/ise/mnt/Session/AcctStatusTT/MACAddress/<macaddress>/<numberof seconds>

（注） seconds パラメータ <numberofseconds> は、0 秒から 432000 秒（5 日）の範囲でユーザが設定できます。

表 1-2 Cisco ISE トラブルシューティング API コール - トラブルシューティング （続き）

API コール 説明と例

表 1-3 Cisco ISE 認可変更 API コール

API コール 説明と例

Reauth セッション再認証コマンドとタイプを送信します。

https://<ISEhost>/ise/mnt/CoA/Reauth/<serverhostname>/<macaddress>/<reauthtype>/<nasipaddress>/<destinationipaddress>

ここで、<ISEhost> は ISE ホストの IP アドレスを示し、

<serverhostname> は ISE サーバの名前を示し、<nasipaddress> は NAS の識別 IP アドレスを示し、<destinationipaddress> は宛先の IP アドレスを示します。

再認証タイプは次の値（0 ～ 2）のいずれかです。

0：REAUTH_TYPE_DEFAULT

1：REAUTH_TYPE_LAST

2：REAUTH_TYPE_RERUN

（注） NAS IP アドレスが不明な場合は、この時点までに必要な値を入

力できます。API はこれらの値を検索クエリーに使用します。

ただし、この API コールを実行するには、MAC アドレスを知っ

ている必要がありますが、他のパラメータはヌルにしたままに

できます。

この API コールは、CoA をリモートで実行する要求を送信する Monitoring ISE ノードでしか実行できません。Administration ISE ノー

ドは、これらの CoA API コールの実行には関係ないか、必要がありま

せん。

1-7Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 1 章 Monitoring REST API の概要

サポートされる API コール

Cisco ISE 認可変更 API コールに関する詳細については、第 4 章「認可変更 REST API の使用方法」を

参照してください。

HTTP PUT API コール

表 1-2 の AuthStatus API コールと同様に、クライアントがアカウント ステータスを取得できるように

する API コールの HTTP PUT バージョンがあります。Monitoring REST API は、HTTP GET コール

について記述したこのマニュアルの例で示すように、HTTP PUT と HTTP GET の両方のコールをサ

ポートします。HTTP PUT は、パラメータの入力が必要なコールの必要性に対処します。次のスキー

マ ファイルの例は、アカウント ステータスの要求です。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="acctRequest" type="mnTRESTAcctRequest"/>

<xs:complexType name="mnTRESTAcctRequest"> <xs:complexContent> <xs:extension base="mnTRESTRequest"> <xs:sequence> <xs:element name="duration" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:extension> </xs:complexContent> </xs:complexType> <xs:complexType name="mnTRESTRequest" abstract="true"> <xs:sequence> <xs:element name="valueList"> <xs:complexType> <xs:sequence> <xs:element name="value" type="xs:string" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType> </xs:element> <xs:element name="searchCriteria" type="xs:string"/>

セッション切断

Disconnect セッション切断コマンドおよびポート オプション タイプを送信します。

https://<ISEhost>/ise/mnt/CoA/Disconnect/<serverhostname>/<macaddress>/<disconnecttype>/<nasipaddress>/<destinationipaddress>

ポート オプション タイプは次の値（0 ～ 2）のいずれかです。

0：DYNAMIC_AUTHZ_PORT_DEFAULT

1：DYNAMIC_AUTHZ_PORT_BOUNCE

2：DYNAMIC_AUTHZ_PORT_SHUTDOWN

（注） NAS IP アドレスが不明な場合は、この時点までに必要な値を入

力します。API はこれらの値を検索クエリーに使用します。た

だし、この API コールを実行するには、MAC アドレスを知って

いる必要がありますが、他のパラメータはヌルにしたままにで

きます。

表 1-3 Cisco ISE 認可変更 API コール （続き）

API コール 説明と例

1-8Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 1 章 Monitoring REST API の概要

サポートされる API コール

</xs:sequence> </xs:complexType></xs:schema>

1-9Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 1 章 Monitoring REST API の概要

サポートされる API コール

1-10Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

Cisco Identity ServicesOL-26134-01-J

C H A P T E R 2

セッション管理用の API コールの使用方法

Cisco ISE セッション管理 API コールは、セッション関連の情報を取得するためにモニタリング ノード

を使用します。次の項では、コールの各タイプを説明するほかに、出力スキーマ ファイルの例、各

コール発行の手順、返されるデータのサンプル、および古いセッションの削除方法について説明しま

す。

• 「セッション カウンタ API コール」（P.2-1）

• 「セッション リスト API コール」（P.2-5）

• 「Session Attribute API コール」（P.2-10）

• 「古いセッションの削除」（P.2-23）

セッション カウンタ API コール次の API コールによって、Cisco ISE 展開におけるターゲット モニタリング ノードのセッション関連

情報の現在のカウントをすぐに収集できるようになります。

• ActiveCount：アクティブなセッション数をカウントします。

• PostureCount：ポスチャされたセッション数をカウントします。

• ProfilerCount：プロファイリングされたセッション数をカウントします。

ActiveCount API コールの使用方法

アクティブなセッションの数を取得するために ActiveCount API コールを使用できます。ここでは、

次の項目について説明します。

• 「ActiveCount API コールのスキーマ ファイル」（P.2-1）

• 「ActiveCount API コールの呼び出し」（P.2-2）

• 「ActiveCount API コール データ」（P.2-2）

ActiveCount API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="sessionCount" type="activeCount"/> <xs:complexType name="activeCount"> <xs:sequence>

2-1 Engine API リファレンス ガイド、リリース 1.2

第 2 章 セッション管理用の API コールの使用方法

セッション カウンタ API コール

<xs:element name="count" type="xs:int"/> </xs:sequence> </xs:complexType></xs:schema>

ActiveCount API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2）を参照してくだ

さい。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント（/ise/mnt/Session/<specific-api-call>）に

置き換えて、ターゲット ノードの URL アドレス フィールドに ActiveCount API コールを入力します。

https://acme123/ise/mnt/Session/ActiveCount

（注） これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー

ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、

ターゲット モニタリング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

ActiveCount API コール データ

This XML file does not appear to have any style information associated with it. The document tree is shown below.-<sessionCount><count>5</count></sessionCount>

PostureCount API コールの使用方法

アクティブなポスチャ セッションの数を取得するために PostureCount API コールを使用できます。こ

こでは、次の項目について説明します。

• 「PostureCount API コールのスキーマ ファイル」（P.2-3）

• 「PostureCount API コールの呼び出し」（P.2-3）

• 「PostureCount API コール データ」（P.2-3）

2-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

セッション カウンタ API コール

PostureCount API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="sessionCount" type="postureCount"/>

<xs:complexType name="postureCount"> <xs:sequence> <xs:element name="count" type="xs:int"/> </xs:sequence> </xs:complexType></xs:schema>

PostureCount API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2）を参照してくだ

さい。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント（/ise/mnt/Session/<specific-api-call>）に

置き換えて、ターゲット ノードの URL アドレス フィールドに PostureCount API コールを入力します。

https://acme123/ise/mnt/Session/PostureCount

（注） これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー

ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、

ターゲット モニタリング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

PostureCount API コール データ

This XML file does not appear to have any style information associated with it. The document tree is shown below. -<sessionCount><count>3</count></sessionCount>

2-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

セッション カウンタ API コール

ProfilerCount API コールの使用方法

アクティブなプロファイラ セッションの数を取得するために ProfilerCount API コールを使用できま

す。ここでは、次の項目について説明します。

• 「ProfilerCount API コールのスキーマ ファイル」（P.2-4）

• 「ProfilerCount API コールの呼び出し」（P.2-4）

• 「ProfilerCount API コール データ」（P.2-5）

ProfilerCount API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="sessionCount" type="profilerCount"/>

<xs:complexType name="profilerCount"> <xs:sequence> <xs:element name="count" type="xs:int"/> </xs:sequence> </xs:complexType></xs:schema>

ProfilerCount API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2）を参照してくだ

さい。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント（/ise/mnt/Session/<specific-api-call>）に

置き換えて、ターゲット ノードの URL アドレス フィールドに ProfilerCount API コールを入力しま

す。

https://acme123/ise/mnt/Session/ProfilerCount

（注） これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー

ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、

ターゲット モニタリング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

2-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

セッション リスト API コール

ProfilerCount API コール データ

This XML file does not appear to have any style information associated with it. The document tree is shown below. -<sessionCount><count>1</count></sessionCount>

セッション リスト API コール次のセッション リスト API コールによって、Cisco ISE 展開におけるターゲット モニタリング ノード

の現在のアクティブ セッションに関連する MAC アドレス、ネットワーク アクセス デバイス（NAD）

の IP アドレス、ユーザ名、セッション ID などのセッション関連の情報をすぐに収集できるようになり

ます。

• ActiveList：アクティブなセッションをリストします

• AuthList：認証済みセッションをリストします

ActiveList API コールの使用方法

すべてのアクティブなセッションをリストするには ActiveList API コールを使用できます。ここでは、

次の項目について説明します。

• 「ActiveList API コールのスキーマ ファイル」（P.2-5）

• 「ActiveList API コールの呼び出し」（P.2-6）

• 「ActiveList API コール データ」（P.2-6）

（注） Cisco ISE のこのリリースでは、アクティブな認証済みエンドポイント セッションの表示可能な最大数

は、100,000 です。

ActiveList API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="activeSessionList" type="simpleActiveSessionList"/>

<xs:complexType name="simpleActiveSessionList"> <xs:sequence> <xs:element name="activeSession" type="simpleActiveSession" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="noOfActiveSession" type="xs:int" use="required"/> </xs:complexType>

<xs:complexType name="simpleActiveSession"> <xs:sequence> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/>

2-5Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

セッション リスト API コール

<xs:element name="acct_session_id" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="server" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:complexType></xs:schema>

ActiveList API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2）を参照してくだ

さい。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント（/ise/mnt/Session/<specific-api-call>）に

置き換えて、ターゲット ノードの URL アドレス フィールドに ActiveList API コールを入力します。

https://acme123/ise/mnt/Session/ActiveList

（注） これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー

ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、

ターゲット モニタリング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

ActiveList API コール データ

This XML file does not appear to have any style information associated with it. The document tree is shown below. -<activeSessionList noOfActiveSession="5">-<activeSession><calling_station_id>00:0C:29:FA:EF:0A</calling_station_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><calling_station_id>70:5A:B6:68:F7:CC</calling_station_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>tom_wolfe</user_name><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address>

2-6Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

セッション リスト API コール

<acct_session_id>00000032</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>graham_hancock</user_name><calling_station_id>00:50:56:8E:28:BD</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>0000002C</acct_session_id><audit_session_id>0ACB6BA10000002A165FD0C8</audit_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>ipepvpnuser</user_name><calling_station_id>172.23.130.89</calling_station_id><nas_ip_address>10.203.107.45</nas_ip_address><acct_session_id>A2000070</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession></activeSessionList>

AuthList API コールの使用方法

すべてのアクティブな認証セッションのリストを取得するために AuthList API コールを使用できます。

ここでは、次の項目について説明します。

• 「AuthList API コールのスキーマ ファイル」（P.2-7）

• 「AuthList API コールの呼び出し」（P.2-8）

• 「AuthList API コール データ」（P.2-8）

（注） Cisco ISE のこのリリースでは、アクティブな認証済みエンドポイント セッションの表示可能な最大数

は、100,000 です。

AuthList API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="activeSessionList" type="simpleActiveSessionList"/>

<xs:complexType name="simpleActiveSessionList"> <xs:sequence> <xs:element name="activeSession" type="simpleActiveSession" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="noOfActiveSession" type="xs:int" use="required"/> </xs:complexType>

<xs:complexType name="simpleActiveSession"> <xs:sequence> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="acct_session_id" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="server" type="xs:string" minOccurs="0"/>

2-7Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

セッション リスト API コール

</xs:sequence> </xs:complexType></xs:schema>

AuthList API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2）を参照してくだ

さい。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント（/ise/mnt/Session/<specific-api-call>）に

置き換えて、ターゲット ノードの URL アドレス フィールドに AuthList API コールを入力します。

（注） 次の 2 つの例の 1 番目では、定義済みの開始時刻パラメータおよび null パラメータを使用し、

指定した開始時刻以降に認証された現在アクティブなセッションのリストを表示します。2 番目の例は、現在アクティブなすべての認証済みセッションのリストを表示する「null/null」パ

ラメータを使用します。この API コールに対する 4 種類のパラメータ設定の例については、

「AuthList API コール データ」（P.2-8）を参照してください。

https://acme123/ise/mnt/Session/AuthList/2010-12-14 15:33:15/null

https://acme123/ise/mnt/Session/AuthList/null/null

（注） これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー

ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、

ターゲット モニタリング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

AuthList API コール データ

null/null オプションの使用

This XML file does not appear to have any style information associated with it. The document tree is shown below. -<activeSessionList noOfActiveSession="3">-<activeSession><user_name>ipepwlcuser</user_name><calling_station_id>00:26:82:7B:D2:51</calling_station_id><nas_ip_address>10.203.107.10</nas_ip_address>

2-8Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

セッション リスト API コール

<audit_session_id>0acb6b0c000000174D07F487</audit_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>tom_wolfe</user_name><calling_station_id>00:50:56:8E:28:BD</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000035</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>graham_hancock</user_name><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000033</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession></activeSessionList>

endtime/null オプションの使用

This XML file does not appear to have any style information associated with it. The document tree is shown below.

-<activeSessionList noOfActiveSession="3">-<activeSession><user_name>ipepwlcuser</user_name><calling_station_id>00:26:82:7B:D2:51</calling_station_id><nas_ip_address>10.203.107.10</nas_ip_address><audit_session_id>0acb6b0c0000001F4D08085A</audit_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>hunter_thompson</user_name><calling_station_id>00:50:56:8E:28:BD</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000035</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>bob_ludlum</user_name><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000033</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession></activeSessionList>

null/starttime オプションの使用

This XML file does not appear to have any style information associated with it. The document tree is shown below. -<activeSessionList noOfActiveSession="3">-<activeSession><user_name>ipepwlcuser</user_name>

2-9Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

<calling_station_id>00:26:82:7B:D2:51</calling_station_id><nas_ip_address>10.203.107.10</nas_ip_address><audit_session_id>0acb6b0c0000001F4D08085A</audit_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>bob_ludlum</user_name><calling_station_id>00:50:56:8E:28:BD</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000035</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>tom_wolfe</user_name><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000033</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession></activeSessionList>

starttime/endtime オプションの使用

This XML file does not appear to have any style information associated with it. The document tree is shown below.-<activeSessionList noOfActiveSession="3">-<activeSession><user_name>ipepwlcuser</user_name><calling_station_id>00:26:82:7B:D2:51</calling_station_id><nas_ip_address>10.203.107.10</nas_ip_address><audit_session_id>0acb6b0c0000001F4D08085A</audit_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>graham_hancock</user_name><calling_station_id>00:50:56:8E:28:BD</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000035</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession>-<activeSession><user_name>hunter_thompson</user_name><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_ip_address>10.203.107.161</nas_ip_address><acct_session_id>00000033</acct_session_id><server>HAREESH-R6-1-PDP2</server></activeSession></activeSessionList>

Session Attribute API コール次の Session Attribute API コールによって、次のようなキー情報の最新のセッションをすぐに検索する

ことができるようになります。

• MACAddress API コールを使用した MAC アドレス セッションの検索

2-10Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

• UserName API コールを使用したユーザ名セッションの検索

• IPAddress API コールを使用した NAS IP アドレス セッションの検索

MACAddress API コールの使用方法

ターゲット モニタリング ノード上のアクティブなセッションから、指定した MAC アドレスを取得す

るには MACAddress API コールを使用します。ここでは、次の項目について説明します。

• 「MACAddress API コールのスキーマ ファイル」（P.2-11）

• 「MACAddress API コールの呼び出し」（P.2-13）

• 「MACAddress API コール データ」（P.2-13）

MACAddress API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="sessionParameters" type="restsdStatus"/>

<xs:complexType name="restsdStatus"> <xs:sequence> <xs:element name="passed" type="xs:anyType" minOccurs="0"/> <xs:element name="failed" type="xs:anyType" minOccurs="0"/> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="failure_reason" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_port" type="xs:string" minOccurs="0"/> <xs:element name="identity_group" type="xs:string" minOccurs="0"/> <xs:element name="network_device_name" type="xs:string" minOccurs="0"/> <xs:element name="acs_server" type="xs:string" minOccurs="0"/> <xs:element name="authen_protocol" type="xs:string" minOccurs="0"/> <xs:element name="framed_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="network_device_groups" type="xs:string" minOccurs="0"/> <xs:element name="access_service" type="xs:string" minOccurs="0"/> <xs:element name="auth_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="authentication_method" type="xs:string" minOccurs="0"/> <xs:element name="execution_steps" type="xs:string" minOccurs="0"/> <xs:element name="radius_response" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_identifier" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_id" type="xs:string" minOccurs="0"/> <xs:element name="nac_policy_compliance" type="xs:string" minOccurs="0"/> <xs:element name="auth_id" type="xs:long" minOccurs="0"/> <xs:element name="auth_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="message_code" type="xs:string" minOccurs="0"/> <xs:element name="acs_session_id" type="xs:string" minOccurs="0"/> <xs:element name="service_selection_policy" type="xs:string" minOccurs="0"/> <xs:element name="authorization_policy" type="xs:string" minOccurs="0"/> <xs:element name="identity_store" type="xs:string" minOccurs="0"/> <xs:element name="response" type="xs:string" minOccurs="0"/> <xs:element name="service_type" type="xs:string" minOccurs="0"/> <xs:element name="cts_security_group" type="xs:string" minOccurs="0"/> <xs:element name="use_case" type="xs:string" minOccurs="0"/> <xs:element name="cisco_av_pair" type="xs:string" minOccurs="0"/> <xs:element name="ad_domain" type="xs:string" minOccurs="0"/> <xs:element name="acs_username" type="xs:string" minOccurs="0"/> <xs:element name="radius_username" type="xs:string" minOccurs="0"/>

2-11Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

<xs:element name="nac_role" type="xs:string" minOccurs="0"/> <xs:element name="nac_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_posture_token" type="xs:string" minOccurs="0"/> <xs:element name="nac_radius_is_user_auth" type="xs:string" minOccurs="0"/> <xs:element name="selected_posture_server" type="xs:string" minOccurs="0"/> <xs:element name="selected_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="authentication_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="azn_exp_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="ext_pol_server_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="grp_mapping_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="identity_policy_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_type" type="xs:string" minOccurs="0"/> <xs:element name="query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="selected_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="sel_exp_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="selected_query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="eap_tunnel" type="xs:string" minOccurs="0"/> <xs:element name="tunnel_details" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_attributes" type="xs:string" minOccurs="0"/> <xs:element name="cisco_ssg_attributes" type="xs:string" minOccurs="0"/> <xs:element name="other_attributes" type="xs:string" minOccurs="0"/> <xs:element name="response_time" type="xs:long" minOccurs="0"/> <xs:element name="nad_failure" type="xs:anyType" minOccurs="0"/> <xs:element name="destination_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="acct_id" type="xs:long" minOccurs="0"/> <xs:element name="acct_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_status_type" type="xs:string" minOccurs="0"/> <xs:element name="acct_session_time" type="xs:long" minOccurs="0"/> <xs:element name="acct_input_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_output_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_input_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_output_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_class" type="xs:string" minOccurs="0"/> <xs:element name="acct_terminate_cause" type="xs:string" minOccurs="0"/> <xs:element name="acct_multi_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_authentic" type="xs:string" minOccurs="0"/> <xs:element name="termination_action" type="xs:string" minOccurs="0"/> <xs:element name="session_timeout" type="xs:string" minOccurs="0"/> <xs:element name="idle_timeout" type="xs:string" minOccurs="0"/> <xs:element name="acct_interim_interval" type="xs:string" minOccurs="0"/> <xs:element name="acct_delay_time" type="xs:string" minOccurs="0"/> <xs:element name="event_timestamp" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_connection" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_packet_lost" type="xs:string" minOccurs="0"/> <xs:element name="security_group" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_setup_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_connect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_disconnect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="framed_protocol" type="xs:string" minOccurs="0"/> <xs:element name="started" type="xs:anyType" minOccurs="0"/> <xs:element name="stopped" type="xs:anyType" minOccurs="0"/> <xs:element name="ckpt_id" type="xs:long" minOccurs="0"/> <xs:element name="type" type="xs:long" minOccurs="0"/> <xs:element name="nad_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="vlan" type="xs:string" minOccurs="0"/> <xs:element name="dacl" type="xs:string" minOccurs="0"/> <xs:element name="authentication_type" type="xs:string" minOccurs="0"/> <xs:element name="interface_name" type="xs:string" minOccurs="0"/> <xs:element name="reason" type="xs:string" minOccurs="0"/> <xs:element name="endpoint_policy" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:complexType>

2-12Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

</xs:schema>

MACAddress API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2）を参照してくだ

さい。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント

（/ise/mnt/Session/<specific-api-call>/<macaddress>）に置き換えて、ターゲット ノードの URL アドレ

ス フィールドに MACAddress API コールを入力します。

https://acme123/ise/mnt/Session/MACAddress/0A:0B:0C:0D:0E:0F

（注） XX:XX:XX:XX:XX:XX 形式を使用して MAC アドレスを指定していることを確認します。

（注） これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー

ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、

ターゲット モニタリング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

（注） この API コールは、直近の 5 日の間に作成されたセッション データだけを返します。

MACAddress API コール データ

This XML file does not appear to have any style information associated with it. The document tree is shown below.

