API-Konfiguration: Aktivieren Sie die XML API und konfigurieren Sie benutzerdefinierte Felder

Verwaltung

API-Konfiguration

API-Konfiguration

XML-API aktivieren

Sie können die BeyondTrust XML-API aktivieren, sodass Sie Berichte ausführen und Befehle ausgeben können, wie z. B. Start oder Übertragung von externen Anwendungen, sowie die automatische Sicherung Ihrer Softwarekonfiguration.

HTTP-Zugriff auf XML-API zulassen

Diese Funktion ist nur für Kunden verfügbar, die ein BeyondTrust Appliance B Series an ihrem Standort betreiben. BeyondTrust Cloud-Kunden haben keinen Zugriff auf diese Funktion.

Standardmäßig ist der Zugriff auf die API SSL-verschlüsselt. Sie können jedoch auch einen unverschlüsselten HTTP-Zugang zulassen. Wir empfehlen dringend, den HTTP-Zugriff als bewährte Sicherheitsmethode nicht zuzulassen.

Diese Option wurde mit 16.1 außer Kraft gesetzt und ist für neue Benutzer nicht verfügbar. Für Benutzer, die von einer älteren Version als 16.1 aktualisieren, ist die Option weiterhin verfügbar, wenn Sie die deaktivierte API-Authentifizierungsmethode mit Benutzerkonto verwenden. Wenn Sie zur bevorzugten Methode der Authentifizierung mit einem API-Konto wechseln, muss der gesamte API-Verkehr über HTTPS erfolgen.

API-Konten

Ein API-Konto speichert alle Authentifizierungs- und Autorisierungseinstellungen für den API-Klienten. Mindestens ein API-Konto ist erforderlich, um die API zu verwenden, entweder zusammen mit dem Integrations-Client, mit einer Drittanbieter-App oder mit Ihrer intern entwickelten Software.

Vor 16.1 wurde ein Benutzerkonto zur Authentifizierung der API verwendet. Diese Methode wurde außer Kraft gesetzt, obwohl sie zur Abwärtskompatibilität noch immer für Benutzer verfügbar ist, die diese Methode bereits verwenden.

Ein API-Konto hinzufügen, bearbeiten, löschen

Erstellen Sie ein neues Konto, bearbeiten Sie ein bestehendes Konto oder entfernen Sie ein bestehendes Konto.

Ein API-Konto hinzufügen oder bearbeiten

Aktiviert

Falls aktiviert, ist dieses Konto zur API-Authentifizierung berechtigt. Wenn ein Konto deaktiviert ist, werden alle mit dem Konto verknüpften OAuth-Tokens sofort deaktiviert.

Name

Erstellen Sie einen eindeutigen Namen, um dieses Konto leichter zu identifizieren.

Kommentare

Fügen Sie Kommentare hinzu, die den Zweck dieses Objekts deutlich machen.

OAuth Client-ID

Die OAuth Client-ID ist eine eindeutige ID, die vom B Series Appliance generiert wird. Sie kann nicht geändert werden. Die Client-ID wird als öffentliche Information erachtet und kann daher frei weitergegeben werden, ohne die Integrationssicherheit zu gefährden.

OAuth Client-Secret

Das OAuth-Client-Secret wird vom B Series Appliance mithilfe eines kryptografisch sicheren, pseudo-zufälligen Zahlengenerators generiert.

Das Client-Secret kann nicht modifiziert werden. Sie können es auf der Seite Bearbeiten jedoch neu erzeugen. Wird ein Client-Secret neu erzeugt und das Konto dann gespeichert, werden sofort sämtliche mit dem Konto verknüpften OAuth-Tokens ungültig. Sämtliche API-Aufrufe unter Verwendung dieser Tokens können nicht auf die API zugreifen.

Die OAuth Client-ID und das Client-Secret werden zur Erstellung von OAuth-Tokens verwendet, die für die API-Authentifizierung benötigt werden.

Weitere Informationen finden Sie im API-Handbuch unter www.beyondtrust.com/docs/privileged-remote-access/how-to/integrations/api/index.htm.

Berechtigungen

Wählen Sie die API-Bereiche, die dieses Konto verwenden können soll. Wählen Sie für die Befehls-API, ob der Zugriff verweigert, nur schreibgeschützt oder vollständig gewährt werden soll. Legen Sie ebenfalls fest, ob dieses Konto die Berichts-API, die Sicherungs-API die Konfigurations-API und/oder die Endpunkt-Anmeldedaten-Manager-API verwenden kann.

  • Wenn ECM-Gruppen für die Website aktiviert sind, wählen Sie die zu verwendende ECM-Gruppe aus. ECMs, die nicht mit einer Gruppe verbunden sind, fallen unter Standard.
  • Mit der Konfigurations-API können häufige Aufgaben in /login verwaltet werden. Diese lassen sich Ihren Organisationsprozessen entsprechend automatisieren und können mit diesen eingesetzt werden.

    Über die SCIM-API-Funktionalität können Benutzer mit einem anderen Sicherheitsanbieter bereitgestellt werden. Wenn Sie Zugriff auf die SCIM-API-Funktionalität gestatten, wird die Option Langlebiges Inhaber-Token zulassen verfügbar. Das Zulassen langlebiger Tokens wird nur dann empfohlen, wenn dies von Ihrem SCIM-Client erfordert wird, da diese Inhaber-Tokens niemals ablaufen. Da alle anderen API-Berechtigungen Tokens erfordern, die nach einer Stunde ablaufen, werden durch das Zulassen langlebiger Tokens für SCIM alle anderen API-Berechtigungen deaktiviert.

    Weitere Informationen finden Sie in Vault-Konto-Konfigurations-APIs unter www.beyondtrust.com/docs/privileged-remote-access/how-to/integrations/api/configuration-api.htm.

    Netzwerkbeschränkungen

    Listet Netzwerkadresspräfixe auf, über die sich dieses Konto authentifizieren kann.

    API-Konten sind nicht durch die auf der Seite /login > Verwaltung > Sicherheit konfigurierten Präfixe beschränkt. Sie sind nur durch die für das API-Konto konfigurierten Netzwerkpräfixe beschränkt.

    ECM-Gruppen

    Diese Funktion ist nur vorhanden, wenn sie bei der Erstellung Ihrer Website aktiviert wurde. Wenn sie nicht vorhanden ist, wenden Sie sich bitte an Ihren Website-Administrator.

    Die ECM-Gruppenfunktion unterstützt mehrere getrennte Anmeldedaten-Anbieter. Sie ermöglicht die Integration einer einzelnen PRA-Bereitstellung mit mehreren externen Anmeldedaten-Anbietern wie Password Safe oder Privileged Identity. Diese können sich durch mehrere ECM-Instanzen an verschiedenen Remote-Standorten befinden.

    Neuer ECM-Gruppenname

    Erstellen Sie einen eindeutigen Namen, um diese ECM-Gruppe leichter zu identifizieren. Sie können bis zu fünfzig ECM-Gruppen konfigurieren.