Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En las secciones siguientes se describen los detalles de la API DE REST de Administración de acceso con privilegios (PAM) de Microsoft Identity Manager (MIM).
Encabezados de solicitud HTTP
Las solicitudes HTTP que se envían a la API deben incluir los siguientes encabezados (esta lista no es exhaustiva):
| Cabecera | Descripción |
|---|---|
| Autorización | Obligatorio. El contenido depende del método de autenticación, que es configurable y se puede basar en WIA (autenticación integrada de Windows) o ADFS. |
| Tipo de contenido | Obligatorio si la solicitud tiene un contenido. Debe establecerse en application/json. |
| Longitud del contenido | Obligatorio si la solicitud tiene un contenido. |
| Cookie* | Cookie de sesión. Puede ser necesario en función del método de autenticación. |
Encabezados de respuesta HTTP
Las respuestas HTTP deben incluir los siguientes encabezados (esta lista no es exhaustiva):
| Cabecera | Descripción |
|---|---|
| Tipo de contenido | La API siempre devuelve application/json. |
| Longitud del contenido | Longitud del cuerpo de la solicitud, si está presente, en bytes. |
Control de versiones
La versión actual de la API es 1.
La versión de la API se puede especificar a través de un parámetro de consulta en la dirección URL de la solicitud, como en el ejemplo siguiente: http://localhost:8086/api/pamresources/pamrequests?v=1 Si la versión no se especifica en la solicitud, la solicitud se ejecuta en la versión publicada más recientemente de la API.
Seguridad
El acceso a la API requiere autenticación integrada de Windows (IWA). Debe configurarse manualmente en IIS antes de la instalación de Microsoft Identity Manager (MIM).
Se admite HTTPS (TLS), pero debe configurarse manualmente en IIS. Para obtener información, consulte: Implementación de capa de sockets seguros (SSL) para el portal de FIM en el Paso 9: Realizar tareas posteriores a la instalación de FIM 2010 R2 en la Guía del laboratorio de pruebas de FIM 2010 R2.
Puede generar un nuevo certificado de servidor SSL ejecutando el siguiente comando en el símbolo del sistema de Visual Studio:
Makecert -r -pe -n CN="test.cwap.com" -b 05/10/2014 -e 12/22/2048 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localmachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12
El comando crea un certificado autofirmado que se puede usar para probar una aplicación web que usa SSL en un servidor web donde la dirección URL es test.cwap.com. El OID definido por la -eku opción identifica el certificado como un certificado de servidor SSL. El certificado se almacena en mi tienda y está disponible en el nivel de máquina. Puede exportar el certificado desde el complemento Certificados mmc.exe.
Acceso entre dominios (CORS)
CORS se admite, pero debe configurarse manualmente en IIS. Agregue los siguientes elementos al archivo web.config de API implementado para configurar la API para permitir llamadas entre dominios:
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Credentials" value="true" />
<add name="Access-Control-Allow-Headers" value="content-type" />
<add name="Access-Control-Allow-Origin" value="http://<hostname>:8090" />
</customHeaders>
</httpProtocol>
</system.webServer>
Control de errores
La API devuelve respuestas de error HTTP para indicar condiciones de error. Los errores son compatibles con OData. En la tabla siguiente se muestran los códigos de error que se pueden devolver a un cliente:
| Código de estado HTTP | Descripción |
|---|---|
| 401 | Desautorizado |
| 403 | Prohibido |
| 408 | Tiempo de espera de solicitud |
| 500 | Error interno del servidor |
| 503 | Servicio no disponible |
Filtros
Las solicitudes de API REST de PAM pueden incluir filtros para especificar las propiedades que se deben incluir en la respuesta. La sintaxis de filtro se basa en expresiones de OData.
Los filtros pueden especificar cualquiera de las propiedades de las solicitudes de PAM, de los roles de PAM o de las solicitudes pendientes de PAM. Por ejemplo: ExpirationTime, DisplayName o cualquier otra propiedad válida de una solicitud PAM, rol de PAM o solicitud pendiente.
La API admite los siguientes operadores en expresiones de filtro: And, Equal, NotEqual, GreaterThan, LessThan, GreaterThenOrEqueal y LessThanOrEqual.
Las siguientes solicitudes de ejemplo incluyen filtros:
Esta solicitud devuelve todas las solicitudes de PAM entre fechas específicas:
http://localhost:8086/api/pamresources/pamrequests?$filter=ExpirationTime gt datetime'2015-01-09T08:26:49.721Z' and ExpirationTime lt datetime'2015-02-10T08:26:49.722Z'Esta solicitud devuelve el rol de Pam con el nombre para mostrar "Acceso a archivos SQL":
http://localhost:8086/api/pamresources/pamroles?$filter=DisplayName eq 'SQL File Access'