-<sessionParameters><passed xsi:type="xs:boolean">true</passed><failed xsi:type="xs:boolean">false</failed><user_name>hunter_thompson</user_name><nas_ip_address>10.203.107.161</nas_ip_address><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_port>50115</nas_port><identity_group>Profiled</identity_group><network_device_name>Core-Switch</network_device_name><acs_server>HAREESH-R6-1-PDP2</acs_server><authen_protocol>Lookup</authen_protocol>

2-13Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

-<network_device_groups>Device Type#All Device Types,Location#All Locations</network_device_groups><access_service>RADIUS</access_service><auth_acs_timestamp>2010-12-15T02:11:12.359Z</auth_acs_timestamp><authentication_method>mab</authentication_method>-<execution_steps>11001,11017,11027,15008,15048,15004,15041,15004,15013,24209,24211,22037,15036,15048,15048,15004,15016,11022,11002</execution_steps><audit_session_id>0ACB6BA1000000351BBFBF8B</audit_session_id><nas_port_id>GigabitEthernet1/0/15</nas_port_id><nac_policy_compliance>Pending</nac_policy_compliance><auth_id>1291240762077361</auth_id><auth_acsview_timestamp>2010-12-15T02:11:12.360Z</auth_acsview_timestamp><message_code>5200</message_code><acs_session_id>HAREESH-R6-1-PDP2/81148292/681</acs_session_id><service_selection_policy>MAB</service_selection_policy><identity_store>Internal Hosts</identity_store>-<response>{UserName=00-14-BF-5A-0C-03; User-Name=00-14-BF-5A-0C-03; State=ReauthSession:0ACB6BA1000000351BBFBF8B; Class=CACS:0ACB6BA1000000351BBFBF8B:HAREESH-R6-1-PDP2/81148292/681; Termination-Action=RADIUS-Request; cisco-av-pair=url-redirect-acl=ACL-WEBAUTH-REDIRECT; cisco-av-pair=url-redirect=https://HAREESH-R6-1-PDP2.cisco.com:8443/guestportal/gateway?sessionId=0ACB6BA1000000351BBFBF8B&action=cwa; cisco-av-pair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-ACL-DENY-4ced8390; }</response><service_type>Call Check</service_type><use_case>Host Lookup</use_case><cisco_av_pair>audit-session-id=0ACB6BA1000000351BBFBF8B</cisco_av_pair><acs_username>00:14:BF:5A:0C:03</acs_username><radius_username>00:14:BF:5A:0C:03</radius_username><selected_identity_store>Internal Hosts</selected_identity_store><authentication_identity_store>Internal Hosts</authentication_identity_store><identity_policy_matched_rule>Default</identity_policy_matched_rule><nas_port_type>Ethernet</nas_port_type><selected_azn_profiles>CWA</selected_azn_profiles>-<other_attributes>ConfigVersionId=44,DestinationIPAddress=10.203.107.162,DestinationPort=1812,Protocol=Radius,Framed-MTU=1500,EAP-Key-Name=,CPMSessionID=0ACB6BA1000000351BBFBF8B,CPMSessionID=0ACB6BA1000000351BBFBF8B,EndPointMACAddress=00-14-BF-5A-0C-03,HostIdentityGroup=Endpoint Identity Groups:Profiled,Device Type=Device Type#All Device Types,Location=Location#All Locations,Model Name=Unknown,Software Version=Unknown,Device IP Address=10.203.107.161,Called-Station-ID=04:FE:7F:7F:C0:8F</other_attributes><response_time>77</response_time><acct_id>1291240762077386</acct_id><acct_acs_timestamp>2010-12-15T02:12:30.779Z</acct_acs_timestamp><acct_acsview_timestamp>2010-12-15T02:12:30.780Z</acct_acsview_timestamp><acct_session_id>00000038</acct_session_id><acct_status_type>Interim-Update</acct_status_type><acct_session_time>78</acct_session_time><acct_input_octets>13742</acct_input_octets><acct_output_octets>6277</acct_output_octets><acct_input_packets>108</acct_input_packets><acct_output_packets>66</acct_output_packets>-<acct_class>CACS:0ACB6BA1000000351BBFBF8B:HAREESH-R6-1-PDP2/81148292/681

2-14Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

</acct_class><acct_delay_time>0</acct_delay_time><started xsi:type="xs:boolean">false</started><stopped xsi:type="xs:boolean">false</stopped></sessionParameters>

UserName API コールの使用方法

アクティブなセッションから、指定したユーザ名を取得するには UserName API コールを使用します。

ここでは、次の項目について説明します。

• 「UserName API コールのスキーマ ファイル」（P.2-15）

• 「UserName API コールの呼び出し」（P.2-17）

• 「UserName API コール データ」（P.2-17）

UserName API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="sessionParameters" type="restsdStatus"/>

<xs:complexType name="restsdStatus"> <xs:sequence> <xs:element name="passed" type="xs:anyType" minOccurs="0"/> <xs:element name="failed" type="xs:anyType" minOccurs="0"/> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="failure_reason" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_port" type="xs:string" minOccurs="0"/> <xs:element name="identity_group" type="xs:string" minOccurs="0"/> <xs:element name="network_device_name" type="xs:string" minOccurs="0"/> <xs:element name="acs_server" type="xs:string" minOccurs="0"/> <xs:element name="authen_protocol" type="xs:string" minOccurs="0"/> <xs:element name="framed_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="network_device_groups" type="xs:string" minOccurs="0"/> <xs:element name="access_service" type="xs:string" minOccurs="0"/> <xs:element name="auth_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="authentication_method" type="xs:string" minOccurs="0"/> <xs:element name="execution_steps" type="xs:string" minOccurs="0"/> <xs:element name="radius_response" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_identifier" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_id" type="xs:string" minOccurs="0"/> <xs:element name="nac_policy_compliance" type="xs:string" minOccurs="0"/> <xs:element name="auth_id" type="xs:long" minOccurs="0"/> <xs:element name="auth_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="message_code" type="xs:string" minOccurs="0"/> <xs:element name="acs_session_id" type="xs:string" minOccurs="0"/> <xs:element name="service_selection_policy" type="xs:string" minOccurs="0"/> <xs:element name="authorization_policy" type="xs:string" minOccurs="0"/> <xs:element name="identity_store" type="xs:string" minOccurs="0"/> <xs:element name="response" type="xs:string" minOccurs="0"/> <xs:element name="service_type" type="xs:string" minOccurs="0"/> <xs:element name="cts_security_group" type="xs:string" minOccurs="0"/> <xs:element name="use_case" type="xs:string" minOccurs="0"/> <xs:element name="cisco_av_pair" type="xs:string" minOccurs="0"/> <xs:element name="ad_domain" type="xs:string" minOccurs="0"/>

2-15Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

<xs:element name="acs_username" type="xs:string" minOccurs="0"/> <xs:element name="radius_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_role" type="xs:string" minOccurs="0"/> <xs:element name="nac_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_posture_token" type="xs:string" minOccurs="0"/> <xs:element name="nac_radius_is_user_auth" type="xs:string" minOccurs="0"/> <xs:element name="selected_posture_server" type="xs:string" minOccurs="0"/> <xs:element name="selected_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="authentication_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="azn_exp_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="ext_pol_server_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="grp_mapping_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="identity_policy_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_type" type="xs:string" minOccurs="0"/> <xs:element name="query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="selected_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="sel_exp_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="selected_query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="eap_tunnel" type="xs:string" minOccurs="0"/> <xs:element name="tunnel_details" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_attributes" type="xs:string" minOccurs="0"/> <xs:element name="cisco_ssg_attributes" type="xs:string" minOccurs="0"/> <xs:element name="other_attributes" type="xs:string" minOccurs="0"/> <xs:element name="response_time" type="xs:long" minOccurs="0"/> <xs:element name="nad_failure" type="xs:anyType" minOccurs="0"/> <xs:element name="destination_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="acct_id" type="xs:long" minOccurs="0"/> <xs:element name="acct_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_status_type" type="xs:string" minOccurs="0"/> <xs:element name="acct_session_time" type="xs:long" minOccurs="0"/> <xs:element name="acct_input_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_output_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_input_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_output_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_class" type="xs:string" minOccurs="0"/> <xs:element name="acct_terminate_cause" type="xs:string" minOccurs="0"/> <xs:element name="acct_multi_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_authentic" type="xs:string" minOccurs="0"/> <xs:element name="termination_action" type="xs:string" minOccurs="0"/> <xs:element name="session_timeout" type="xs:string" minOccurs="0"/> <xs:element name="idle_timeout" type="xs:string" minOccurs="0"/> <xs:element name="acct_interim_interval" type="xs:string" minOccurs="0"/> <xs:element name="acct_delay_time" type="xs:string" minOccurs="0"/> <xs:element name="event_timestamp" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_connection" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_packet_lost" type="xs:string" minOccurs="0"/> <xs:element name="security_group" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_setup_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_connect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_disconnect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="framed_protocol" type="xs:string" minOccurs="0"/> <xs:element name="started" type="xs:anyType" minOccurs="0"/> <xs:element name="stopped" type="xs:anyType" minOccurs="0"/> <xs:element name="ckpt_id" type="xs:long" minOccurs="0"/> <xs:element name="type" type="xs:long" minOccurs="0"/> <xs:element name="nad_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="vlan" type="xs:string" minOccurs="0"/> <xs:element name="dacl" type="xs:string" minOccurs="0"/> <xs:element name="authentication_type" type="xs:string" minOccurs="0"/> <xs:element name="interface_name" type="xs:string" minOccurs="0"/> <xs:element name="reason" type="xs:string" minOccurs="0"/> <xs:element name="endpoint_policy" type="xs:string" minOccurs="0"/>

2-16Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

</xs:sequence> </xs:complexType></xs:schema>

UserName API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2）を参照してくだ

さい。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント

（/ise/mnt/Session/<specific-api-call>/<username>）に置き換えて、ターゲット ノードの URL アドレ

ス フィールドに UserName API コールを入力します。

https://acme123/ise/mnt/Session/UserName/graham_hancock

（注） これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー

ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、

ターゲット モニタリング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

UserName API コール データ

This XML file does not appear to have any style information associated with it. The document tree is shown below. -<sessionParameters><passed xsi:type="xs:boolean">true</passed><failed xsi:type="xs:boolean">false</failed><user_name>graham_hancock</user_name><nas_ip_address>10.203.107.161</nas_ip_address><calling_station_id>00:14:BF:5A:0C:03</calling_station_id><nas_port>50115</nas_port><identity_group>Profiled</identity_group><network_device_name>Core-Switch</network_device_name><acs_server>HAREESH-R6-1-PDP2</acs_server><authen_protocol>Lookup</authen_protocol>-<network_device_groups>Device Type#All Device Types,Location#All Locations</network_device_groups><access_service>RADIUS</access_service><auth_acs_timestamp>2010-12-15T02:11:12.359Z</auth_acs_timestamp><authentication_method>mab</authentication_method>-

2-17Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

<execution_steps>11001,11017,11027,15008,15048,15004,15041,15004,15013,24209,24211,22037,15036,15048,15048,15004,15016,11022,11002</execution_steps><audit_session_id>0ACB6BA1000000351BBFBF8B</audit_session_id><nas_port_id>GigabitEthernet1/0/15</nas_port_id><nac_policy_compliance>Pending</nac_policy_compliance><auth_id>1291240762077361</auth_id><auth_acsview_timestamp>2010-12-15T02:11:12.360Z</auth_acsview_timestamp><message_code>5200</message_code><acs_session_id>HAREESH-R6-1-PDP2/81148292/681</acs_session_id><service_selection_policy>MAB</service_selection_policy><identity_store>Internal Hosts</identity_store>-<response>{UserName=graham_hancock; User-Name=graham_hancock; State=ReauthSession:0ACB6BA1000000351BBFBF8B; Class=CACS:0ACB6BA1000000351BBFBF8B:HAREESH-R6-1-PDP2/81148292/681; Termination-Action=RADIUS-Request; cisco-av-pair=url-redirect-acl=ACL-WEBAUTH-REDIRECT; cisco-av-pair=url-redirect=https://HAREESH-R6-1-PDP2.cisco.com:8443/guestportal/gateway?sessionId=0ACB6BA1000000351BBFBF8B&action=cwa; cisco-av-pair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-ACL-DENY-4ced8390; }</response><service_type>Call Check</service_type><use_case>Host Lookup</use_case><cisco_av_pair>audit-session-id=0ACB6BA1000000351BBFBF8B</cisco_av_pair><acs_username>graham_hancock</acs_username><radius_username>00:14:BF:5A:0C:03</radius_username><selected_identity_store>Internal Hosts</selected_identity_store><authentication_identity_store>Internal Hosts</authentication_identity_store><identity_policy_matched_rule>Default</identity_policy_matched_rule><nas_port_type>Ethernet</nas_port_type><selected_azn_profiles>CWA</selected_azn_profiles>-<other_attributes>ConfigVersionId=44,DestinationIPAddress=10.203.107.162,DestinationPort=1812,Protocol=Radius,Framed-MTU=1500,EAP-Key-Name=,CPMSessionID=0ACB6BA1000000351BBFBF8B,CPMSessionID=0ACB6BA1000000351BBFBF8B,EndPointMACAddress=00-14-BF-5A-0C-03,HostIdentityGroup=Endpoint Identity Groups:Profiled,Device Type=Device Type#All Device Types,Location=Location#All Locations,Model Name=Unknown,Software Version=Unknown,Device IP Address=10.203.107.161,Called-Station-ID=04:FE:7F:7F:C0:8F</other_attributes><response_time>77</response_time><acct_id>1291240762077386</acct_id><acct_acs_timestamp>2010-12-15T02:12:30.779Z</acct_acs_timestamp><acct_acsview_timestamp>2010-12-15T02:12:30.780Z</acct_acsview_timestamp><acct_session_id>00000038</acct_session_id><acct_status_type>Interim-Update</acct_status_type><acct_session_time>78</acct_session_time><acct_input_octets>13742</acct_input_octets><acct_output_octets>6277</acct_output_octets><acct_input_packets>108</acct_input_packets><acct_output_packets>66</acct_output_packets>-<acct_class>CACS:0ACB6BA1000000351BBFBF8B:HAREESH-R6-1-PDP2/81148292/681</acct_class><acct_delay_time>0</acct_delay_time><started xsi:type="xs:boolean">false</started><stopped xsi:type="xs:boolean">false</stopped></sessionParameters>

2-18Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

IPAddress API コールの使用方法

指定したネットワーク アクセス サーバ（NAS）の IP アドレスのデータを現在のセッションから取得す

るには IPAddress API コールを使用します。ここでは、次の項目について説明します。

• 「IPAddress API コールのスキーマ ファイル」（P.2-19）

• 「IPAddress API コールの呼び出し」（P.2-21）

• 「IPAddress API コール データ」（P.2-21）

IPAddress API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="sessionParameters" type="restsdStatus"/>

<xs:complexType name="restsdStatus"> <xs:sequence> <xs:element name="passed" type="xs:anyType" minOccurs="0"/> <xs:element name="failed" type="xs:anyType" minOccurs="0"/> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="failure_reason" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_port" type="xs:string" minOccurs="0"/> <xs:element name="identity_group" type="xs:string" minOccurs="0"/> <xs:element name="network_device_name" type="xs:string" minOccurs="0"/> <xs:element name="acs_server" type="xs:string" minOccurs="0"/> <xs:element name="authen_protocol" type="xs:string" minOccurs="0"/> <xs:element name="framed_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="network_device_groups" type="xs:string" minOccurs="0"/> <xs:element name="access_service" type="xs:string" minOccurs="0"/> <xs:element name="auth_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="authentication_method" type="xs:string" minOccurs="0"/> <xs:element name="execution_steps" type="xs:string" minOccurs="0"/> <xs:element name="radius_response" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_identifier" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_id" type="xs:string" minOccurs="0"/> <xs:element name="nac_policy_compliance" type="xs:string" minOccurs="0"/> <xs:element name="auth_id" type="xs:long" minOccurs="0"/> <xs:element name="auth_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="message_code" type="xs:string" minOccurs="0"/> <xs:element name="acs_session_id" type="xs:string" minOccurs="0"/> <xs:element name="service_selection_policy" type="xs:string" minOccurs="0"/> <xs:element name="authorization_policy" type="xs:string" minOccurs="0"/> <xs:element name="identity_store" type="xs:string" minOccurs="0"/> <xs:element name="response" type="xs:string" minOccurs="0"/> <xs:element name="service_type" type="xs:string" minOccurs="0"/> <xs:element name="cts_security_group" type="xs:string" minOccurs="0"/> <xs:element name="use_case" type="xs:string" minOccurs="0"/> <xs:element name="cisco_av_pair" type="xs:string" minOccurs="0"/> <xs:element name="ad_domain" type="xs:string" minOccurs="0"/> <xs:element name="acs_username" type="xs:string" minOccurs="0"/> <xs:element name="radius_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_role" type="xs:string" minOccurs="0"/> <xs:element name="nac_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_posture_token" type="xs:string" minOccurs="0"/> <xs:element name="nac_radius_is_user_auth" type="xs:string" minOccurs="0"/> <xs:element name="selected_posture_server" type="xs:string" minOccurs="0"/>

2-19Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

<xs:element name="selected_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="authentication_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="azn_exp_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="ext_pol_server_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="grp_mapping_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="identity_policy_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_type" type="xs:string" minOccurs="0"/> <xs:element name="query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="selected_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="sel_exp_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="selected_query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="eap_tunnel" type="xs:string" minOccurs="0"/> <xs:element name="tunnel_details" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_attributes" type="xs:string" minOccurs="0"/> <xs:element name="cisco_ssg_attributes" type="xs:string" minOccurs="0"/> <xs:element name="other_attributes" type="xs:string" minOccurs="0"/> <xs:element name="response_time" type="xs:long" minOccurs="0"/> <xs:element name="nad_failure" type="xs:anyType" minOccurs="0"/> <xs:element name="destination_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="acct_id" type="xs:long" minOccurs="0"/> <xs:element name="acct_acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acct_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_status_type" type="xs:string" minOccurs="0"/> <xs:element name="acct_session_time" type="xs:long" minOccurs="0"/> <xs:element name="acct_input_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_output_octets" type="xs:string" minOccurs="0"/> <xs:element name="acct_input_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_output_packets" type="xs:long" minOccurs="0"/> <xs:element name="acct_class" type="xs:string" minOccurs="0"/> <xs:element name="acct_terminate_cause" type="xs:string" minOccurs="0"/> <xs:element name="acct_multi_session_id" type="xs:string" minOccurs="0"/> <xs:element name="acct_authentic" type="xs:string" minOccurs="0"/> <xs:element name="termination_action" type="xs:string" minOccurs="0"/> <xs:element name="session_timeout" type="xs:string" minOccurs="0"/> <xs:element name="idle_timeout" type="xs:string" minOccurs="0"/> <xs:element name="acct_interim_interval" type="xs:string" minOccurs="0"/> <xs:element name="acct_delay_time" type="xs:string" minOccurs="0"/> <xs:element name="event_timestamp" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_connection" type="xs:string" minOccurs="0"/> <xs:element name="acct_tunnel_packet_lost" type="xs:string" minOccurs="0"/> <xs:element name="security_group" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_setup_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_connect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="cisco_h323_disconnect_time" type="xs:dateTime" minOccurs="0"/> <xs:element name="framed_protocol" type="xs:string" minOccurs="0"/> <xs:element name="started" type="xs:anyType" minOccurs="0"/> <xs:element name="stopped" type="xs:anyType" minOccurs="0"/> <xs:element name="ckpt_id" type="xs:long" minOccurs="0"/> <xs:element name="type" type="xs:long" minOccurs="0"/> <xs:element name="nad_acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="vlan" type="xs:string" minOccurs="0"/> <xs:element name="dacl" type="xs:string" minOccurs="0"/> <xs:element name="authentication_type" type="xs:string" minOccurs="0"/> <xs:element name="interface_name" type="xs:string" minOccurs="0"/> <xs:element name="reason" type="xs:string" minOccurs="0"/> <xs:element name="endpoint_policy" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:complexType></xs:schema>

2-20Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

IPAddress API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2）を参照してくだ

さい。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント

（/ise/mnt/Session/<specific-api-call>/<nasipaddress>）に置き換えて、ターゲット ノードの URL アド

レス フィールドに IPAddress API コールを入力します。

https://acme123/ise/mnt/Session/IPAddress/10.10.10.10

（注） xxx.xxx.xxx.xxx の形式を使用して NAS IP アドレスを指定していることを確認します。

（注） これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー

ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、

ターゲット モニタリング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

（注） この API コールは、直近の 5 日の間に作成されたセッション データだけを返します。

IPAddress API コール データ

This XML file does not appear to have any style information associated with it. The document tree is shown below.-<sessionParameters><passed xsi:type="xs:boolean">true</passed><failed xsi:type="xs:boolean">false</failed><user_name>ipepvpnuser</user_name><nas_ip_address>10.10.10.10</nas_ip_address><calling_station_id>172.23.130.90</calling_station_id><nas_port>1015</nas_port><identity_group>iPEP-VPN-Group</identity_group><network_device_name>iPEP-HA-Routed</network_device_name><acs_server>HAREESH-R6-1-PDP2</acs_server><authen_protocol>PAP_ASCII</authen_protocol>-<network_device_groups>Device Type#All Device Types,Location#All Locations</network_device_groups><access_service>RADIUS</access_service>

2-21Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

Session Attribute API コール

<auth_acs_timestamp>2010-12-15T19:57:29.885Z</auth_acs_timestamp><authentication_method>PAP_ASCII</authentication_method>-<execution_steps>11001,11017,15008,15048,15048,15004,15041,15004,15013,24210,24212,22037,15036,15048,15048,15004,15016,11002</execution_steps><audit_session_id>0acb6be4000000044D091DA9</audit_session_id><nac_policy_compliance>NotApplicable</nac_policy_compliance><auth_id>1291240762083580</auth_id><auth_acsview_timestamp>2010-12-15T19:57:29.887Z</auth_acsview_timestamp><message_code>5200</message_code><acs_session_id>HAREESH-R6-1-PDP2/81148292/693</acs_session_id><service_selection_policy>iPEP-VPN</service_selection_policy><identity_store>Internal Users</identity_store>-<response>{User-Name=ipepvpnuser; State=ReauthSession:0acb6be4000000044D091DA9; Class=CACS:0acb6be4000000044D091DA9:HAREESH-R6-1-PDP2/81148292/693; Termination-Action=RADIUS-Request; }</response><service_type>Framed</service_type>-<cisco_av_pair>audit-session-id=0acb6be4000000044D091DA9,ipep-proxy=true</cisco_av_pair><acs_username>ipepvpnuser</acs_username><radius_username>ipepvpnuser</radius_username><selected_identity_store>Internal Users</selected_identity_store><authentication_identity_store>Internal Users</authentication_identity_store><identity_policy_matched_rule>Default</identity_policy_matched_rule><nas_port_type>Virtual</nas_port_type><selected_azn_profiles>iPEP-Unknown-Auth-Profile</selected_azn_profiles><tunnel_details>Tunnel-Client-Endpoint=(tag=0) 172.23.130.90</tunnel_details>-<other_attributes>ConfigVersionId=44,DestinationIPAddress=10.203.107.162,DestinationPort=1812,Protocol=Radius,Framed-Protocol=PPP,Proxy-State=Cisco Secure ACS9e733142-070a-11e0-c000-000000000000-2906094480-3222,CPMSessionID=0acb6be4000000044D091DA9,CPMSessionID=0acb6be4000000044D091DA9,Device Type=Device Type#All Device Types,Location=Location#All Locations,Model Name=Unknown,Software Version=Unknown,Device IP Address=10.203.107.228,Called-Station-ID=172.23.130.94</other_attributes><response_time>20</response_time><acct_id>1291240762083582</acct_id><acct_acs_timestamp>2010-12-15T19:57:30.281Z</acct_acs_timestamp><acct_acsview_timestamp>2010-12-15T19:57:30.283Z</acct_acsview_timestamp><acct_session_id>F1800007</acct_session_id><acct_status_type>Start</acct_status_type>-<acct_class>CACS:0acb6be4000000044D091DA9:HAREESH-R6-1-PDP2/81148292/693</acct_class><acct_delay_time>0</acct_delay_time><framed_protocol>PPP</framed_protocol><started xsi:type="xs:boolean">true</started><stopped xsi:type="xs:boolean">false</stopped></sessionParameters>

2-22Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

古いセッションの削除

古いセッションの削除一部のデバイスでは、ワイヤレス LAN コントローラ（WLC）など、古いセッションを保持できるよ

うにする場合があります。このような場合、手動で非アクティブなセッションを削除するには、HTTP DELETE API コールを使用します。これを行うには、次の手順に示すように、URL（HTTP、HTTPS）構文のデータを転送するための無償のサードパーティ製のコマンドライン ツールである cURL を使用します。

Cisco ISE は、古いセッションを追跡しなくなりました。これは、Cisco ISE がネットワークへの接続

を長時間にわたって失い、WLC またはネットワーク アクセス デバイス（NAD）のアカウンティング

を停止し損なう場合を軽減するためです。HTTP DELETE API コールを使用して、Cisco ISE からこの

ような古い情報をクリアすることができます。

（注） HTTP および HTTPS を使用してファイルを取得するための無償ユーティリティである GNU Wget は、

HTTP DELETE API コールをサポートしません。

ステップ 1 コマンド ラインからターゲット モニタリング ノードにログインします。

（注） API コールは大文字と小文字が区別され、慎重に入力する必要があります。変数 <mntnode> はターゲット モニタリング ノードを表します。

ステップ 2 手動で MAC アドレスの古いセッションを削除するには、コマンドラインで次の API コールを発行し

ます。

curl -X DELETE https://<mntnode>/ise/mnt/Session/Delete/MACAddress/<macaddress>

ステップ 3 手動でセッション ID の古いセッションを削除するには、コマンドラインで次の API コールを発行しま

す。

curl -X DELETE https://<mntnode>/ise/mnt/Session/Delete/SessionID/<sid#>

ステップ 4 手動でモニタリング ノードのすべてのセッションを削除するには、コマンドラインで次の API コール

を発行します。

curl -X DELETE https://<mntnode>/ise/mnt/Session/Delete/All

2-23Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 2 章 セッション管理用の API コールの使用方法

古いセッションの削除

2-24Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

Cisco Identity ServicesOL-26134-01-J

C H A P T E R 3

トラブルシューティング用の API コールの使用方法

Cisco ISE トラブルシューティング API コールは、ステータス要求をターゲット モニタリング ノード

に送信し、次の診断関連情報を取得します。

• ノードのバージョンおよびタイプ（Version API コールを使用）

• 障害理由（FailureReasons API コールを使用）

• 認証ステータス（AuthStatus API コールを使用）

• アカウンティング ステータス（AcctStatus API コールを使用）

次の項では、トラブルシューティング API コールの各タイプを説明するほか、ファイルの例、各コー

ル発行の手順、および返されるデータのサンプルが記載されています。

• 「Version API コールの使用方法」（P.3-1）

• 「FailureReasons API コールの使用方法」（P.3-3）

• 「AuthStatus API コールの使用方法」（P.3-6）

• 「AcctStatus API コール データの使用方法」（P.3-11）

Version API コールの使用方法

各ノードの Representational State Transfer（REST）プログラミング インターフェイス（PI）サービス

とクレデンシャルをテストするには Version API コールを使用します。ここでは、スキーマ ファイルの

出力例、この API コールを呼び出すことにより、Cisco ISE ソフトウェアのバージョンおよびノード タイプを要求する手順、この API コール発行後に返されるノードのバージョンとタイプのサンプルにつ

いて説明します。

各ノード タイプには関連付けられた値があり、次のいずれかを指定できます。

• STANDALONE_MNT_NODE = 0

• ACTIVE_MNT_NODE = 1

• BACKUP_MNT_NODE = 2

• NOT_AN_MNT_NODE = 3

Version API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

3-1 Engine API リファレンス ガイド、リリース 1.2

第 3 章 トラブルシューティング用の API コールの使用方法

<xs:element name="product" type="product"/>

<xs:complexType name="product"> <xs:sequence> <xs:element name="version" type="xs:string" minOccurs="0"/> <xs:element name="type_of_node" type="xs:int"/> </xs:sequence> <xs:attribute name="name" type="xs:string"/> </xs:complexType></xs:schema>

Version API コールの呼び出し

（注） ターゲット ノードが有効なモニタリング ノードであることを確認します。Cisco ISE ノードのペルソナ

を確認するには、「モニタリング ノードの確認」（P.1-2）を参照してください。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント（/ise/mnt/<specific-api-call>）に置き換え

て、ターゲット ノードの URL アドレス フィールドに Version API コールを入力します。

https://acme123/ise/mnt/Version

（注） これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー

ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、

モニタリング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

Version API コール データ

次の例では、Version API コールはターゲット ノードに関する次の情報を返しました。

• ノードのバージョン：この例では、1.0.3.032 を表示します。

• モニタリング ノードのタイプ：この例では、1 を表示し、ノードがアクティブであることを意味し

ます。

This XML file does not appear to have any style information associated with it. The document tree is shown below.

-<product name="Cisco Identity Services Engine"><version>1.0.3.032</version><type_of_node>1</type_of_node></product>

3-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

FailureReasons API コールの使用方法

FailureReasons API コールを使用して、表 3-1 で説明されている失敗した操作と可能な解決策のリスト

を返します。

（注） Cisco ISE Failure Reasons Editor を使用して操作の失敗の完全なリストにアクセスする方法に関する詳

細については、「障害理由レポートの使用方法」（P.A-1） を参照してください。

FailureReasons API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="failureReasonList" type="failureReasonList"/>

<xs:complexType name="failureReasonList"> <xs:sequence> <xs:element name="failureReason" type="failureReason" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType>

<xs:complexType name="failureReason"> <xs:sequence> <xs:element name="code" type="xs:string" minOccurs="0"/> <xs:element name="cause" type="xs:string" minOccurs="0"/> <xs:element name="resolution" type="xs:string" minOccurs="0"/> </xs:sequence> <xs:attribute name="id" type="xs:string"/> </xs:complexType></xs:schema>

FailureReasons API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2）を参照してくだ

さい。

表 3-1 FailureReasons API コールから返されるデータ

要素 例

障害理由 ID <failureReason id="11011">

コード <11011 RADIUS listener failed>

原因 <Could not open one or more of the ports used to receive RADIUS requests>

解決策 <Ensure that ports 1812, 1813, 1645 and 1646 are not being used by another process on the system>

3-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント（/ise/mnt/<specific-api-call>）に置き換え

て、ターゲット ノードの URL アドレス フィールドに FailureReasons API コールを入力します。

https://acme123/ise/mnt/FailureReasons

（注） コールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィールドに慎

重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、モニタ

リング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

FailureReasons API コール データ

（注） 次の FailureReasons API コールの例は、返されるデータの小規模なサンプルを表示しています。

This XML file does not appear to have any style information associated with it. The document tree is shown below. -<failureReasonList>-<failureReason id="100001">-<code>100001 AUTHMGR-5-FAIL Authorization failed for client</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100002">-<code>100002 AUTHMGR-5-SECURITY_VIOLATION Security violation on the interface</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100003">-<code>100003 AUTHMGR-5-UNAUTHORIZED Interface unauthorized

3-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100004">-<code>100004 DOT1X-5-FAIL Authentication failed for client</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100005"><code>100005 MAB-5-FAIL Authentication failed for client</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100006">-<code>100006 RADIUS-4-RADIUS_DEAD RADIUS server is not responding</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>-<failureReason id="100007">-<code>100007 EPM-6-POLICY_APP_FAILURE Interface ACL not configured</code><cause>This may or may not be indicating a violation</cause>-<resolution>Please review and resolve according to your organization's policy</resolution></failureReason>

Cisco ISE Failure Reasons Editor の詳細については、付録 A「障害理由レポートの使用方法」を参照し

てください。

3-5Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

AuthStatus API コールの使用方法

ターゲット ノードにおけるセッションの認証ステータスをチェックするために AuthStatus API コール

を使用します。クエリーに対して少なくとも 1 つの MAC アドレスを指定する必要があります。

ここでは、次の項目について説明します。

• 「AuthStatus API コールのスキーマ ファイル」（P.3-7）

• 「AuthStatus API コールの呼び出し」（P.3-9）

• 「AuthStatus API コール データ」（P.3-9）

次の検索関連パラメータを設定できます。

• 期間：指定した MAC アドレスに関連付けられた認証ステータス レコードの検索と取得が試行され

る秒数を定義します。ユーザが設定可能な値の有効範囲は 1 ～ 864000 秒（10 日）です。0 秒の値

を入力した場合は、デフォルト期間の 10 日が指定されます。

• レコード：MAC アドレスごとに検索するセッションのレコード数を定義します。ユーザが設定可

能な値の有効範囲は 1 ～ 500 レコードです。0 を入力した場合は、デフォルト設定の 200 レコード

が指定されます。

（注） 期間パラメータおよびレコード パラメータの両方に値 0 を指定すると、この AuthStatus API コールは、指定された MAC アドレスに関連付けられている最新の認証セッション レコードのみを返します。

ここに、期間とレコードの属性を指定した URL の一般的な形式の例を示します。

https://10.10.10.10/ise/mnt/AuthStatus/MACAddress/01:23:45:67:89:98/900000/2/All

• 属性：AuthStatus API コールを使用して認証ステータスの検索で返された認証ステータスのテーブ

ルの属性数を定義します。有効な値は 0（デフォルト）、All、または user_name+acs_timestamp です（AuthStatus スキーマの例「AuthStatus API コールのスキーマ ファイル」（P.3-7）を参照）。

– 「0」を入力すると、表 3-2で定義された属性が返されます。これらは出力スキーマの restAuthStatus のセクションに記載されています。

– 「All」を入力すると、より詳しい属性セットが返されます。これらは出力スキーマの fullRESTAuthStatus のセクションに記載されています。

– user_name+acs_timestamp のスキーマに示されている値を入力すると、それらの属性だけが返

されます。user_name 属性と acs_timestamp 属性は、出力スキーマ restAuthStatus のセクショ

ンに記載されています。

表 3-2 認証ステータス テーブルの属性

属性 説明

name = "passed" または name = "failed"

認証ステータスの結果：

• 合格

• 不合格

name = "user_name" ユーザ名

name = "nas_ip_address" ネットワーク アクセス デバイスの IP アドレス /ホスト名

name = "failure_reason" セッション認証に失敗した原因

name = "calling_station_id" 送信元 IP アドレス

name = "nas_port" ネットワーク アクセス サーバ ポート

3-6Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

AuthStatus API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="authStatusOutputList" type="fullRESTAuthStatusOutputList"/>

<xs:complexType name="fullRESTAuthStatusOutputList"> <xs:sequence> <xs:element name="authStatusList" type="fullRESTAuthStatusList" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType>

<xs:complexType name="fullRESTAuthStatusList"> <xs:sequence> <xs:element name="authStatusElements" type="fullRESTAuthStatus" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="key" type="xs:string"/> </xs:complexType>

<xs:complexType name="fullRESTAuthStatus"> <xs:complexContent>

name = "identity_group" 関連するユーザとホストで構成される論理グループ

name = "network_device_name" ネットワーク デバイスの名前

name = "acs_server" Cisco ISE アプライアンスの名前

name = "eap_authentication" 認証要求に使用する拡張認証プロトコル（EAP）方式

name = "framed_ip_address" 特定のユーザに設定されたアドレス

name = "network_device_groups" 関連するネットワーク デバイスで構成される論理グループ

name = "access_service" アプリケーション アクセス サービス

name = "acs_timestamp" Cisco ISE 認証要求に関連付けられたタイム スタンプ

name = "authentication_method" 認証で使用される方式を指定します

name = "execution_steps" 要求の処理中にログに記録された各診断メッセージのメッセージ コードのリスト

name = "radius_response" RADIUS 応答のタイプ（例：VLAN、ACL）

name = "audit_session_id" 認証セッションの ID

name = "nas_identifier" 特定のリソースに関連づけられているネットワーク アクセス サーバ（NAS）

name = "nas_port_id" 使用される NAS ポート ID

name = "nac_policy_compliance" ポスチャ ステータスを示します（準拠または非準拠）

name = "selected_azn_profiles" 認証に使用されるプロファイルを指定します

name = "service_type" フレームド ユーザを示します

name = "eap_tunnel" EAP 認証に使用されるトンネルまたは外部方式

name = "message_code" 処理された要求の結果を定義する監査のメッセージを識別します

name = "destination_ip_address" 宛先 IP アドレスを指定します

表 3-2 認証ステータス テーブルの属性 （続き）

属性 説明

3-7Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

<xs:extension base="restAuthStatus"> <xs:sequence> <xs:element name="id" type="xs:long" minOccurs="0"/> <xs:element name="acsview_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="acs_session_id" type="xs:string" minOccurs="0"/> <xs:element name="service_selection_policy" type="xs:string" minOccurs="0"/> <xs:element name="authorization_policy" type="xs:string" minOccurs="0"/> <xs:element name="identity_store" type="xs:string" minOccurs="0"/> <xs:element name="response" type="xs:string" minOccurs="0"/> <xs:element name="cts_security_group" type="xs:string" minOccurs="0"/> <xs:element name="use_case" type="xs:string" minOccurs="0"/> <xs:element name="cisco_av_pair" type="xs:string" minOccurs="0"/> <xs:element name="ad_domain" type="xs:string" minOccurs="0"/> <xs:element name="acs_username" type="xs:string" minOccurs="0"/> <xs:element name="radius_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_role" type="xs:string" minOccurs="0"/> <xs:element name="nac_username" type="xs:string" minOccurs="0"/> <xs:element name="nac_posture_token" type="xs:string" minOccurs="0"/> <xs:element name="nac_radius_is_user_auth" type="xs:string" minOccurs="0"/> <xs:element name="selected_posture_server" type="xs:string" minOccurs="0"/> <xs:element name="selected_identity_store" type="xs:string" minOccurs="0"/> <xs:element name="authentication_identity_store" type="xs:string"

minOccurs="0"/> <xs:element name="azn_exp_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="ext_pol_server_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="grp_mapping_pol_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="identity_policy_matched_rule" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_type" type="xs:string" minOccurs="0"/> <xs:element name="query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="sel_exp_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="selected_query_identity_stores" type="xs:string" minOccurs="0"/> <xs:element name="tunnel_details" type="xs:string" minOccurs="0"/> <xs:element name="cisco_h323_attributes" type="xs:string" minOccurs="0"/> <xs:element name="cisco_ssg_attributes" type="xs:string" minOccurs="0"/> <xs:element name="other_attributes" type="xs:string" minOccurs="0"/> <xs:element name="response_time" type="xs:long" minOccurs="0"/> <xs:element name="nad_failure" type="xs:anyType" minOccurs="0"/> </xs:sequence> </xs:extension> </xs:complexContent> </xs:complexType>

<xs:complexType name="restAuthStatus"> <xs:sequence> <xs:element name="passed" type="xs:anyType" minOccurs="0"/> <xs:element name="failed" type="xs:anyType" minOccurs="0"/> <xs:element name="user_name" type="xs:string" minOccurs="0"/> <xs:element name="nas_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="failure_reason" type="xs:string" minOccurs="0"/> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_port" type="xs:string" minOccurs="0"/> <xs:element name="identity_group" type="xs:string" minOccurs="0"/> <xs:element name="network_device_name" type="xs:string" minOccurs="0"/> <xs:element name="acs_server" type="xs:string" minOccurs="0"/> <xs:element name="eap_authentication" type="xs:string" minOccurs="0"/> <xs:element name="framed_ip_address" type="xs:string" minOccurs="0"/> <xs:element name="network_device_groups" type="xs:string" minOccurs="0"/> <xs:element name="access_service" type="xs:string" minOccurs="0"/> <xs:element name="acs_timestamp" type="xs:dateTime" minOccurs="0"/> <xs:element name="authentication_method" type="xs:string" minOccurs="0"/> <xs:element name="execution_steps" type="xs:string" minOccurs="0"/> <xs:element name="radius_response" type="xs:string" minOccurs="0"/>

3-8Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

<xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="nas_identifier" type="xs:string" minOccurs="0"/> <xs:element name="nas_port_id" type="xs:string" minOccurs="0"/> <xs:element name="nac_policy_compliance" type="xs:string" minOccurs="0"/> <xs:element name="selected_azn_profiles" type="xs:string" minOccurs="0"/> <xs:element name="service_type" type="xs:string" minOccurs="0"/> <xs:element name="eap_tunnel" type="xs:string" minOccurs="0"/> <xs:element name="message_code" type="xs:string" minOccurs="0"/> <xs:element name="destination_ip_address" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:complexType></xs:schema>

AuthStatus API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2）を参照してくだ

さい。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント

（/ise/mnt/<specific-api-call>/MACAddress/ <macaddress>/<seconds>/<numberofrecordspermacaddress>/All）に置き換えて、ターゲット ノード

の URL アドレス フィールドに AuthStatus API コールを入力します。

https://acme123/ise/mnt/AuthStatus/MACAddress/00:50:56:10:13:02/120/100/All

（注） API コールは大文字と小文字が区別されます。API コール規則での「mnt」の使用は、ター

ゲット モニタリング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

AuthStatus API コール データ

This XML file does not appear to have any style information associated with it. The document tree is shown below. -<authStatusOutputList>-<authStatusList key="00:0C:29:46:F3:B8"><authStatusElements>-<passed xsi:type="xs:boolean">true</passed><failed xsi:type="xs:boolean">false</failed><user_name>suser77</user_name><nas_ip_address>10.77.152.209</nas_ip_address><calling_station_id>00:0C:29:46:F3:B8</calling_station_id><identity_group>User Identity Groups:Guest</identity_group>

3-9Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

<acs_server>guest-240</acs_server><acs_timestamp>2012-10-05T10:50:56.515Z</acs_timestamp><execution_steps>5231</execution_steps><message_code>5231</message_code><id>1349422277270561</id><acsview_timestamp>2012-10-05T10:50:56.517Z</acsview_timestamp><identity_store>Internal Users</identity_store><response_time>146</response_time><other_attributes>ConfigVersionId=81,EndPointMACAddress=00-0C-29-46-F3-B8,PortalName=DefaultGuestPortal,CPMSessionID=0A4D98D1000001F26F0C04D9,CiscoAVPair=</other_attributes></authStatusElements>-<authStatusElements><passed xsi:type="xs:boolean">true</passed><failed xsi:type="xs:boolean">false</failed><user_name>00:0C:29:46:F3:B8</user_name><nas_ip_address>10.77.152.209</nas_ip_address><calling_station_id>00:0C:29:46:F3:B8</calling_station_id><identity_group>Guest_IDG</identity_group><network_device_name>switch</network_device_name><acs_server>guest-240</acs_server><authentication_method>mab</authentication_method><authentication_protocol>Lookup</authentication_protocol><acs_timestamp>2012-10-05T10:49:47.915Z</acs_timestamp><execution_steps>11001,11017,11027,15049,15008,15048,15048,15004,15041,15006,15013,24209,24211,22037,15036,15048,15004,15016,11022,11002</execution_steps><response>{UserName=00:0C:29:46:F3:B8; User-Name=00-0C-29-46-F3-B8; State=ReauthSession:0A4D98D1000001F26F0C04D9; Class=CACS:0A4D98D1000001F26F0C04D9:guest-240/138796808/76; Termination-Action=RADIUS-Request; Tunnel-Type=(tag=1) VLAN; Tunnel-Medium-Type=(tag=1) 802; Tunnel-Private-Group-ID=(tag=1) 2; cisco-av-pair=url-redirect-acl=ACL-WEBAUTH-REDIRECT; cisco-av-pair=url-redirect=https://guest-240.cisco.com:8443/guestportal/gateway?sessionId=0A4D98D1000001F26F0C04D9&action=cwa; cisco-av-pair=ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-pre-posture-506e980a; cisco-av-pair=profile-name=WindowsXP-Workstation;}</response><audit_session_id>0A4D98D1000001F26F0C04D9</audit_session_id><nas_port_id>GigabitEthernet1/0/17</nas_port_id><posture_status>Pending</posture_status><selected_azn_profiles>CWA_Redirect</selected_azn_profiles><service_type>Call Check</service_type><message_code>5200</message_code><nac_policy_compliance>Pending</nac_policy_compliance><id>1349422277270556</id><acsview_timestamp>2012-10-05T10:49:47.915Z</acsview_timestamp><identity_store>Internal Endpoints</identity_store><response_time>13</response_time><other_attributes>ConfigVersionId=81,DestinationPort=1812,Protocol=Radius,AuthorizationPolicyMatchedRule=CWA_Redirect,NAS-Port=50117,Framed-MTU=1500,NAS-Port-Type=Ethernet,EAP-Key-Name=,cisco-nas-port=GigabitEthernet1/0/17,AcsSessionID=guest-240/138796808/76,UseCase=Host Lookup,SelectedAuthenticationIdentityStores=Internal Endpoints,ServiceSelectionMatchedRule=MAB,IdentityPolicyMatchedRule=Default,CPMSessionID=0A4D98D1000001F26F0C04D9,EndPointMACAddress=00-0C-29-46-F3-B8,EndPointMatchedProfile=WindowsXP-Workstation,ISEPolicySetName=Default,HostIdentityGroup=Endpoint Identity Groups:Guest_IDG,Device Type=Device Type#All Device Types,Location=Location#All Locations,Device IP Address=10.77.152.209,Called-Station-ID=00:24:F7:73:9A:91,CiscoAVPair=audit-session-id=0A4D98D1000001F26F0C04D9</other_attributes>-</authStatusElements>-

3-10Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

</authStatusList>-</authStatusOutputList>

AcctStatus API コール データの使用方法

ターゲット ノードの最新のデバイスおよびセッションのアカウント情報を取得するために AcctStatus API コールを使用できます。ここでは、次の項目について説明します。

• 「AcctStatus API コールのスキーマ ファイル」（P.3-11）

• 「AcctStatus API コールの呼び出し」（P.3-12）

• 「AcctStatus API コール データ」（P.3-12）

次の時間関連パラメータを設定できます。

• 期間：指定された MAC アドレスに関連付けられた最新アカウントのデバイス レコードの検索と取

得が試行される秒数を定義します。ユーザが設定可能な値の有効範囲は 1 ～ 432000 秒（5 日）で

す。

– 2400 秒（40 分）の値を入力した場合は、指定 MAC アドレスの過去 40 分間のデバイス レコードが必要であることを意味します。

– 0 秒の値を入力した場合は、デフォルト期間の 15 分（900 秒）を指定します。これは、指定 MAC アドレスの過去 15 分間のデバイス レコードが必要であることを意味します。

AcctStatus API コールは、API 出力として、次のアカウント ステータスのデータ フィールドを提供し

ます。

AcctStatus API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="acctStatusOutputList" type="restAcctStatusOutputList"/>

<xs:complexType name="restAcctStatusOutputList"> <xs:sequence> <xs:element name="acctStatusList" type="restAcctStatusList" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> </xs:complexType>

<xs:complexType name="restAcctStatusList"> <xs:sequence>

表 3-3 アカウト ステータスのデータ フィールド

データ フィールド 説明

MAC アドレス クライアントの MAC アドレス

audit-session-id 認証セッション ID

パケット入力 受信されたパケットの総数

パケット出力 送信されたパケットの総数

バイト入力 受信された合計バイト数

バイト出力 送信された合計バイト数

セッション時間 現在のセッションの期間

3-11Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

<xs:element name="acctStatusElements" type="restAcctStatus" minOccurs="0" maxOccurs="unbounded"/> </xs:sequence> <xs:attribute name="macAddress" type="xs:string"/> <xs:attribute name="username" type="xs:string"/> </xs:complexType>

<xs:complexType name="restAcctStatus"> <xs:sequence> <xs:element name="calling_station_id" type="xs:string" minOccurs="0"/> <xs:element name="audit_session_id" type="xs:string" minOccurs="0"/> <xs:element name="paks_in" type="xs:long" minOccurs="0"/> <xs:element name="paks_out" type="xs:long" minOccurs="0"/> <xs:element name="bytes_in" type="xs:long" minOccurs="0"/> <xs:element name="bytes_out" type="xs:long" minOccurs="0"/> <xs:element name="session_time" type="xs:long" minOccurs="0"/> <xs:element name="username" type="xs:string" minOccurs="0"/> <xs:element name="server" type="xs:string" minOccurs="0"/> </xs:sequence> </xs:complexType></xs:schema>

AcctStatus API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

Cisco ISE ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2）を参照してくだ

さい。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント

（/ise/mnt/<specific-api-call>/MACAddress/<macaddress>/ <durationofcurrenttime>）に置き換えて、

ターゲット ノードの URL アドレス フィールドに AcctStatus API コールを入力します。

https://acme123/ise/mnt/AcctStatus/MACAddress/00:26:82:7B:D2:51/1200

（注） これらのコールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィー

ルドに慎重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、

モニタリング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

AcctStatus API コール データ

This XML file does not appear to have any style information associated with it. The document tree is shown below. -<acctStatusOutputList>

3-12Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

-<acctStatusList macAddress="00:25:9C:A3:7D:48">-<acctStatusElements><calling_station_id>00:25:9C:A3:7D:48</calling_station_id><audit_session_id>0acb6b0b0000000B4D0C0DBD</audit_session_id><paks_in>0</paks_in><paks_out>0</paks_out><bytes_in>0</bytes_in><bytes_out>0</bytes_out><session_time>240243</session_time><server>HAREESH-R6-1-PDP1</server></acctStatusElements></acctStatusList></acctStatusOutputList>

3-13Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 3 章 トラブルシューティング用の API コールの使用方法

3-14Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

Cisco Identity ServicesOL-26134-01-J

C H A P T E R 4

認可変更 REST API の使用方法

認可変更（CoA）コールは、ターゲット モニタリング ノードの指定されたセッションにコマンドを送

信して次を実行します。

• セッション再認証（Reauth API コールを使用）

• セッション切断（Disconnect API コールを使用）。

次の項では、CoA API の各タイプを説明するほか、スキーマ ファイルの例、各コール発行の手順、お

よび返されるデータのサンプルについて説明します。

• 「Reauth API コールの使用方法」（P.4-1）

• 「Disconnect API コールの使用方法」（P.4-2）

Reauth API コールの使用方法

Reauth API コールは、指定されたセッションに再認証コマンドを送信します。各セッションは、関連

づけられている値があり、次のいずれかになります。

• 0：REAUTH_TYPE_DEFAULT

• 1：REAUTH_TYPE_LAST

• 2：REAUTH_TYPE_RERUN

Reauth API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema"> <xs:element name="remoteCoA" type="coAResult"/><xs:complexType name="coAResult"> <xs:sequence> <xs:element name="results" type="xs:boolean" minOccurs="0"/> </xs:sequence> <xs:attribute name="requestType" type="xs:string"/> </xs:complexType></xs:schema>

Reauth API コールの呼び出し

（注） ターゲット ノードが、有効なモニタリング ノードであることを確認している必要があります。ノード

のペルソナを確認するには、「モニタリング ノードの確認」（P.1-2） を参照してください。

4-1 Engine API リファレンス ガイド、リリース 1.2

第 4 章 認可変更 REST API の使用方法

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント

（/ise/mnt/CoA/<specific-api-call>/<macaddress>/ <reauthtype>/<nasipaddress>/<destinationipaddress>）に置き換えて、ターゲット ノードの URL アド

レス フィールドに Reauth API コールを入力します。

https://acme123/ise/mnt/CoA/Reauth/server12/00:26:82:7B:D2:51/2/10.10.10.10

（注） コールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィールドに慎

重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、モニタ

リング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

Reauth API コール データ

Reauth API コールは次のいずれかの結果を返します。

• 「True」はコマンドが正常に実行されたことを示します。

• 「False」はコマンドが実行されなかったことを意味します。

This XML file does not appear to have any style information associated with it. The document tree is shown below.

-<remoteCoA requestType="reauth"><results>true</results></remoteCoA>

Disconnect API コールの使用方法

Disconnect API コールは、指定されたセッションに切断コマンドを送信します。各ポートは、関連づ

けられている値があり、次のいずれかになります。

• 0：DYNAMIC_AUTHZ_PORT_DEFAULT

• 1：DYNAMIC_AUTHZ_PORT_BOUNCE

• 2：DYNAMIC_AUTHZ_PORT_SHUTDOWN

Disconnect API コールのスキーマ ファイル

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><xs:schema version="1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema">

<xs:element name="remoteCoA" type="coAResult"/>

<xs:complexType name="coAResult"> <xs:sequence>

4-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 4 章 認可変更 REST API の使用方法

<xs:element name="results" type="xs:boolean" minOccurs="0"/> </xs:sequence> <xs:attribute name="requestType" type="xs:string"/> </xs:complexType></xs:schema>

Disconnect API コールの呼び出し

（注） API コールを発行するターゲット ノードが、有効なモニタリング ノードであることを確認します。

ノードのペルソナを確認するには、「モニタリング ノードの確認」（P.1-2） を参照してください。

ステップ 1 ターゲット モニタリング ノードにログインします。

たとえば、ホスト名が acme123 のモニタリング ノードに最初にログインすると、次の URL アドレス フィールドが表示されます。

https://acme123/admin/LoginAction.do#pageId=com_cisco_xmp_web_page_tmpdash

ステップ 2 「/admin/」コンポーネントを API コールのコンポーネント

（/ise/mnt/CoA/<Disconnect>/<serverhostname>/ <macaddress>/<portoptiontype>/<nasipaddress>/<destinationipaddress>）に置き換えて、ターゲット ノードの URL アドレス フィールドに Disconnect API コールを入力します。

https://acme123/ise/mnt/CoA/Disconnect/server12/00:26:82:7B:D2:51/2/10.10.10.10

（注） コールは、大文字小文字を区別するため、ターゲット ノードの URL アドレス フィールドに慎

重に各 API コールを入力する必要があります。API コール規則での「mnt」の使用は、モニタ

リング ノードを表します。

ステップ 3 Enter キーを押して API コールを発行します。

Disconnect API コール データ

Disconnect API コールは次のいずれかの結果を返します。

• 「True」はコマンドが正常に実行されたことを示します。

• 「False」はコマンドが実行されなかったことを意味します。

This XML file does not appear to have any style information associated with it. The document tree is shown below.

-<remoteCoA requestType="reauth"><results>true</results></remoteCoA>

4-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 4 章 認可変更 REST API の使用方法

4-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

P A R T 2

外部 RESTful サービス API

Cisco Identity ServicesOL-26134-01-J

C H A P T E R 5

外部 RESTful サービス API の概要

外部 RESTful サービスは HTTPS および REST 方法論に基づいており、ポート 9060 を使用します。こ

の章では、Cisco ISE でサポートされている外部 RESTful サービス アプリケーション プログラミング インターフェイス（API）、および作成、読み取り、更新、削除（CRUD）操作に使用される関連 API コールを使用するためのガイドラインおよび例について説明します。

これらの API は、ユーザ、エンドポイント、エンドポイント グループ、ID グループおよび SGT が ISE データに対する CRUD 操作を実行できるようにすることによって、ISE 設定データへのインター

フェイスを提供します。

HTTPS ポート 9060 はデフォルトで閉じられています。API を使用する最初の要件は、ISE CLI から外

部 RESTful サービスをイネーブルにすることです。

（注） CLI からイネーブルにする前に外部 RESTful サービス API を起動しようとすると、403- "forbidden" のような応答ステータスを受信します。

外部 RESTful サービスにはデバッグ ロギング カテゴリがあり、Cisco ISE のデバッグ ロギングのペー

ジでイネーブルにできます。詳細については、『Cisco Identity Services Engine User Guide, Release 1.2』の「Debug Log Configuration Options」セクションを参照してください。

すべての Representational State Transfer（REST）操作は、システムで監査され、記録されます。

関連項目

「外部 RESTful API サービスのイネーブル化」（P.5-2）

データの検証

サーバに送信された CRUD データは、Cisco ISE が GUI に対して持つルールと同じルールで検証され

ます。すべての検証は、検証レイヤに集中化されます。ポストされたすべての XML データはスキーマ

と照合して検証されます。

次の 2 種類の検証が実行されます。データ検証および構造検証。データ検証は、データが Cisco ISE に準拠していることを検証します。たとえば、必須フィールド、フィールド長、タイプなど。構造検証は

スキーマを検証します。たとえば、フィールドの順序、名前、など。

5-1 Engine API リファレンス ガイド、リリース 1.2

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービスの名前空間

次のようなリソースの名前やユニフォーム リソース識別子（URI）内の厳密な名前空間を維持する必

要があります。

• 内部ユーザ ID、エンドポイント、エンドポイント グループおよび ID グループ。

• セキュリティ グループ タグ（SGT）のセキュリティ グループ アクセス（SGA）。

• 応答メッセージに表示される検索結果など、他のすべての外部 RESTful サービス リソースに対す

る外部 RESTful サービス。

Accept/Content-Type ヘッダーには、次の名前空間が含まれている必要があります。

application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml

例：application/vnd.com.cisco.ise.identity.internaluser.1.0+xml

要求 XML には、次の名前空間の定義が含まれている必要があります。

identity.ers.ise.cisco.com

sga.ers.ise.cisco.com

例：<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<ns:endpoint xmlns:ns="identity.ers.ise.cisco.com" id="id">

<group>Profiled</group>

...

</ns:endpoint>

外部 RESTful API サービスのイネーブル化

ステップ 1 application configure ise コマンドを実行します。

ステップ 2 次のオプションが画面に表示されます。

[1]Reset Active Directory settings to defaults[2]Display Active Directory settings[3]Configure Active Directory settings[4]Restart/Apply Active Directory settings[5]Clear Active Directory Trusts Cache and restart/apply Active Directory settings[6]Enable/Disable External RESTful Services API[7]Reset M&T Session Database[8]Rebuild M&T Unusable Indexes[9]Purge M&T Operational Data[10]Reset M&T Database[11]Refresh M&T Database Statistics[12]Display Profiler Statistics[13]Exit

ステップ 3 6 と入力して Enter キーを押します。

次のメッセージが表示されます。

Current External RESTful Services State: disabled

By proceeding, External RESTful Services port 9060 will be opened and External RESTful Services API will be enabled

Are you sure you want to proceed?y/n [n]:

5-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

ステップ 4 y を入力して、Enter を押します。

次のメッセージが表示されます。

Enabling External RESTful Services port 9060...

External RESTful Services API enabled

ステップ 5 次の URL の外部 RESTful サービス SDK ページにアクセスして、外部サービス RESTful API がイネー

ブルになっているかどうかを確認してください。https://<ipaddress>:9060/ers/sdk。SDK にアクセスす

るには、常にポート番号を 9060 として追加する必要があります。

外部 RESTful サービス管理者

API を使用するには、外部 RESTful サービス管理者グループで ISE 管理者を作成する必要があります。

管理者ユーザの作成の詳細については、『Cisco Identity Services User Guide, Release 1.2』の次の項を

参照してください。

http://www.cisco.com/en/US/docs/security/ise/1.2/user_guide/ise_man_admin.html#wp1579129

REST クライアント

外部 RESTful サービス API を使用するには、HTTPS クライアントが必要です。Curl のコマンドを使

用してサーバに要求をポストすることも、独自の Python スクリプトまたは Java クライアントを書き込

むこともできます。Chrome ブラウザの POSTMAN プラグインなどの HTTP ポスティング ツールを使

用することもできます。これで、外部 RESTful サービスがイネーブルになり、準備ができたので、使

用し始めることができます。

関連項目

「外部 RESTful サービス API コールの呼び出し」（P.6-1）

第 6 章「REST API クライアントの使用方法」

リソースのバージョンと MediaType外部 RESTful サービスでは、リソースの表現および要求本体は通常、XML で符号化されます

（RFC4267 で指定されている）。リソースの各タイプは、次のパターンに一致する独自のメディアタイ

プを持ちます。

application/vnd.com.cisco.ise.xxx.yyy.version+xml;charset=UTF-8

ここで、「xxx」は名前空間を表し、「yyy」はリソースを表し、バージョンはクライアントが使用する

リソースのバージョンを指定します。（RFC 3023）。たとえば、スキーマ バージョン 1.0 の内部ユーザ

のリソースの MediaType は次のように表されます。

application/vnd.com.cisco.ise.identity.internaluser.1.0+xml;charset=UTF-8

外部 RESTful サービス API は、XML で使用可能なすべてのリソースの表現を提供する必要がありま

す。要求されたメディア タイプが Cisco ISE サーバでサポートされていない場合は、いつでも

「Resource version is no longer supported（リソースのバージョンはサポートされなくなりました）」な

どの原因のリストとともにステータス 415 が返されます。

5-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス要求

外部 RESTful サービスに行われる要求では、表 5-1 で説明されているように複数の固有の HTTP ヘッ

ダーが使用されます。

外部 RESTful サービス応答ヘッダー

外部 RESTful サービスによって返される要求では、表 5-2 で説明されているように複数の固有の HTTP ヘッダーが使用されます。

共通の外部 RESTful サービス HTTP 応答コード

外部 RESTful サービスは、表 5-3 で説明されているように共通の HTTP 応答コードを返します。応答

ヘッダーで返されるステータス コードに加えて、各要求には、要求の性質に応じて、追加の XML コンテンツがある場合があります。

表 5-1 外部 RESTful サービス要求ヘッダー

ヘッダー サポートされる値 用途 必須

Accept メディア タイプまたはメディア タイプ パターンのカンマ区切りリ

スト。

このクライアントが受け入れを準備

しているメディア タイプを、リソー

スのバージョンを含めて、サーバに

示します。

GET/GET ALL/DELETE/GET VERSION 操作（これらに

は、メッセージ本文は含まれ

ません）で、はい。

Authorization 「Basic」に加えてユーザ名とパス

ワード（RFC 2617 に準拠）。

この要求を実行する許可ユーザを識

別します。

すべての要求で、はい。

Content-Length 要求メッセージ本文の長さ（バイ

ト単位）。

メッセージ本文のサイズを示しま

す。

メッセージ本文を含む要求

で、はい。

Content-Type 要求メッセージ本文を示すメディ

ア タイプ。

要求メッセージ本文の表現と構文に

ついて示します。

メッセージ本文を含む要求

で、はい。

表 5-2 外部 RESTful サービス応答ヘッダー

ヘッダー サポートされる値 用途 必須

Content-Length 応答メッセージ本文の長さ（バ

イト単位）。

メッセージ本文のサイズを示し

ます。

メッセージ本文を含む応答で、

はい。

Content-Type 応答メッセージ本文を示すメ

ディア タイプ。

応答メッセージ本文の表現と構

文について示します。

メッセージ本文を含む応答で、

はい。

Location 新しく作成されたリソースの正

規の URI。新しく作成されたリソースの表

現を要求するために使用できる

新しい URI を返します。

URI でアクセスできる新しい

サーバ側リソースを作成する要

求への応答で、はい。

5-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部サービス RESTful API でのバージョン管理

外部サービス RESTful API は、バージョン管理メカニズムによって以前の Cisco ISE バージョンとの

下位互換性を提供します。Cisco ISE Release 1.2 は最初の外部 RESTful サービス リリースなので、す

べてのリソースはバージョン 1.0 で、下位互換性は必要ではありません。

表 5-3 外部 RESTful サービスから返された HTTP 応答コードの説明

HTTP ステータス 説明

200 OK 要求は正常に完了しました。この要求により URI でアドレス指定可能な新しい

リソースが作成され、新しいリソースの表現を含む応答本文が返される場合

は、新規作成されたリソースの正規の URI を含む Location ヘッダーとともに 200 ステータスが返されます。

201 Created 新しいリソースを作成する要求は完了しましたが、新しいリソースの表現を含

む応答本文は返されていません。新しく作成されたリソースの正規の URI を含

む Location ヘッダーも返す必要があります。

202 Accepted 要求が受け入れられ処理されていますが、処理が完了していません。HTTP/1.1 仕様に従って、返されるエンティティ（ある場合）は、要求の現在のステータ

スの説明、およびステータス モニタへのポインタまたは要求の実行が期待でき

る時間の概算へのポインタを含む必要があります。

204 No Content サーバは要求を満たしましたが、応答メッセージ本文を返す必要はありませ

ん。

400 Bad Request 欠落した情報または無効な情報が含まれるため（入力フィールドの検証エラー

または必要な値の欠落など）、要求を処理できませんでした。

401 Unauthorized 要求に含まれる認証クレデンシャルが欠落しているか、または無効です。

403 Forbidden サーバはクレデンシャルを認識しましたが、この要求を実行する許可を所有し

ていません。

404 Not Found 要求は、存在しないリソースの URI を指定しました。

405 Method Not Allowed

要求に指定された HTTP 動詞（DELETE、GET、HEAD、POST、PUT）は、

この要求 URI でサポートされていません。

406 Not Acceptable この要求によって識別されたリソースは、要求の Accept ヘッダーのメディア タイプの 1 つに対応する表現を生成できません。

409 Conflict サーバによってサポートされるリソースの現在の状態に競合が生じるため、作

成または更新要求を完了できませんでした（たとえば、既存のリソースに割り

当てられている一意の ID で新しいリソースを作成する試行）。

415 Unsupported Media Type

Accept ヘッダーに指定されたメディア タイプは、サーバによってサポートさ

れていません。これは、クライアント リソースのバージョンがサーバでサポー

トされなくなった場合の共通の応答です。

429 Too many requests

同時に非常に多くの RESTful サービス要求があります。

500 Internal Server Error

サーバで、要求の処理を妨げる予期しない状態が発生しました。

501 Not Implemented

サーバは（現在）要求を処理するために必要な機能をサポートしていません。

503 Service Unavailable

サーバの一時的な過負荷またはメンテナンスのため、サーバは現在要求を処理

できません。

5-5Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

それぞれの RESTful リソースにはモデル バージョン（major.minor）があります。バージョンは、次の

ような構文を持つ要求ヘッダーの一部である必要があります。

application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml

たとえば、内部ユーザ リソース バージョン 1.0 を取得するには、次の要求を渡します。

DELETE /ers/config/internaluser/333 HTTP/1.1Host: cisco.comAuthorization: Basic xxxxxxxxxxxxxxxxxxxAccept: application/vnd.com.cisco.ise.identity.internaluser.1.0+xml

要求の認証と承認後、バージョン一致のチェックが実行され、次のいずれかの一致の結果になります。

さらに、各リソースにはサーバでサポートされているバージョンのリストを取得する API があります。

外部サービス RESTful API でのページング

検索結果は、デフォルトでページあたり 20 のリソースでページ付けされます。ページ番号付けはペー

ジ番号 0 から開始します。1 ページあたりの最大リソース数は 100 を超えることはできません。ページ

ング パラメータを使用してデフォルトを上書きできます。ページング パラメータは、クエリー パラ

メータを使用して URI で渡されます。

たとえば、「名前」フィールドで昇順にソートされた内部ユーザの最初の 50 レコードを取得するには、

次の要求を渡します。

GET/ers/config/internaluser/?page=0&size=50&sortacs=name.EQ.Finance HTTP/1.1

次のページング パラメータを使用できます。

表 5-4 バージョン一致の結果

バージョン一致 結果

送信されたバージョンなし サーバは、ステータス 415 の「Unsupported Media Type」を返します。

クライアントのバージョンとサーバのバー

ジョンは等しい

サーバは、要求の処理を続行します。

クライアントのマイナー バージョンとサーバ

のマイナー バージョンは等しくない

サーバは、バージョン ギャップを示す応答の警告

メッセージを追加し、要求の処理を続行します。

クライアントとサーバのメジャー バージョン

が一致しません サーバは、ステータス 415 および対応するエラー メッセージを返します。

表 5-5 ページング パラメータ

パラメータ 説明

page ページの開始インデックス。デフォルト値は 0 です。

size ページ サイズ。デフォルト値は 10 で、最大サイズは 100 です。

sortbyasc 昇順でフィールドをソートします。デフォルト値は "name" フィール

ドです。

sortbydsc 降順でフィールドをソートします。デフォルト値は "name" フィール

ドです。

5-6Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部サービス RESTful API でのソート

デフォルトでは、検索結果はカラム名に従って昇順でソートされます。ソート パラメータを指定して、

デフォルトのソート設定を上書きできます。クエリー パラメータを使用してソート パラメータを URI で渡すことができます。デフォルト設定を上書きするために 'sortasc'（昇順）または 'sortdsc'（降順）

パラメータを指定できます。

たとえば、内部ユーザの最初の 50 レコードを「名前」フィールドで降順にソートするには、次の要求

を渡します。

GET /ers/config/internaluser?filter=name.STARTW.a&filter=identityGroup.EQ.Finance&size=50&page=0&sortdsc=name

外部サービス RESTful API でのフィルタリング

フィルタのクエリー文字列パラメータを使用して簡単なフィルタ操作を実行できます。複数のフィルタ

を送信できます。すべてのフィルタ基準に共通の論理演算子はデフォルトで AND です。

"filtertype=or" のクエリー文字列パラメータを使用してこれを変更できます。

各リソース データ モデルの説明には、属性がフィルタ処理されたフィールドかどうか指定する必要が

あります。

たとえば、名が "a" で始まり "Finance" ID グループに属する内部ユーザを取得するには、次の要求を渡

します。

GET /ers/config/internaluser/?page=0&size=20&sortacs=name&filter=name.STARTSW.a&filter=identityGroup.EQ.Finance HTTP/1.1

次のフィルタ パラメータを使用できます。

表 5-6 使用可能なフィルタ パラメータ

パラメータ 説明

EQ 等しい

GT より大きい

LT より小さい

STARTSW から開始

ENDSW で終了

CONTAINS が次の文字列を含む（Contains）

NEQ 等しくない。

NSTARTSW から開始しない

NENDSW で終了しない

NCONTAINS 含まない

5-7Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス データ モデル

検索結果内のリンクの例

<ns2:searchResult xmlns:ns2="ers.ise.cisco.com" total="1163"><link rel="self" href="http://cisco.com/ers/config/internaluser?page=0&size=20" type="application/xml"/><link rel="next" href="http://cisco.com/ers/config/internaluser?page=20&size=20" type="application/xml"/><resources><link rel="john doe" href="http://cisco.com/ers/config/internaluser/333" type="application/xml"/><link rel="jeff smit" href="http://cisco.com/ers/config/internaluser/444" type="application/xml"/>...</resources></ns2:searchResult>

外部 RESTful サービス データ モデル外部 RESTful サービス データ モデルは、外部 RESTful API サービスが操作する RESTful リソースの

表現を定義します。表現はフィールドから構成され、各フィールドは XML ディクショナリを使用して

符号化された名前と値を持ちます。値は、数値または文字列リテラル、リスト、またはディクショナリ

で、それぞれ XML で表現されます。

リソースの各タイプには、独自のインターネット メディア タイプが含まれます。内部メディア タイプ

は、次のパターンに準拠している必要があります。

application/vnd.com.cisco.ise.resource.version+xml;charset=UTF-8

各 RESTful リソースに対応するメディア タイプはセクション ヘッダーで角カッコに含まれています。

リソースのモデルの説明では、[Post] で注釈を付けられたフィールドは、新しいリソースを作成するた

めに使用される POST 要求に含まれます。同様に、[PUT] で注釈を付けられたフィールドは、既存の

リソースのプロパティを更新するために使用される PUT 要求に含まれます。注釈を付けられていない

フィールドを PUT または POST 要求の要求本体に含めないでください。 そのような要求はサーバに

よって無視されます。

表 5-7 リソースごとのフィルタリング可能な属性のリスト

リソース フィルタリング可能な属性

エンドポイント mac、portalUser、profile、profileId、staticGroupAssignment、staticProfileAssignment

内部ユーザ name

エンドポイント ID グループ name

ID グループ name

SGT name

プロファイラ ポリシー（読み取り専用） name

5-8Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス データ モデル

基本リソース

各リソースには、次の表に記載されている一連の属性またはフィールドを構成する基本表現が含まれま

す。

内部ユーザ

内部ユーザのインターネット メディア タイプは次の形式に準拠している必要があります。

application/vnd.com.cisco.ise.identity.internaluser.1.0+xml

内部ユーザのデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれます。

表 5-8 基本表現属性

フィールド名 タイプ デフォルト値

発生回

数 説明

URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、

このユーザがアクセスできるリソースのクライ

アントの表現が更新されます。

id String — 1 リソースの uid [PUT]

name String — 1 リソースの名前 [POST][PUT]

description String — 0..1 リソースの説明 [POST][PUT]

表 5-9 内部ユーザのデータ モデル - 属性

フィールド名 タイプ デフォルト値

発生回

数 説明

URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、

このユーザがアクセスできるリソースのクライ

アントの表現が更新されます。

id String — 1 リソースの uid [PUT]

name String — 1 内部ユーザ名 [POST][PUT]

description String — 0..1 ユーザの説明 [POST][PUT]

enabled ブール値 true 1 ユーザがイネーブルかどうかを示す [POST][PUT]

email String — 0..1 ユーザの電子メール アドレス [POST][PUT]

password String — 1 ユーザのパスワード [POST][PUT]

firstName String — 1 ユーザの名 [POST][PUT]

lastName String — 1 ユーザの姓 [POST][PUT]

changePassword ブール値 true 1 次回のログイン試行時にパスワード変更を強制

する

identityGroups String — 1 identityGroup ID がカンマで区切られた文字列。

costumeAttributes マップ（K、V） — 0..1 属性の名前を表すキー ストリングと属性の値を

表す値ストリングとのマッピング

5-9Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス データ モデル

エンドポイント

内部ユーザのインターネット メディア タイプは次の形式に準拠している必要があります。

application/vnd.com.cisco.ise.identity.endpoint.1.0+xml

エンドポイントのデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれ

ます。

エンドポイント ID グループ

エンドポイント ID グループのインターネット メディア タイプは次の形式に準拠している必要がありま

す。

application/vnd.com.cisco.ise.identity.endpointidentitygroup.1.0+xml

エンドポイント ID グループのデータ モデルには、次の表に記載されている一連の属性またはフィール

ドが含まれます。

表 5-10 エンドポイントのデータ モデル - 属性

フィールド名 タイプ デフォルト値

発生回

数 説明

URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、

このエンドポイントがアクセスできるリソース

のクライアントの表現が更新されます。

id String — 1 リソースの uid [PUT]

description String — 0..1 エンドポイントの説明 [POST][PUT]

macAddress String true 1 エンドポイントの MAC アドレス

profile String — 0..1 エンドポイント ポリシー

profileID String — 0..1 プロファイル ID

EndPointIdentityGroupId

String — 0..1 次回のログイン試行時にパスワード変更を強制

する

StaticIdGroupAssignment

ブール値 false 1 ID グループの ID がカンマで区切られた文字列

portalUser String — 0..1 属性名を表すキー ストリングと属性値を表す値

ストリングとのマッピング。

IdentityStore String — — —

identityStoreId String — — —

表 5-11 エンドポイント ID グループのデータ モデル - 属性

フィールド名 タイプ デフォルト値

発生回

数 説明

URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、

このユーザがアクセスできるリソースのクライ

アントの表現が更新されます。

id String — 1 リソースの uid [PUT]

name String — 1 ID グループの名前 [POST][PUT]

5-10Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス データ モデル

ID グループ

ID グループのインターネット メディア タイプは次の形式に準拠している必要があります。

application/vnd.com.cisco.ise.identity.identitygroup.1.0+xml

ID グループのデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれま

す。

SGT

SGT のインターネット メディア タイプは次の形式に準拠している必要があります。

application/vnd.com.cisco.ise.sga.sgt.1.0+xml

SGT のデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれます。

description String — 0..1 ID グループの説明 [POST][PUT]

systemDefined ブール値 — 1 —

表 5-11 エンドポイント ID グループのデータ モデル - 属性 （続き）

フィールド名 タイプ デフォルト値

発生回

数 説明

表 5-12 ID グループのデータ モデル - 属性

フィールド名 タイプ デフォルト値

発生回

数 説明

URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、

このユーザがアクセスできるリソースのクライ

アントの表現が更新されます。

id String — 1 リソースの uid [PUT]

name String — 1 ID グループの名前 [POST][PUT]

description String — 0..1 ID グループの説明 [POST][PUT]

表 5-13 SGT のデータ モデル - 属性

フィールド名 タイプ デフォルト値

発生回

数 説明

URI ハイパーリンク — 1 この URI に対して行われた GET 要求によって、

このユーザがアクセスできるリソースのクライ

アントの表現が更新されます。

id String — 1 リソースの uid [PUT]

name String — 1 SGT の名前 [POST][PUT]

description String — 0..1 SGT の説明 [POST][PUT]

value String — 1 SGT 値

generatedId String — 1 SGT によって生成された ID。この属性は読み取

り専用です

isTagFromRange ブール値 — 1 isTagFromRange

5-11Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス データ モデル

VersionInfo

VersionInfo のインターネット メディア タイプは次の形式に準拠している必要があります。

application/vnd.com.cisco.ise.ers.versioninfo.1.0+xml

VersionInfo のデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれま

す。

SearchResult

SearchResult のインターネット メディア タイプは次の形式に準拠している必要があります。

application/vnd.com.cisco.ise.ers.searchresult.1.0+xml

SearchResult のデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれま

す。

外部 RESTful サービス応答

外部 RESTful サービス応答のインターネット メディア タイプは次の形式に準拠している必要がありま

す。

application/vnd.com.cisco.ise.ersresponse.1.0+xml

外部 RESTful サービス応答のデータ モデルには、次の表に記載されている一連の属性またはフィール

ドが含まれます。

表 5-14 VersionInfo のデータ モデル - 属性

フィールド名 タイプ

発生回

数 説明

supportedVersions String 1 このデータ モデルでサポートされているバージョンを説明する CSV。

currentServerVersion

String 1 サーバ データ モデル実装のバージョン。

表 5-15 SearchResult のデータ モデル - 属性

フィールド名 タイプ

発生回

数 説明

total String 1 検索結果の総数

type String 1 検索を実行するリソース タイプ

self ハイパーリンク 1 現在の表現を更新するリンク

next ハイパーリンク 0..1 次の結果ページを取得するリンク

Prev ハイパーリンク 0..1 前の結果ページを取得するリンク

resources BaseResource[] 0..1 基本リソースの集合

5-12Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス データ モデル

応答メッセージ

応答メッセージのインターネット メディア タイプは次の形式に準拠している必要があります。

application/vnd.com.cisco.ise.ersresponse.1.0+xml

応答メッセージのデータ モデルには、次の表に記載されている一連の属性またはフィールドが含まれ

ます。

エラー応答

要求が失敗するときは常に、問題を説明するために、HTTP エラー ステータスと応答の内容がクライ

アントに返されます。次の表で、発生する可能性のあるエラーについて説明します。

表 5-16 外部 RESTful サービス応答のデータ モデル - 属性

フィールド名 タイプ

発生回

数 説明

operation String 1 実行された操作を説明する（たとえば、[put]update-internaluser）

targetURI ハイパーリンク 0..1 応答が続く要求 URI

messages ResponseMessage[] 0..1 サーバからのメッセージの配列

表 5-17 応答メッセージのデータ モデル - 属性

フィールド名 タイプ

発生回

数 説明

title String 1 このメッセージで報告される問題の性質を説明するローカライズされた

テキスト。

type String 1 次の値を使用して、メッセージ タイプを示します。

• INFO

• 警告

• エラー

code String 0..1 このメッセージで報告されるエラーのタイプを識別するシンボリック エラー コード（たとえば、検証エラー）

stackTrace String 0..1 このメッセージに関連付けられたスタック トレース（デバッグ モードの

み）。

hint String 0..1 問題の性質をさらに説明するローカライズされたテキストで、クライア

ントが試行可能な回避策を含むことがあります。

表 5-18 エラー コード

エラー コード 説明 HTTP ステータス

ERS_INTERNAL_EXCEPTION 実行時に発生する予期しない内部サーバ エラー。 500

ERS_VERSION_EXCEPTION 要求内容で送信されるリソースのバージョンがサー

バによってサポートされなくなった場合に発生しま

す。

415

5-13Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス API のセキュリティ機能

更新されるフィールド

更新されるフィールドのインターネット メディア タイプは次の形式に準拠している必要があります。

application/vnd.com.cisco.ise.ers.updatedfields.1.0+xml

更新されるフィールドのデータ モデルには、次の表に記載されている一連の属性またはフィールドが

含まれます。

外部 RESTful サービス API のセキュリティ機能外部 RESTful サービス API はデフォルトでディセーブルであり、管理権限を持つユーザが明示的にイ

ネーブルにする必要があります。外部 RESTful サービス API は、HTTPS アクセス（ポート 9060 を使

用）および基本 HTTP 認証だけをサポートします。プレーンな HTTP アクセスはサポートされていま

せん。外部 RESTful サービス API 実装では、パスワードの総当たり攻撃を阻止するためのメカニズム

を使用します。

ERS_MEDIA_TYPE_EXCEPTION ACCEPT または Content-Type ヘッダーでクライア

ントから送信されるメディア タイプが無効である場

合に発生します。

415

ERS_UNSUPPORTED_RESOURCE_EXCEPTION

URI に表示されているようには、リソースがサーバ

でサポートされていない場合に発生します。

400

ERS_UNSUPPORTED_METHOD_EXCEPTION 要求メソッド タイプが、指定した URI ではサポート

されていない場合に発生します。

400

ERS_QUERY_VALIDATION_EXCEPTION 検索フィルタまたはページング パラメータが無効で

ある場合に発生します。

400

ERS_SCHEMA_VALIDATION_EXCEPTION スキーマに対するリソースの検証に失敗した場合に

発生します。

400

ERS_CONVERSION_EXCEPTION 一部の内部変換のために発生し、

INTERNAL_EXCEPTION として処理される必要が

あります。

500

ERS_APPLICATION_RESOURCE_VALIDATION_EXCEPTION

リソースの意味検証が要件を満たしていない場合に

発生します。

400

ERS_CRUD_OPERATION_EXCEPTION CRUD 操作の実行中に発生し、

INTERNAL_EXCEPTION として処理される必要が

あります。

500

表 5-18 エラー コード （続き）

エラー コード 説明 HTTP ステータス

表 5-19 更新されるフィールドのデータ モデル - 属性

フィールド名 タイプ

発生回

数 説明

field String 1 変更されたフィールド名

oldValue String 1 フィールドの古い値

newValue String 1 フィールドの変更後の値

5-14Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス API のセキュリティ機能

外部 RESTful サービス認証

外部 RESTful サービス API は HTTPS でのみ実行され、基本認証をサポートします。認証クレデン

シャルは、暗号化され、要求ヘッダーの一部となっています。認証は、Tomcat サーバに対応する基本

認証メカニズムを使用して実装されます。

（注） 外部 RESTful サービス アプリケーションが完全にステートレスなので、セッションは管理されませ

ん。

外部 RESTful サービス許可

外部 RESTful サービス API では、読み取り専用とフルアクセス レベルの認証を提供します。外部 RESTful サービスを使用して操作を実行するための特権をユーザに割り当てる必要があります。次の 2 種類のロールを割り当てることができます。

• 外部 RESTful サービス スーパー ユーザ：外部 RESTful サービス API にフル アクセスできます

（GET、POST、DELETE、PUT）。

• 外部 RESTful サービス ゲスト：読み取り専用アクセスができます（GET 要求のみ）。

必要な権限がないのに、外部 RESTful サービス操作を実行しようとすると、エラー応答を受信します。

関連項目

• 新しい Cisco ISE 管理者の作成

インジェクション攻撃

外部 RESTful サービス Web アプリケーションは、クロス サイト スクリプティング、SQL/HQL イン

ジェクション、シェル インジェクション、およびファイル名操作攻撃を含むあらゆる種類のインジェ

クション攻撃に対して保護されています。入力の検証も十分行われます。

総当たり攻撃

外部 RESTful サービス API では、パスワードの総当たり攻撃を防止するためのメカニズムを提供しま

す。ユーザが Cisco ISE GUI で定義されているパスワード ポリシーに違反した場合、そのようなユー

ザ プロファイルは中断またはディセーブルされ、401 ステータス メッセージが返されます。

接続制限

外部 RESTful サービスが使用するポート（ポート 9060 上の https）は、同時に 10 以下の接続しか受け

入れません。このメカニズムは、クライアントが API を誤用したり（CPU スタベーション）、ドキュメ

ントを攻撃したりできないようにします。

5-15Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

ISE 導入での外部 RESTful サービス

ISE 導入での外部 RESTful サービスすべての外部 RESTful サービス要求は、プライマリ ノードに対してのみ有効です。セカンダリ ノード

は、読み取りアクセス（GET 要求）のみできます。

外部 RESTful サービス SDK独自のツールを作成するために、外部 RESTful サービスのソフトウェア開発キット（SDK）ページを

使用できます。次の URL からそのページにアクセスします。https://<ipaddress>:9060/ers/sdk

[外部 RESTful サービス SDK（External RESTful Services SDK）] ページには、管理者ユーザだけが

アクセスできます。次の情報が含まれています。

• 使用可能なすべての API のリスト、および要求構造と応答構造を含む xml の例

• ダウンロード可能なスキーマ ファイル

• 『Cisco ISE API Reference Guide』

• 外部 RESTful サービス クライアントの Java デモ アプリケーション

使用可能なすべての機能については図 5-1 を参照してください。

図 5-1 外部 RESTful サービス SDK

5-16Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス システム フロー

外部 RESTful サービス スキーマ ファイルのダウンロード

外部 RESTful サービス SDK には、外部 RESTful サービス API でサポートされる次の XSD スキーマ ファイルが付属しています。

• ers.xsd

• identity.xsd

• sga.xsd

ステップ 1 次の URL を使用して [外部 RESTful サービス SDK（External RESTful Services SDK）] ページにロ

グインします。

https://<ipaddress>:9060/ers/sdk

ステップ 2 外部 RESTful サービス管理者としてログインします。

ステップ 3 [ダウンロード（Downloads）] の下で使用できる [スキーマ ファイル（Schema Files）] をクリックし

ます。

JAXB などの使用可能なツールとともにこのファイルを使用して、スキーマ クラスを生成できます。

HTTP クライアント コードを開発するか、またはサード パーティ HTTP クライアント コードを使用し

て、XSD ファイルから生成されたスキーマ クラスと統合できます。

（注） コンテンツに送信されたすべての XML データはスキーマと照合して検証されます。したがって、

XML のフィールド順序と構文はスキーマに表示されるものと同じである必要があります。そうでない

場合、Bad Request ステータス コードを受信します。

外部 RESTful サービス システム フロー共通の外部 RESTful サービス フローは常に、クライアントから送信される HTTPS 要求とサーバから

の HTTPS 応答から構成されます。フローは、要求タイプ、URI、要求ヘッダー、応答ヘッダー、およ

び応答の内容によって異なります。

外部 RESTful サービスの成功フロー シーケンス

共通のフローは常に、クライアントから送信される HTTPS 要求と ISE サーバからの HTTPS 応答から

構成されます。フローは、要求タイプ、URI、要求ヘッダー、応答ヘッダーおよび応答の内容によって

異なります。要求が成功すると、要求されたアクションが正常に実行されたことを示すために、一般に 200（OK）、201（Created）または 204（No Content）の HTTP ステータス コードが返されます。さ

らに、それらには、要求された情報の表現を含む応答メッセージ本文（適切なメディア タイプ）が含

まれる場合があります。ただし、いくつかの点で失敗する可能性もあります。さまざまな基礎となる原

因が、範囲 400 ～ 499（クライアント側エラー）または 500 ～ 599（サーバ側の問題）のさまざまな HTTP ステータス コードによって記述されています。各要求タイプの説明では、要求のタイプによっ

て返される可能性があるステータス コードをリストする必要があります。

5-17Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス システム フロー

次の図に、外部 RESTful サービスの成功フローの例を示します。

図 5-2 外部 RESTful サービスの成功フロー シーケンス

関連項目

「共通の外部 RESTful サービス HTTP 応答コード」（P.5-4）

外部 RESTful サービスの失敗フロー シーケンス

要求処理中に、いくつかの点で失敗する可能性もあります。さまざまな基礎となる原因が、範囲 400 ～ 499（クライアント側エラー）または 500 ～ 599（サーバ側の問題）のさまざまな HTTP ステータス コードによって記述されています。各要求タイプの説明では、要求のタイプによって返される可能性が

あるステータス コードをリストする必要があります。応答がエラー ステータス コード（400 ～ 499 または 500 ～ 599）と共に返される場合、サーバは失敗の原因を記述したメッセージ データ モデルを含

む、0 以上のメッセージ データ モデルを含む、応答メッセージ本文を返す必要があります。このよう

なメッセージのテキスト値は、たとえば、クライアント側のアプリケーションの人間のユーザと通信す

るために使用される場合があります。

失敗したフローでは、応答の内容に障害の原因となったエラー メッセージのリストが含まれます。

5-18Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス システム フロー

次の図に、外部 RESTful サービスの失敗フローの例を示します。

図 5-3 外部 RESTful サービスの失敗フロー シーケンス

関連項目

「共通の外部 RESTful サービス HTTP 応答コード」（P.5-4）

5-19Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 5 章 外部 RESTful サービス API の概要

外部 RESTful サービス システム フロー

5-20Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

Cisco Identity ServicesOL-26134-01-J

C H A P T E R 6

外部 RESTful サービス コール

• 「外部 RESTful サービス API コールの呼び出し」（P.6-1）

• 「GetVersion API コール」（P.6-1）

• 「内部ユーザの外部 RESTful サービス API コール」（P.6-2）

• 「エンドポイントの外部 RESTful サービス API コール」（P.6-9）

• 「エンドポイント ID グループの外部 RESTful サービス API コール」（P.6-16）

• 「ID グループの外部 RESTful サービス API コール」（P.6-25）

• 「セキュリティ グループ タグの外部 RESTful サービス API コール」（P.6-27）

• 「REST API クライアントの使用方法」（P.6-29）

• 「外部 RESTful サービス Java デモ アプリケーション」（P.6-38）

外部 RESTful サービス API コールの呼び出し外部 RESTful サービス API コールを呼び出す前に、次の前提条件を満たす必要があります。

• CLI から外部 RESTful サービスをイネーブルにします。

• 外部 RESTful サービス管理者権限をイネーブルにします。

外部 RESTful サービス API コールを呼び出すために、JAVA、cURL Linux コマンド、Python などの REST クライアントを使用できます。

関連項目

• 「外部 RESTful API サービスのイネーブル化」（P.5-2）

• 「外部 RESTful サービス許可」（P.5-15）

GetVersion API コールGetVersion API コールは、使用可能なすべてのリソース（エンドポイント、内部ユーザ、エンドポイ

ント ID グループ、およびセキュリティ グループ タグ（SGT））に共通です。これは、必要なリソース

のバージョン情報を取得します。

6-1 Engine API リファレンス ガイド、リリース 1.2

第 6 章 外部 RESTful サービス コール

内部ユーザの外部 RESTful サービス API コール

GetVersion 要求のサンプル

Sample Request for Get Version Internal Users API Method:PUTURI: https://10.56.13.196:9060/ers/config/internaluser/versioninfoHTTP Accept header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml

GetVersion 応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:versionInfo xmlns:ns2="ers.ise.cisco.com"> <currentServerVersion>1.0</currentServerVersion> <link type="application/xml" href="link" rel="self"/> <supportedVersions>0.9,0.8</supportedVersions></ns2:versionInfo>

内部ユーザの外部 RESTful サービス API コール内部ユーザの外部 RESTful サービス API コールは、Create、Read、Update、Delete（CRUD）機能を

完全にサポートします。これらの API コールで使用される内部ユーザ ID は Cisco ISE データベースに

保存された UUID タイプです。

表 6-1 GetVersion の特性

特性 説明

説明 指定したリソースのバージョン情報を取得します

概要 GET/ers/config/<resource-name>/version

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 VersionInfo タイプのリソース

応答ステータス 200、400、401、403、404、415、500

6-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

内部ユーザの外部 RESTful サービス API コール

内部ユーザ スキーマ

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<ns3:internaluser name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">

<changePassword>true</changePassword>

<customAttributes>

<entry>

<key>key2</key>

<value>value3</value>

</entry>

<entry>

<key>key1</key>

<value>value1</value>

</entry>

</customAttributes>

<email>email@domain.com</email>

<enabled>true</enabled>

<firstName>firstName</firstName>

<identityGroups>identityGroups</identityGroups>

<lastName>lastName</lastName>

<password>password</password>

</ns3:internaluser>

Get All Users API コール

Cisco ISE のすべての内部ユーザを取得するには、Get All Users API コールを使用します。

表 6-2 内部ユーザに対して使用できる外部 RESTful サービス API コール

API コール

HTTP メソッ

ド URL 内容

クエリー文

字列

すべてのユーザの

取得

GET /ers/config/internaluser — Page、Size、sortacs また

は sortdsn、Filter

ユーザの取得 GET /ers/config/internaluser/{internaluser-id}

— —

ユーザの作成 POST /ers/config/internaluser/ internaluser —

ユーザの更新 PUT /ers/config/internaluser/{internaluser-id}

internaluser —

ユーザの削除 DELETE /ers/config/internaluser/{internaluser-id}

— —

6-3Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

内部ユーザの外部 RESTful サービス API コール

すべてのユーザの取得要求のサンプル

Method: GETURI: https://10.56.13.196:9060/ers/config/internaluserHTTP Accept header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml Request Content:N/A

すべてのユーザの取得応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:searchResult total="2" xmlns:ns2="ers.ise.cisco.com"> <nextPage type="application/xml" href="link-to-next-page" rel="next"/> <previousPage type="application/xml" href="link-to-previous-page" rel="previous"/> <resources> <resource name="name1" id="id1" description="description1"/> <resource name="name2" id="id2" description="description2"/> </resources></ns2:searchResult>

Get User API コール

ユーザ ID を使用して内部ユーザを取得するには、Get User API コールを使用します。

表 6-3 Get All Users の特性

特性 説明

説明 内部ユーザの集合を取得します

概要 GET /ers/config/internaluser

要求ヘッダー Accept、Authorization、Host

クエリー文字列 start、size、sortbyacn、sortbydcn、filter（フィ

ルタでサポートされるフィールド：name、description、firstName、lastName、identityGroup、email、enabled）

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 SearchResult

応答ステータス 200、400、401、403、404、415、500

表 6-4 Get User の特性

特性 説明

説明 指定された内部ユーザを取得します

概要 GET /ers/config/internaluser/{internaluser-id}

要求ヘッダー Accept、Authorization、Host

6-4Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

内部ユーザの外部 RESTful サービス API コール

ユーザの取得要求のサンプル

Method: GETURI: https://10.56.13.196:9060/ers/config/internaluser/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml Request Content:N/A

ユーザの取得応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:internaluser name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <changePassword>true</changePassword> <customAttributes> <entry> <key>key2</key> <value>value3</value> </entry> <entry> <key>key1</key> <value>value1</value> </entry> </customAttributes> <email>email@domain.com</email> <enabled>true</enabled> <firstName>firstName</firstName> <identityGroups>identityGroups</identityGroups> <lastName>lastName</lastName> <password>password</password></ns3:internaluser>}

Create User API コール

Cisco ISE の内部ユーザを作成するには、Create User API コールを使用します。外部 RESTful サービ

ス API を使用して内部ユーザを作成するのに、パスワードは必須です。

クエリー文字列 —

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 InternalUser タイプのリソース

応答ステータス 200、400、401、403、404、415、500

表 6-4 Get User の特性 （続き）

特性 説明

6-5Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

内部ユーザの外部 RESTful サービス API コール

ユーザの作成要求のサンプル

Method: POSTURI: https://10.56.13.196:9060/ers/config/internaluserHTTP Content-Type header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml; charset=utf-8 Request Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:internaluser name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <changePassword>true</changePassword> <customAttributes> <entry> <key>key2</key> <value>value3</value> </entry> <entry> <key>key1</key> <value>value1</value> </entry> </customAttributes> <email>email@domain.com</email> <enabled>true</enabled> <firstName>firstName</firstName> <identityGroups>identityGroups</identityGroups> <lastName>lastName</lastName> <password>password</password></ns3:internaluser>

ユーザの作成応答のサンプル

HTTP Status: 201 (Created)Content: N/A

表 6-5 Create User API コールの特性

特性 説明

説明 指定された内部ユーザを作成します

概要 POST /ers/config/internaluser/

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 InternalUser

応答ヘッダー Content-Length、Content-Type、Location

応答メッセージ本文 InternalUser タイプのリソース

応答ステータス 201、400、401、403、415、500

6-6Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

内部ユーザの外部 RESTful サービス API コール

Update User API コール

Cisco ISE の内部ユーザを更新するには、Update User API コールを使用します。外部 RESTful サービ

ス API を使用して内部ユーザを更新しているときに、既存のパスワードを変更しない場合は、現在の

パスワードを入力する必要はありません。内部ユーザを更新するときに既存のパスワードを変更する場

合は、プレーン テキストで指定できます。

ユーザの更新要求のサンプル

Method: PUTURI: https://10.56.13.196:9060/ers/config/internaluser/{id}HTTP Content-Type header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml; charset=utf-8 Request Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:internaluser name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <changePassword>true</changePassword> <customAttributes> <entry> <key>key2</key> <value>value3</value> </entry> <entry> <key>key1</key> <value>value1</value> </entry> </customAttributes> <email>email@domain.com</email> <enabled>true</enabled> <firstName>firstName</firstName> <identityGroups>identityGroups</identityGroups> <lastName>lastName</lastName> <password>password</password></ns3:internaluser>

表 6-6 Update User の特性

特性 説明

説明 指定された内部ユーザを更新します

概要 PUT /ers/config/internaluser/{internaluser-id}

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 InternalUser

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 更新されたフィールドのリスト

応答ステータス 200、400、401、403、404、415、500

6-7Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

内部ユーザの外部 RESTful サービス API コール

ユーザの更新応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:updatedFields xmlns:ns2="ers.ise.cisco.com"> <updatedField field="field1"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField> <updatedField field="some other field"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField></ns2:updatedFields>

Delete User API コール

Cisco ISE から内部ユーザを削除するには、Delete User API コールを使用します。

ユーザの削除要求のサンプル

Method: DELETEURI: https://10.56.13.196:9060/ers/config/internaluser/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.internaluser.1.0+xml Request Content:N/A

ユーザの削除応答のサンプル

HTTP Status: 204 (No Content)Content: N/A

表 6-7 Delete User の特性

特性 説明

説明 指定された内部ユーザを削除します

概要 DELETE /ers/config/internaluser/{internaluser-id}

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 InternalUser タイプのリソース

応答ステータス 204、400、401、403、404、415、500

6-8Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイントの外部 RESTful サービス API コール

エンドポイントの外部 RESTful サービス API コールこれらの API コールで使用される内部ユーザ ID は Cisco ISE データベースに保存された UUID タイプ

です。

（注） これらの例は、DB データへの参照があるため、そのまま使用するためのものではありません。例を基

本テンプレートとして処理し、サーバに送信する前に編集する必要があります。

エンドポイントのスキーマ

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">

<groupId>groupId</groupId>

<identityStore>identityStore</identityStore>

<identityStoreId>identityStoreId</identityStoreId>

<mac>00:01:02:03:04:05</mac>

<portalUser>portalUser</portalUser>

<profileId>profileId</profileId>

<staticGroupAssignment>true</staticGroupAssignment>

<staticProfileAssignment>false</staticProfileAssignment>

</ns3:endpoint>

Get All Endpoints API コール

Get All Endpoints API コールを使用して、エンドポイントのリストを取得します。

表 6-8 エンドポイントに対して使用できる外部 RESTful サービス API コール

オペレーション メソッド URL 内容

クエリー文字

列

すべてのエンドポイン

トの取得

GET /ers/config/endpoint — page、size、sortacs または sortdsn、filter

エンドポイントの取得 GET /ers/config/endpoint/{endpoint-id} — —

エンドポイントの作成 POST /ers/config/endpoint/ endpoint —

エンドポイントの更新 PUT /ers/config/endpoint/{endpoint-id} endpoint —

エンドポイントの削除 DELETE /ers/config/endpoint/{endpoint-id} — —

エンドポイントの登録 PUT /ers/config/endpoint/register endpoint —

エンドポイントの登録

解除

PUT /ers/config/endpoint/{endpoint-id}/deregister

— —

6-9Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイントの外部 RESTful サービス API コール

すべてのエンドポイントの取得要求のサンプル

Method: GETURI: https://10.56.13.196:9060/ers/config/endpointHTTP Accept header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml Request Content:N/A

すべてのエンドポイントの取得応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:searchResult total="2" xmlns:ns2="ers.ise.cisco.com"> <nextPage type="application/xml" href="link-to-next-page" rel="next"/> <previousPage type="application/xml" href="link-to-previous-page" rel="previous"/> <resources> <resource name="name1" id="id1" description="description1"/> <resource name="name2" id="id2" description="description2"/> </resources></ns2:searchResult>

（注） サポートされていないため、エンドポイントに、完全なオブジェクトに対するハイパーリンクはありま

せん。名前の説明と ID だけが表示されます。

Get Endpoint API コール

ユーザ ID を使用してエンドポイントを取得するには、Get Endpoint API コールを使用します。

表 6-9 Get All Endpoints の特性

特性 説明

説明 エンドポイントの集合を取得します

概要 GET ers/config/endpoint

要求ヘッダー Accept、Authorization、Host

クエリー文字列 start、size、sortbyacn、sortbydcn、filter（フィルタでサ

ポートされるフィールド：mac、portalUser、profileId、staticGroupAssignment、staticProfileAssignment）

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 SearchResult

応答ステータス 200、400、401、403、404、415、500

6-10Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイントの外部 RESTful サービス API コール

エンドポイントの取得要求のサンプル

Method: GETURI: https://10.56.13.196:9060/ers/config/endpoint/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml Request Content:N/A

エンドポイントの取得応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <groupId>groupId</groupId> <identityStore>identityStore</identityStore> <identityStoreId>identityStoreId</identityStoreId> <mac>00:01:02:03:04:05</mac> <portalUser>portalUser</portalUser> <profileId>profileId</profileId> <staticGroupAssignment>true</staticGroupAssignment> <staticProfileAssignment>false</staticProfileAssignment></ns3:endpoint>

Create Endpoint API コール

Cisco ISE のエンドポイントを作成するには、Create Endpoint API コールを使用します。

表 6-10 Get Endpoint の特性

特性 説明

説明 指定されたエンドポイントを取得します

概要 GET /ers/config/endpoint/{endpoint-id}

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 InternalUser タイプのリソース

応答ステータス 200、400、401、403、404、415、500

表 6-11 Create Endpoint の特性

特性 説明

説明 指定されたエンドポイントを作成します

概要 POST /ers/config/endpoint

6-11Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイントの外部 RESTful サービス API コール

エンドポイントの作成要求のサンプル

Method: POST

URI: https://10.56.13.196:9060/ers/config/endpoint

HTTP Content-Type header:

application/vnd.com.cisco.ise.identity.endpoint.1.0+xml; charset=utf-8

Request Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">

<groupId>groupId</groupId>

<identityStore>identityStore</identityStore>

<identityStoreId>identityStoreId</identityStoreId>

<mac>00:01:02:03:04:05</mac>

<portalUser>portalUser</portalUser>

<profileId>profileId</profileId>

<staticGroupAssignment>true</staticGroupAssignment>

<staticProfileAssignment>false</staticProfileAssignment>

</ns3:endpoint>

エンドポイントの作成応答のサンプル

HTTP Status: 201 (Created)Content: N/A

Update Endpoint API コール

Cisco ISE のエンドポイントを更新するには、Update Endpoint API コールを使用します。

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 エンドポイント

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 InternalUser タイプのリソース

応答ステータス 200、400、401、403、404、415、500

表 6-11 Create Endpoint の特性 （続き）

特性 説明

6-12Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイントの外部 RESTful サービス API コール

エンドポイントの更新要求のサンプル

Method: PUTURI: https://10.56.13.196:9060/ers/config/endpoint/{id}HTTP Content-Type header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml; charset=utf-8 Request Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <groupId>groupId</groupId> <identityStore>identityStore</identityStore> <identityStoreId>identityStoreId</identityStoreId> <mac>00:01:02:03:04:05</mac> <portalUser>portalUser</portalUser> <profileId>profileId</profileId> <staticGroupAssignment>true</staticGroupAssignment> <staticProfileAssignment>false</staticProfileAssignment></ns3:endpoint>

エンドポイントの更新応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:updatedFields xmlns:ns2="ers.ise.cisco.com"> <updatedField field="field1"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField> <updatedField field="some other field"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField></ns2:updatedFields>

表 6-12 Update Endpoint の特性

特性 説明

説明 指定されたエンドポイントを更新します

概要 PUT /ers/config/endpoint/{endpoint-id}

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 エンドポイント

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 更新されたフィールドのリスト

応答ステータス 200、400、401、403、404、415、500

6-13Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイントの外部 RESTful サービス API コール

Delete Endpoint API コール

Cisco ISE のエンドポイントを削除するには、Delete Endpoint API コールを使用します。

エンドポイントの削除要求のサンプル

Method: DELETEURI: https://10.56.13.196:9060/ers/config/endpoint/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml Request Content:N/A

エンドポイントの削除応答のサンプル

HTTP Status: 204 (No Content)Content: N/A

Register Endpoint API コール

Cisco ISE のエンドポイントを登録するには、Register Endpoint API コールを使用します。エンドポイ

ントがすでに存在する場合は、登録されます。存在しない場合は、作成され、登録されます。いずれの

シナリオでも、リターン ステータスは、no content を意味する 204 になります。GUI 登録フローと同

様に、エンドポイントは登録済みデバイス グループに静的に割り当てられ、ポータル ユーザおよび ID ストアはコンテンツで指定されているとおりに設定されます。

表 6-13 Delete Endpoint の特性

特性 説明

説明 指定されたエンドポイントを削除します

概要 DELETE /ers/config/endpoint/{endpoint-id}

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 —

応答ステータス 200、400、401、403、404、415、500

表 6-14 Register Endpoint の特性

特性 説明

説明 指定されたエンドポイントを登録します

概要 PUT /ers/config/endpoint/register

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 endpoint

応答ヘッダー Content-Length、Content-Type

6-14Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイントの外部 RESTful サービス API コール

エンドポイントの登録要求のサンプル

Method: PUTURI: https://10.56.13.196:9060/ers/config/endpoint/registerHTTP Content-Type header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml; charset=utf-8 Request Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <groupId>groupId</groupId> <identityStore>identityStore</identityStore> <identityStoreId>identityStoreId</identityStoreId> <mac>00:01:02:03:04:05</mac> <portalUser>portalUser</portalUser> <profileId>profileId</profileId> <staticGroupAssignment>true</staticGroupAssignment> <staticProfileAssignment>false</staticProfileAssignment></ns3:endpoint>

エンドポイントの登録応答のサンプル

HTTP Status: nullContent: N/A

Deregister Endpoint API コール

Cisco ISE のエンドポイントを登録解除するには、Deregister Endpoint API コールを使用します。

応答メッセージ本文 更新されたフィールドのリスト

応答ステータス 202、400、401、403、404、415、500

表 6-14 Register Endpoint の特性 （続き）

特性 説明

表 6-15 Deregister Endpoint の特性

特性 説明

説明 指定されたエンドポイントを登録解除します

概要 PUT /ers/config/endpoint/{endpoint-id}/deregister

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 —

応答メッセージ本文 —

応答ステータス 202、400、401、403、404、415、500

6-15Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイント ID グループの外部 RESTful サービス API コール

エンドポイントの登録解除要求のサンプル

Method: PUTURI: https://10.56.13.196:9060/ers/config/endpoint/{id}/deregisterHTTP Content-Type header:application/vnd.com.cisco.ise.identity.endpoint.1.0+xml; charset=utf-8 Request Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpoint name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <groupId>groupId</groupId> <identityStore>identityStore</identityStore> <identityStoreId>identityStoreId</identityStoreId> <mac>00:01:02:03:04:05</mac> <portalUser>portalUser</portalUser> <profileId>profileId</profileId> <staticGroupAssignment>true</staticGroupAssignment> <staticProfileAssignment>false</staticProfileAssignment></ns3:endpoint>

エンドポイントの登録解除応答のサンプル

HTTP Status: nullContent: N/A

エンドポイント ID グループの外部 RESTful サービス API コール

これらの API コールで使用される内部ユーザ ID は Cisco ISE データベースに保存された UUID タイプ

です。

（注） 後述の項に示されている例は、DB データへの参照があるため、そのまま使用するためのものではあり

ません。例を基本テンプレートとして処理し、サーバに送信する前に編集する必要があります。

表 6-16 エンドポイント ID グループに対して使用できる外部 RESTful サービス API コール

オペレーション メソッド URL 内容

クエリー文字

列

すべてのエンドポイン

ト グループの取得

GET /ers/config/endpointgroup — page、size、sortacs また

は sortdsn、filter

エンドポイント グルー

プの取得

GET /ers/config/endpointgroup/{endpointgroup-id}

— —

6-16Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイント ID グループの外部 RESTful サービス API コール

エンドポイント ID グループのスキーマ

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<ns3:endpointgroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">

<systemDefined>true</systemDefined>

</ns3:endpointgroup>

Get All Endpoint Identity Groups API コール

Get All Endpoint Identity Groups API コールを使用して、エンドポイント ID グループの集合を取得し

ます。

すべてのエンドポイント ID グループの取得要求のサンプル

Method: GETURI: https://10.56.13.196:9060/ers/config/endpointgroupHTTP Accept header:application/vnd.com.cisco.ise.identity.endpointgroup.1.0+xml Request Content:N/A

エンドポイント グルー

プの作成

POST /ers/config/endpointgroup/ Endpointgroup —

エンドポイント グルー

プの更新

PUT /ers/config/endpointgroup/{endpointgroup-id}

Endpointgroup —

エンドポイント グルー

プの削除

DELETE /ers/config/endpointgroup/{endpointgroup-id}

— —

表 6-16 エンドポイント ID グループに対して使用できる外部 RESTful サービス API コール （続き）

オペレーション メソッド URL 内容

クエリー文字

列

表 6-17 Get All Endpoint Identity Groups の特性

特性 説明

説明 エンドポイント グループの集合を取得します

概要 GET /ers/config/endpointgroup

要求ヘッダー Accept、Authorization、Host

クエリー文字列 start、size、sortbyacn、sortbydcn、filter

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 SearchResult

応答ステータス 202、400、401、403、404、415、500

6-17Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイント ID グループの外部 RESTful サービス API コール

すべてのエンドポイント ID グループの取得応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:searchResult total="2" xmlns:ns2="ers.ise.cisco.com"> <nextPage type="application/xml" href="link-to-next-page" rel="next"/> <previousPage type="application/xml" href="link-to-previous-page" rel="previous"/> <resources> <resource name="name1" id="id1" description="description1"/> <resource name="name2" id="id2" description="description2"/> </resources></ns2:searchResult>

（注） エンドポイントの完全なオブジェクトに対するハイパーリンクはありません。名前、説明、および ID だけが表示されます。

Get Endpoint Identity Group API コール

Get Endpoint Identity Group API コールを使用して、指定されたエンドポイント ID グループを取得し

ます。

エンドポイント ID グループの取得要求のサンプル

Method: GETURI: https://10.56.13.196:9060/ers/config/endpointgroup/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.endpointgroup.1.0+xml Request Content:N/A

エンドポイント ID グループの取得応答のサンプル

HTTP Status: 200 (OK)

表 6-18 Get Endpoint Identity Group の特性

特性 説明

説明 指定されたエンドポイント グループを取得しま

す

概要 GET /ers/config/endpoint/{endpointgroup-id}

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 Endpoint タイプのリソース

応答ステータス 200、400、401、403、404、415、500

6-18Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイント ID グループの外部 RESTful サービス API コール

Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpointgroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <systemDefined>true</systemDefined></ns3:endpointgroup>}

Create Endpoint Identity Group API コール

Create Endpoint Identity Group API コールを使用して、指定されたエンドポイント ID グループを作成

します。

:

エンドポイント ID グループの作成要求のサンプル

Method: POSTURI: https://10.56.13.196:9060/ers/config/endpointgroupHTTP Content-Type header:application/vnd.com.cisco.ise.identity.endpointgroup.1.0+xml; charset=utf-8 Request Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpointgroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <systemDefined>true</systemDefined></ns3:endpointgroup>

エンドポイント ID グループの作成応答のサンプル

HTTP Status: 201 (Created)Content: N/A

表 6-19 Create Endpoint Identity Group の特性

特性 説明

説明 指定されたエンドポイント グループを作成しま

す

概要 POST /ers/config/endpoint/

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 Endpoint Group

応答ヘッダー Content-Length、Content-Type、Location

応答メッセージ本文 Endpoint Group タイプのリソース

応答ステータス 201、400、401、403、415、500

6-19Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

エンドポイント ID グループの外部 RESTful サービス API コール

Update Endpoint Identity Group API コール

Update Endpoint Identity Group API コールを使用して、指定されたエンドポイント ID グループを更新

します。

エンドポイント ID グループの更新要求のサンプル

Method: PUTURI: https://10.56.13.196:9060/ers/config/endpointgroup/{id}HTTP Content-Type header:application/vnd.com.cisco.ise.identity.endpointgroup.1.0+xml; charset=utf-8 Request Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:endpointgroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <systemDefined>true</systemDefined></ns3:endpointgroup>

エンドポイント ID グループの更新応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:updatedFields xmlns:ns2="ers.ise.cisco.com"> <updatedField field="field1"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField> <updatedField field="some other field"> <newValue>val_new</newValue> <oldValue>val_old</oldValue> </updatedField></ns2:updatedFields>}

表 6-20 Update Endpoint Identity Group の特性

特性 説明

説明 指定されたエンドポイント グループを更新しま

す

概要 PUT /ers/config/endpoint/{endpointgroup-id}

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 Endpoint Group

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 更新されたフィールドのリスト

応答ステータス 200、400、401、403、404、415、500

6-20Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

Profiler プロファイルの外部 RESTful サービス API コール

Delete Endpoint Identity Group API コール

Delete Endpoint Identity Group API コールを使用して、指定されたエンドポイント ID グループを削除

します。

エンドポイント ID グループの削除要求のサンプル

Method: DELETEURI: https://10.56.13.196:9060/ers/config/endpointgroup/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.endpointgroup.1.0+xml Request Content:N/A

エンドポイント ID グループの削除応答のサンプル

HTTP Status: 204 (No Content)Content: N/A

Profiler プロファイルの外部 RESTful サービス API コールProfiler プロファイル API コールを使用すると、プロファイルを検索することができます。Profiler プロファイルは、エンドポイントが分類されるか、または静的に割り当てられるプロファイルです。

Profiler プロファイルは、プロファイラ ポリシーとも呼ばれます。プロファイル ID はエンドポイント

の属性です。エンドポイントは名前でフィルタリングできます。

（注） 次の項に示されている例は、DB データへの参照があるため、そのまま使用するためのものではありま

せん。例を基本テンプレートとして処理し、サーバに送信する前に編集する必要があります。

表 6-21 Delete Endpoint Identity Group の特性

特性 説明

説明 指定されたエンドポイント グループを削除しま

す

概要 DELETE /ers/config/endpointgroup/{endpointgroup-id}

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 —

応答ステータス 204、400、401、403、404、415、500

6-21Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

Profiler プロファイルの外部 RESTful サービス API コール

Profiler プロファイルのスキーマ

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<ns3:profilerprofile name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"/>

Get All Profiles API コール

Get All Profiles API コールを使用して、Profiler プロファイルのリストを取得します。

すべてのプロファイルの取得要求のサンプル

Method: GET

URI: https://10.56.13.196:9060/ers/config/profilerprofile

HTTP Accept header:

application/vnd.com.cisco.ise.identity.profilerprofile.1.0+xml

Request Content:

N/A

表 6-22 Profiler プロファイルに対して使用できる外部 RESTful サービス API コール

オペレーション メソッド URL 内容 クエリー文字列

すべてのプロファイルの

取得

GET /ers/config/profilerprofile

— Start

サイズ（Size）

sortacs または sortdsn

filter

プロファイルの取得（ID で取得）

GET /ers/config/profilerprofile/{id}

— —

プロファイルの作成 POST ers/config/profilerprofile — —

表 6-23 Get All Profiles の特性

特性 説明

説明 Profiler プロファイルの集合を取得します

概要 GET /ers/config/profilerprofile

要求ヘッダー Accept、Authorization、Host

クエリー文字列 start、size、sortbyacn、sortbydcn、filter（フィ

ルタでサポートされるフィールド：name）

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 SearchResult

応答ステータス 200、400、401、403、404、415、500

6-22Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

Profiler プロファイルの外部 RESTful サービス API コール

すべてのプロファイルの取得応答のサンプル

HTTP Status: 200 (OK)

Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<ns2:searchResult total="2" xmlns:ns2="ers.ise.cisco.com">

<nextPage type="application/xml" href="link-to-next-page" rel="next"/>

<previousPage type="application/xml" href="link-to-previous-page" rel="previous"/>

<resources>

<resource name="name1" id="id1" description="description1"/>

<resource name="name2" id="id2" description="description2"/>

</resources>

</ns2:searchResult>

（注） このリリースでサポートされていないため、Profiler プロファイルの完全なオブジェクトに対するハイ

パーリンクはありません。名前の説明と ID だけが表示されます。

Get Profile API コール

Get Profile API コールを使用して、特定の Profiler プロファイルを取得します。

プロファイルの取得要求のサンプル

Method: GET

URI: https://10.56.13.196:9060/ers/config/profilerprofile/{id}

HTTP Accept header:

application/vnd.com.cisco.ise.identity.profilerprofile.1.0+xml

Request Content:

N/A

表 6-24 Get Profile の特性

特性 説明

説明 指定された Profiler プロファイルを取得します。

概要 GET ers/config/profilerprofile/{id}

要求ヘッダー Accept、Authorization、Host

クエリー文字列 start、size、sortbyacn、sortbydcn、filter（フィ

ルタでサポートされるフィールド：name）

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 SearchResult

応答ステータス 200、400、401、403、404、415、500

6-23Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

Profiler プロファイルの外部 RESTful サービス API コール

プロファイルの取得応答のサンプル

HTTP Status: 200 (OK)

Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<ns3:profilerprofile name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"/>

Create Profile API コール

Create Profile API コールを使用して、Profiler プロファイルを作成します。

プロファイルの作成要求のサンプル

Method: POST

URI: https://10.56.13.196:9060/ers/config/profilerprofile

HTTP Content-Type header:

application/vnd.com.cisco.ise.identity.profilerprofile.1.0+xml; charset=utf-8

Request Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<ns3:profilerprofile name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"/>

表 6-25 Create Profile の特性

特性 説明

説明 Profiler プロファイルを作成します

概要 POST ers/config/profilerprofile

要求ヘッダー Accept、Authorization、Host

クエリー文字列 start、size、sortbyacn、sortbydcn、filter（フィ

ルタでサポートされるフィールド：name）

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 —

応答ステータス 200、400、401、403、404、415、500

6-24Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

ID グループの外部 RESTful サービス API コール

プロファイルの作成応答のサンプル

HTTP Status: 201 (Created)

Content:

N/A

ID グループの外部 RESTful サービス API コール外部 RESTful サービスの ID グループ API コールを使用すると、ID グループを検索することができま

す。

（注） 後述の項に示されている例は、DB データへの参照があるため、そのまま使用するためのものではあり

ません。例を基本テンプレートとして処理し、サーバに送信する前に編集する必要があります。

ID グループのスキーマ

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<ns3:identitygroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">

<parent>parent</parent>

</ns3:identitygroup>

Get All Identity Groups API コール

Get All Identity Groups API コールを使用して、Cisco ISE の ID グループを ID で取得します。

表 6-26 ID グループに対して使用できる外部 RESTful サービス API コール

オペレーション メソッド URL 内容 クエリー文字列

ID グループの取得（ID で取得）

GET /ers/config/identitygroup/{id}

— —

ID グループのリスト GET /ers/config/identitygroup — page、size、sortacs または sortdsn、filter

IdentityGroup リソースの

バージョン情報の取得

GET /ers/config/identitygroup/version

— —

表 6-27 Get All Identity Groups の特性

特性 説明

説明 ID で ID グループ リソースを取得します。

概要 GET /ers/config/identitygroup/{id}

要求ヘッダー Accept、Authorization、Host

6-25Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

ID グループの外部 RESTful サービス API コール

すべての ID グループの取得要求のサンプル

Method: GETURI: https://10.56.13.196:9060/ers/config/identitygroup/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.identitygroup.1.0+xml Request Content:N/A

すべての ID グループの取得応答のサンプル

HTTP Status: 200 (OK)

Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<ns3:identitygroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com">

<parent>parent</parent>

</ns3:identitygroup>

Get Identity Group API コール

Get Identity Group API コールを使用して、Cisco ISE の特定の ID グループを取得します。

クエリー文字列 start、size、sortbyacn、sortbydcn、filter（フィ

ルタでサポートされるフィールド：name、description）

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 —

応答ステータス 200、400、401、403、404、415、500

表 6-27 Get All Identity Groups の特性 （続き）

特性 説明

表 6-28 Get Identity Group の特性

特性 説明

説明 指定された ID グループのリソースを取得します

概要 GET /ers/config/identitygroup

要求ヘッダー Accept、Authorization、Host

クエリー文字列 start、size、sortbyacn、sortbydcn、filter（フィ

ルタでサポートされるフィールド：name、description）

要求メッセージ本文 —

6-26Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

セキュリティ グループ タグの外部 RESTful サービス API コール

ID グループの取得要求のサンプル

Method: GETURI: https://10.56.13.196:9060/ers/config/identitygroup/{id}HTTP Accept header:application/vnd.com.cisco.ise.identity.identitygroup.1.0+xml Request Content:N/A

ID グループの取得応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:identitygroup name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="identity.ers.ise.cisco.com"> <parent>parent</parent></ns3:identitygroup>

セキュリティ グループ タグの外部 RESTful サービス API コール

セキュリティ グループ タグ（SGT）API コールを使用すると、SGT を検索することができます。これ

らの API コールで使用される内部ユーザ ID は Cisco ISE データベースに保存された UUID タイプで

す。

（注） 後述の項に示されている例は、DB データへの参照があるため、そのまま使用するためのものではあり

ません。例を基本テンプレートとして処理し、サーバに送信する前に編集する必要があります。

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 SearchResult

応答ステータス 200、400、401、403、404、415、500

表 6-28 Get Identity Group の特性 （続き）

特性 説明

表 6-29 SGT に対して使用できる外部 RESTful サービス API コール

オペレーション メソッド URL 内容 クエリー文字列

すべての SGT の取

得

GET /ers/config/sgt — page、size、sortacs または sortdsn、filter

SGT の取得（ID で取得）

GET /ers/config/sgt/{sgt-id} — —

6-27Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

セキュリティ グループ タグの外部 RESTful サービス API コール

Get All SGTs API コール

Get All SGTs API コールを使用して、SGT リソースの集合を取得します。

すべての SGT の取得要求のサンプル

Method: GETURI: https://10.56.13.196:9060/ers/config/sgtHTTP Accept header:application/vnd.com.cisco.ise.sga.sgt.1.0+xml Request Content:N/A

すべての SGT の取得応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns2:searchResult total="2" xmlns:ns2="ers.ise.cisco.com"> <nextPage type="application/xml" href="link-to-next-page" rel="next"/> <previousPage type="application/xml" href="link-to-previous-page" rel="previous"/> <resources> <resource name="name1" id="id1" description="description1"/> <resource name="name2" id="id2" description="description2"/> </resources></ns2:searchResult>

Get SGT API コール

Get SGT API コールを使用して、特定の SGI リソースを取得します。

表 6-30 Get All SGTs の特性

特性 説明

説明 SGT リソースの集合を取得します

概要 GET /ers/config/sgt

要求ヘッダー Accept、Authorization、Host

クエリー文字列 start、size、sortbyacn、sortbydcn、filter（フィ

ルタでサポートされるフィールド：name）

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 SearchResult

応答ステータス 200、400、401、403、404、415、500

6-28Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

REST API クライアントの使用方法

SGT の取得要求のサンプル

Method: GETURI: https://10.56.13.196:9060/ers/config/sgt/{id}HTTP Accept header:application/vnd.com.cisco.ise.sga.sgt.1.0+xml Request Content:N/A

SGT の取得応答のサンプル

HTTP Status: 200 (OK)Content:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?><ns3:sgt name="name" id="id" description="description" xmlns:ns2="ers.ise.cisco.com" xmlns:ns3="sga.ers.ise.cisco.com"> <generationId>generationId</generationId> <isTagFromRange>isTagFromRange</isTagFromRange> <value>1</value></ns3:sgt>}

REST API クライアントの使用方法外部 RESTful サービス API を使用してアプリケーションを構築およびテストするには、Google Chrome の POSTMAN プラグインなど、業界標準の REST API クライアントを使用できます。

REST アーキテクチャと原則に従って設計されているので、POSTMAN Chrome プラグインは、使い

やすい REST クライアントです。POSTMAN Chrome プラグインは、要求の収集を保存できるように

し、ブラウザ環境で作業をしているときに便利で、軽量の特定のタスクを含む多くの機能を提供しま

す。外部 RESTful サービス API をテストするために POSTMAN プラグインを使用することもできま

す。

POSTMAN では、Google Chrome Web ブラウザを使用して標準の HTTP および HTTPS 要求および応

答を送信および取得できるようにします。Cisco ISE リソースに対する操作を実行するために、次の標

準 HTTP メソッドを使用できます。

表 6-31 Get SGT の特性

特性 説明

説明 指定された SGT を取得します

概要 GET /ers/config/sgt/{sgt-id}

要求ヘッダー Accept、Authorization、Host

クエリー文字列 —

要求メッセージ本文 —

応答ヘッダー Content-Length、Content-Type

応答メッセージ本文 InternalUser タイプのリソース

応答ステータス 200、400、401、403、404、415、500

6-29Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

REST API クライアントの使用方法

• GET

• POST

• PUT

• DELETE

外部 RESTful サービス API はさまざまな API コールでこれらの HTTP 要求を使用できるようにし、次

に、HTTP 要求は Cisco ISE サーバに対する操作を実行できるようにします。これらの HTTP 要求が使

用される操作の包括的リストについては、「外部 RESTful サービス コール」（P.6-1） を参照してくださ

い。

（注） POSTMAN プラグインをダウンロードするには、https://chrome.google.com/webstore/detail/postman-rest-client/fdmmgilgnpjigdojojpjoooidkmcomcm?hl=en にアクセスしてください。POSTMAN プラグインの使用方法の詳細については、

https://github.com/a85/POSTMan-Chrome-Extension/wiki を参照してください。

GET を使用した外部 RESTful サービス API コールの実行

GET メソッドは、指定されたリソースの表現を要求します。GET を使用した要求は、データを取得す

るだけで、他の効果はありません。

GET 要求をリソース URI に送信して、検索操作を実行することができます。デフォルトで、結果はデ

フォルト サイズが 20 の最初のページ（ページ インデックス = 0）です。フィルタ、ソート、および

ページング パラメータを URI に追加して、検索操作の結果を制御できます。検索は、次の結果タイプ

を返します。

SearchResult: MediaType[MediaType: [application/vnd.com.cisco.ise.ers.searchresult.1.0+xml]

結果として生成されたリソースは、名前、ID、説明、およびリソースの完全な表現へのリンクを含む

基本リソースの集合です。

（注） 外部 RESTful サービス API コールは、この項で説明されていない外部 RESTful サービス API のその

他のコンポーネントに加え、GET HTTP メソッドを使用します。特性、要求、および応答など、さま

ざまな外部 RESTful サービス API コンポーネントの詳細については、「外部 RESTful サービス コー

ル」を参照してください。

Get HTTPS メソッドを使用する外部 RESTful サービス API コールの要求本文には、次の 3 つの構築ブ

ロックが含まれます。

• URI

• Accept ヘッダー

• Authorization ヘッダー

URI

Get メソッドはユニフォーム リソース識別子（URI）を Cisco ISE サーバに送信し、HTTP 返信は未処

理の結果のデータです。一般的な URI は、次の形式に従う必要があります。

• https://<Cisco ISE Server address:<port>/<namespace>/config/<Cisco ISE Resource Name>

6-30Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

REST API クライアントの使用方法

ここで、<Cisco ISE Server Address> は Cisco ISE サーバのサーバ アドレスを示し、<port> はポート 9060 を示し、<namespace> は Cisco ISE リソースが属する名前空間を示し、<Cisco ISE Resource Name> は Cisco ISE リソースの名前を示します。

次に、interaluser Cisco ISE リソースのデータを要求する URI の例を示します。

• https://10.56.13.196:9060/ers/config/internaluser.

（注） URI は、要求本文ではなく、URL にすぎません。この URL は、GET メソッドを使用してサーバに送

信されます。

Accept ヘッダー

Accept ヘッダーは次の形式に従う必要があります。

• application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml

ここで、<resource-namespace> は Cisco ISE リソースが属する名前空間を示し、<resource-type> は Cisco ISE リソースのタイプを示し、<major-version> は Cisco ISE 導入のメジャー バージョン番号を

示し、<minor-version> は導入のマイナー バージョン番号を示します。

次に、一般的な Accept ヘッダーの例を示します。

• application/vnd.com.cisco.ise.identity.internaluser.1.0+xml

Authorization ヘッダー

Authorization ヘッダーには、GET 要求に組み込まれている暗号化認証キーが含まれます。認可のクレ

デンシャルを指定した後、暗号化キーを生成する必要があります。その後、暗号化キーは要求の本体に

埋め込まれます。

（注） 暗号化キーの生成の詳細については、「POSTMAN を使用した GET 要求の実行」（P.6-31） を参照して

ください。

POSTMAN を使用した GET 要求の実行

ステップ 1 Google Chrome ブラウザで POSTMAN プラグインを開きます。

ステップ 2 左側のペインのオプションを使用して、新しい収集を作成します。

（注） POSTMAN プラグインの使用方法の詳細については、

https://github.com/a85/POSTMan-Chrome-Extension/wiki を参照してください。

ステップ 3 ドロップダウン メニューから、[GET] を選択します。

ステップ 4 URL アドレス バーに、URI を入力します。

URI で、通信しようとする Cisco ISE サーバ、およびアクセスしようとする Cisco ISE リソースを指定

します。URI の形式の詳細については、「URI」（P.6-30） を参照してください。

ステップ 5 [基本認証（Basic Auth）] タブをクリックします。

ユーザ アクセス クレデンシャルを指定できるオプションが表示されます。

6-31Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

REST API クライアントの使用方法

ステップ 6 アクセス クレデンシャルを [ユーザ名（Username）] および [パスワード（Password）] フィールドに

指定し、[ヘッダーの更新（Refresh Headers）] をクリックします。

POSTMAN は暗号化キーを含む Authorization ヘッダーを表示します。

ステップ 7 次の値を指定して、Accept ヘッダーを追加します。application/vnd.com.cisco.ise.ers.<namespace>.<ise resource>.1.0+xml

（注） Accept ヘッダーの詳細については、「Accept ヘッダー」（P.6-31） を参照してください。

ステップ 8 [送信（Send）] をクリックします。

POSTMAN プラグインは、要求が成功していることを示す 200 OK ステータスの応答を表示します。

要求は、URI で指定したたリソースの詳細も返します。

POST を使用した外部 RESTful サービス API コールの実行

Post メソッドは、要求に含まれているエンティティを、URI で識別される Web リソースの新しい下位

として、サーバが承認することを要求します。

POST 要求をリソース URI に送信して、リソースを作成することができます。要求するコンテンツは、

リソースの XML 表現を保持し、スキーマに従って正しい形式にする必要があります。要求ヘッダー

は、暗号化された認可、およびリソースのコンテンツとそのバージョンを定義するコンテンツタイプを

保持します。

（注） 外部サービス RESTful API コールは、このセクションで説明されていない外部 RESTful API サービス

の他のコンポーネントに加え、HTTP POST 方式を使用します。特性、要求、および応答など、さまざ

まなコンポーネントの詳細については、「外部 RESTful サービス コール」を参照してください。

POST HTTP メソッドを使用する外部 RESTful サービス API コールの要求本文には、次の 3 つの構築

ブロックが含まれます。

• URI

• Content-Type ヘッダー

• Authorization ヘッダー

URI

POST メソッドはユニフォーム リソース識別子（URI）を Cisco ISE サーバに送信します。一般的な URI は、次の形式に従う必要があります。

• https://<Cisco ISE Server address:<port>/<namespace>/config/<Cisco ISE Resource Name>

ここで、<Cisco ISE Server Address> は Cisco ISE サーバのサーバ アドレスを示し、<port> はポート 9060 を示し、<namespace> は Cisco ISE リソースが属する名前空間を示し、<Cisco ISE Resource Name> は Cisco ISE リソースの名前を示します。

次に、interaluser Cisco ISE リソースのデータを要求する URI の例を示します。

• https://10.56.13.196:9060/ers/config/internaluser.

6-32Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

REST API クライアントの使用方法

（注） URI は、要求本文ではなく、URL にすぎません。この URL は、POST メソッドを使用してサーバに送

信されます。

Content-Type ヘッダー

Content-Type ヘッダーは次の形式に従う必要があります。

• application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml

ここで、<resource-namespace> は Cisco ISE リソースが属する名前空間を示し、<resource-type> は Cisco ISE リソースのタイプを示し、<major-version> は Cisco ISE 導入のメジャー バージョン

番号を示し、<minor-version> は導入のマイナー バージョン番号を示します。

次に、一般的な Content-Type ヘッダーの例を示します。

• application/vnd.com.cisco.ise.identity.internaluser.1.0+xml

Authorization ヘッダー

Authorization ヘッダーには、POST 要求に組み込まれている暗号化認証キーが含まれます。認可のク

レデンシャルを指定した後、暗号化キーを生成する必要があります。その後、暗号化キーは要求の本体

に埋め込まれます。

（注） 暗号化キーの生成の詳細については、「POSTMAN を使用した POST 要求の実行」（P.6-33） を参照し

てください。

POSTMAN を使用した POST 要求の実行

ステップ 1 Google Chrome ブラウザで POSTMAN プラグインを開きます。

ステップ 2 左側のペインのオプションを使用して、新しい収集を作成します。

（注） POSTMAN プラグインの使用方法の詳細については、

https://github.com/a85/POSTMan-Chrome-Extension/wiki を参照してください。

ステップ 3 ドロップダウン メニューから、[POST] を選択します。

ステップ 4 URL アドレス バーに、URI を入力します。

URI で、通信しようとする Cisco ISE サーバ、およびアクセスしようとする Cisco ISE リソースを指定

します。URI の形式の詳細については、「URI」（P.6-32） を参照してください。

ステップ 5 [基本認証（Basic Auth）] タブをクリックします。

ユーザ アクセス クレデンシャルを指定できるオプションが表示されます。

ステップ 6 アクセス クレデンシャルを [ユーザ名（Username）] および [パスワード（Password）] フィールドに

指定し、[ヘッダーの更新（Refresh Headers）] をクリックします。

POSTMAN は暗号化キーを含む Authorization ヘッダーを表示します。

ステップ 7 次の値を指定して、Content-Type ヘッダーを追加します。application/vnd.com.cisco.ise.ers.<namespace>.<ise resource>.1.0+xml

6-33Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

REST API クライアントの使用方法

（注） Content-Type ヘッダーの詳細については、「Content-Type ヘッダー」（P.6-33） を参照してくだ

さい。

ステップ 8 [未処理（raw）] の横に表示されるドロップダウン メニューから、[XML] を選択します。

ステップ 9 [未処理（raw）] をクリックします。

ステップ 10 POSTMAN プラグインは、POST 要求の本文を指定できる編集ペインを開きます。

ステップ 11 編集ペインで POST 要求のメッセージ本文を入力します。

（注） メッセージ本文には、Cisco ISE サーバに作成しようとする Cisco ISE リソースに対応する詳細を含め

る必要があります。たとえば、内部ユーザを作成しているときには、内部ユーザの名前や説明、パス

ワードなどの詳細を指定する必要があります。POST 要求を使用する外部 RESTful サービス API コー

ルのメッセージ本文、および指定する必要がある Cisco ISE リソースの詳細の詳細については、「外部 RESTful サービス コール」を参照してください。

ステップ 12 [送信（Send）] をクリックします。

POSTMAN プラグインは、要求が成功していることを示す 201 CREATED ステータスの応答を表示し

ます。追加したリソースが GUI に表示されているかどうかを確認するために、Cisco ISE にログインで

きます。

PUT を使用した外部 RESTful サービス API コールの実行

PUT メソッドは、含められたエンティティを指定された URI の下に保存するように要求します。URI がすでに存在しているリソースを指す場合は、変更されます。URI が既存のリソースを指さない場合

は、サーバはその URI でリソースを作成できます。

PUT 要求をリソース URI に送信して、リソースを更新することができます。要求するコンテンツは、

リソースの XML 表現を保持し、スキーマに従って正しい形式にする必要があります。要求ヘッダー

は、暗号化された認可、およびリソースのコンテンツとそのバージョンを定義するコンテンツタイプを

保持します。

（注） 外部 RESTful サービス API コールは、この項で説明されていない外部 RESTful サービス API のその

他のコンポーネントに加え、PUT HTTP メソッドを使用します。特性、要求、および応答など、さま

ざまなコンポーネントの詳細については、「外部 RESTful サービス コール」を参照してください。

PUT HTTP メソッドを使用する外部 RESTful サービス API コールの要求本文には、次の 3 つの構築ブ

ロックが含まれます。

• URI

• Content-Type ヘッダー

• Authorization ヘッダー

6-34Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

REST API クライアントの使用方法

URI

PUT メソッドはユニフォーム リソース識別子（URI）を Cisco ISE サーバに送信します。一般的な URI は、次の形式に従う必要があります。

• https://<Cisco ISE Server address:<port>/<namespace>/config/<Cisco ISE Resource Name>

ここで、<Cisco ISE Server Address> は Cisco ISE サーバのサーバ アドレスを示し、<port> はポート 9060 を示し、<namespace> は Cisco ISE リソースが属する名前空間を示し、<Cisco ISE Resource Name> は Cisco ISE リソースの名前を示します。

次に、interaluser Cisco ISE リソースのデータを要求する URI の例を示します。

• https://10.56.13.196:9060/ers/config/internaluser.

（注） URI は、要求本文ではなく、URL にすぎません。この URL は、PUT メソッドを使用してサーバに送

信されます。

Content-Type ヘッダー

Content-Type ヘッダーは次の形式に従う必要があります。

• application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml

ここで、<resource-namespace> は Cisco ISE リソースが属する名前空間を示し、<resource-type> は Cisco ISE リソースのタイプを示し、<major-version> は Cisco ISE 導入のメジャー バージョン

番号を示し、<minor-version> は導入のマイナー バージョン番号を示します。

次に、一般的な Content-Type ヘッダーの例を示します。

• application/vnd.com.cisco.ise.identity.internaluser.1.0+xml

Authorization ヘッダー

Authorization ヘッダーには、PUT 要求に組み込まれている暗号化認証キーが含まれます。認可のクレ

デンシャルを指定した後、暗号化キーを生成する必要があります。その後、暗号化キーは要求の本体に

埋め込まれます。

（注） 暗号化キーの生成の詳細については、「POSTMAN を使用した PUT 要求の実行」（P.6-35） を参照して

ください。

POSTMAN を使用した PUT 要求の実行

ステップ 1 Google Chrome ブラウザで POSTMAN プラグインを開きます。

ステップ 2 左側のペインのオプションを使用して、新しい収集を作成します。

（注） POSTMAN プラグインの使用方法の詳細については、

https://github.com/a85/POSTMan-Chrome-Extension/wiki を参照してください。

ステップ 3 ドロップダウン メニューから、[PUT] を選択します。

6-35Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

REST API クライアントの使用方法

ステップ 4 URL アドレス バーに、URI を入力します。

URI で、通信しようとする Cisco ISE サーバ、およびアクセスしようとする Cisco ISE リソースを指定

します。URI の形式の詳細については、「URI」（P.6-35） を参照してください。

ステップ 5 [基本認証（Basic Auth）] タブをクリックします。

ユーザ アクセス クレデンシャルを指定できるオプションが表示されます。

ステップ 6 アクセス クレデンシャルを [ユーザ名（Username）] および [パスワード（Password）] フィールドに

指定し、[ヘッダーの更新（Refresh Headers）] をクリックします。

POSTMAN は暗号化キーを含む Authorization ヘッダーを表示します。

ステップ 7 次の値を指定して、Content-Type ヘッダーを追加します。application/vnd.com.cisco.ise.ers.<namespace>.<ise resource>.1.0+xml

（注） Content-Type ヘッダーの詳細については、「Content-Type ヘッダー」（P.6-35） を参照してくだ

さい。

ステップ 8 [未処理（raw）] の横に表示されるドロップダウン メニューから、[XML] を選択します。

ステップ 9 [未処理（raw）] をクリックします。

ステップ 10 POSTMAN プラグインは、POST 要求の本文を指定できる編集ペインを開きます。

ステップ 11 編集ペインで POST 要求のメッセージ本文を入力します。

（注） メッセージ本文には、Cisco ISE サーバに更新しようとする Cisco ISE リソースに対応する詳細を含め

る必要があります。たとえば、内部ユーザを更新しているときには、内部ユーザの名前や説明、パス

ワードなどの詳細を指定する必要があります。PUT 要求を使用する外部 RESTful サービス API コール

のメッセージ本文、および指定する必要がある Cisco ISE リソースの詳細の詳細については、「外部 RESTful サービス コール」を参照してください。

ステップ 12 [送信（Send）] をクリックします。

POSTMAN プラグインは、要求が成功していることを示す 201 CREATED ステータスの応答を表示し

ます。追加したリソースが GUI に表示されているかどうかを確認するために、Cisco ISE にログインで

きます。

DELETE を使用した外部 RESTful サービス API コールの実行

DELETE メソッドは、指定されたリソースを削除します。

DELETE 要求をリソース URI に送信して、リソースを削除することができます。要求ヘッダーは、暗

号化された認可、およびリソースのコンテンツとそのバージョンを定義するコンテンツタイプを保持し

ます。

（注） 外部 RESTful サービス API コールは、この項で説明されていない外部 RESTful サービス API のその

他のコンポーネントに加え、DELETE HTTP メソッドを使用します。特性、要求、および応答など、

さまざまなコンポーネントの詳細については、「外部 RESTful サービス コール」を参照してください。

6-36Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

REST API クライアントの使用方法

DELETE HTTP メソッドを使用する外部 RESTful サービス API コールの要求本文には、次の 3 つの構

築ブロックが含まれます。

• URI

• Accept ヘッダー

• Authorization ヘッダー

URI

DELETE メソッドはユニフォーム リソース識別子（URI）を Cisco ISE サーバに送信します。一般的

な URI は、次の形式に従う必要があります。

• https://<Cisco ISE Server address:<port>/<namespace>/config/<Cisco ISE Resource Name>

ここで、<Cisco ISE Server Address> は Cisco ISE サーバのサーバ アドレスを示し、<port> はポート 9060 を示し、<namespace> は Cisco ISE リソースが属する名前空間を示し、<Cisco ISE Resource Name> は Cisco ISE リソースの名前を示します。

次に、interaluser Cisco ISE リソースのデータを要求する URI の例を示します。

• https://10.56.13.196:9060/ers/config/internaluser.

（注） URI は、要求本文ではなく、URL にすぎません。この URL は、GET メソッドを使用してサーバに送

信されます。

Accept ヘッダー

Accept ヘッダーは次の形式に従う必要があります。

• application/vnd.com.cisco.ise.<resource-namespace>.<resource-type>.<major version>.<minor version>+xml

ここで、<resource-namespace> は Cisco ISE リソースが属する名前空間を示し、<resource-type> は Cisco ISE リソースのタイプを示し、<major-version> は Cisco ISE 導入のメジャー バージョン番号を

示し、<minor-version> は導入のマイナー バージョン番号を示します。

次に、一般的な Accept ヘッダーの例を示します。

• application/vnd.com.cisco.ise.identity.internaluser.1.0+xml

Authorization ヘッダー

Authorization ヘッダーには、DELETE 要求に組み込まれている暗号化認証キーが含まれます。認可の

クレデンシャルを指定した後、暗号化キーを生成する必要があります。その後、暗号化キーは要求の本

体に埋め込まれます。

（注） 暗号化キーの生成の詳細については、「POSTMAN を使用した DELETE 要求の実行」（P.6-37） を参照

してください。

POSTMAN を使用した DELETE 要求の実行

ステップ 1 Google Chrome ブラウザで POSTMAN プラグインを開きます。

6-37Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

外部 RESTful サービス Java デモ アプリケーション

ステップ 2 左側のペインのオプションを使用して、新しい収集を作成します。

（注） POSTMAN プラグインの使用方法の詳細については、

https://github.com/a85/POSTMan-Chrome-Extension/wiki を参照してください。

ステップ 3 ドロップダウン メニューから、[DELETE] を選択します。

ステップ 4 URL アドレス バーに、URI を入力します。

URI で、通信しようとする Cisco ISE サーバ、およびアクセスしようとする Cisco ISE リソースを指定

します。URI の形式の詳細については、「URI」（P.6-37） を参照してください。

ステップ 5 [基本認証（Basic Auth）] タブをクリックします。

ユーザ アクセス クレデンシャルを指定できるオプションが表示されます。

ステップ 6 アクセス クレデンシャルを [ユーザ名（Username）] および [パスワード（Password）] フィールドに

指定し、[ヘッダーの更新（Refresh Headers）] をクリックします。

POSTMAN は暗号化キーを含む Authorization ヘッダーを表示します。

ステップ 7 次の値を指定して、Accept ヘッダーを追加します。application/vnd.com.cisco.ise.ers.<namespace>.<ise resource>.1.0+xml

（注） Accept ヘッダーの詳細については、「Accept ヘッダー」（P.6-37） を参照してください。

ステップ 8 [送信（Send）] をクリックします。

POSTMAN プラグインは、要求が成功していることを示す 200 OK ステータスの応答を表示します。

追加したリソースが GUI に表示されているかどうかを確認するために、Cisco ISE にログインできま

す。

外部 RESTful サービス Java デモ アプリケーション外部 RESTful サービス Java デモ アプリケーションは、単純な外部 RESTful サービス クライアント コードで、外部 RESTful サービス API コールを使用して内部ユーザおよびエンドポイントを設定しま

す。この Java クライアント コードの主な Cisco ISE 依存関係は、ers-schema.jar ファイルです。デモ Java アプリケーションは、Apache DefaultHttpClient に基づく汎用 HTTP クライアントおよび 2 つの

メイン クラスから構成されます。これらのクラスは、順番に REST コールを実行します。

ソース コードおよび必要なライブラリは、デモ アプリケーションの zip ファイルで参照として使用可

能です。外部 RESTful サービス Java デモ アプリケーションおよび ers-schema.jar ファイルは、外部 RESTful サービス オンライン SDK からダウンロードできます。

関連項目

• 「外部 RESTful サービス Java デモ アプリケーションのダウンロード」（P.6-39）

6-38Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

外部 RESTful サービス Java デモ アプリケーション

外部 RESTful サービス Java デモ アプリケーションのダウンロード

ステップ 1 ブラウザのアドレス バーに外部 RESTful サービス SDK の URL を入力します。たとえば、https://<ise hostname or ip address>:9060/ers/sdk と入力します。ここで、<ise hostname or ip address> は Cisco ISE ホストの IP アドレスを示します。

ステップ 2 ユーザ名と、Cisco ISE の初期セットアップで指定して設定した大文字と小文字が区別されるパスワー

ドを入力します。

ステップ 3 [ログイン（Login）] をクリックするか、Enter を押します。

ステップ 4 外部 RESTful サービス オンライン SDK のページのナビゲーション ペインから、[開発者リソース

（Developer Resources）] > [ダウンロード（Downloads）] を選択します。

ステップ 5 [スキーマ Jar（ers-schema-1.2.0-896.jar）（Schema Jar (ers-schema-1.2.0-896.jar)）] をクリックしま

す。

ers-schema-1.0-892.jar ファイルがローカル マシンにダウンロードされます。

ステップ 6 [ERS Java デモ アプリケーション（Java ERS Demo Application）] をクリックします。

ers-demo-app.zip ファイルがローカル マシンにダウンロードされます。

終了後

（注） 外部 RESTful サービス Java デモ アプリケーションを使用するために必要なすべての情報は、デモ アプリケーション zip ファイル（ers-demo-app.zip）にある readme.txt ファイルを参照してください。

6-39Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

第 6 章 外部 RESTful サービス コール

外部 RESTful サービス Java デモ アプリケーション

6-40Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J

Cisco Identity Services EngiOL-26134-01-J

A

P P E N D I X A

障害理由レポートの使用方法

モニタリング ノード操作が失敗した理由の完全なリストを表示および編集するには、Cisco ISE 障害理

由レポートにアクセスします。操作失敗および可能な解決策のリストを表示するには、ターゲット モニタリング ノードの Cisco ISE ユーザ インターフェイスにログインし、障害理由エディタにアクセス

する必要があります。

（注） Cisco ISE 障害理由に関する詳細または一般的なトラブルシューティングに関する問題については、

『Cisco Identity Services Engine User Guide, Release 1.2』の「Monitoring and Troubleshooting」およ

び「Troubleshooting Cisco ISE」を参照してください。

障害理由の表示

ステップ 1 [操作（Operations）] > [レポート（Reports）] > [認証の要約（Authentication Summary）] レポート

を選択します。

ステップ 2 ナビゲーション パネルの [モニタリング（Monitoring）] を展開し、[障害理由エディタ（Failure Reason Editor）] を選択します。

ステップ 3 提供されたフィルタのリストから [障害理由（Failure Reasons）] を選択します。

ステップ 4 探している障害理由を指定します。

ステップ 5 [実行（Run）] をクリックします。

障害理由のリストが右側のパネルに表示されます。

ステップ 6 任意の障害理由をクリックして、新しいウィンドウで詳細レポートを取得します。

A-1ne API リファレンス ガイド、リリース 1.2

付録 A 障害理由レポートの使用方法

障害理由の表示

A-2Cisco Identity Services Engine API リファレンス ガイド、リリース 1.2

OL-26134-01-J