APIを使用した特権ポリシーの設定

この記事では、APIを使用したZscaler Private Access (ZPA)特権リモート アクセス ポリシーの管理について説明します。すべてのAPIはレート制限されています。詳細は、「レート制限について」を参照してください。

前提条件となるAPIコール

ポリシー タイプ別にpolicySetIdを取得する手順は次の通りです。

  1. ポリシー セット コントローラーの/mgmtconfig/v1/admin/customers/{customerId}/policySet/policyType/{policyType}エンドポイントにGETリクエストを送信します。
  2. 要求エンドポイントで、ポリシー タイプを区別するための値、policyTypeを入力します。サポートされている値は次のとおりです。
  • ACCESS_POLICY/GLOBAL_POLICY
  • TIMEOUT_POLICY/REAUTH_POLICY
  • BYPASS_POLICY/CLIENT_FORWARDING_POLICY
  • INSPECTION_POLICY(つまり、AppProtectionポリシー)
  • ISOLATION_POLICY
  • CREDENTIAL_POLICY
  • CAPABILITIES_POLICY
  • REDIRECTION_POLICY

特権資格情報ポリシー セットIDを取得するには、リクエスト エンドポイントでCREDENTIAL_POLICYポリシー タイプを指定します。例:/mgmtconfig/v1/admin/customers/217246660302995456/policySet/policyType/CREDENTIAL_POLICY

  • {
    "id":"73186051597800563",
    "creationTime":"1672160223",
    "modifiedBy":"73186051597795329",
    "name":"Credential_Policy",
    "enabled":true,
    "description":"Credential policies.",
    "policyType":"8",
    "sorted":true
    }
    閉じる

特権機能ポリシー セットIDを取得するには、リクエスト エンドポイントでCAPABILITIES_POLICYポリシー タイプを指定します。例:/mgmtconfig/v1/admin/customers/217246660302995456/policySet/policyType/CAPABILITIES_POLICY

  • {
    "id":"217246660303026842",
    "creationTime":"1670367805",
    "modifiedBy":"217246660303026835",
    "name":"Capabilities_Policy",
    "enabled":true,
    "description":"Capabilities Policies",
    "policyType":"7",
    "sorted":true
    }
    閉じる

レスポンスが成功すると、コード200が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。

このAPIはページネーションをサポートしています。ページネートされた応答を取得する手順は次の通りです。

  1. GET要求をエンドポイント/mgmtconfig/v1/admin/customers/{customerId}/policySet/rules/policyType/{policyType}?page=1&pagesize=20に送信します。
  2. 要求エンドポイントで以下を入力します。
  • customerId:顧客のZPAテナントID。
  • policyType:ポリシー タイプを区別するための値。サポートされている値は次のとおりです。
    • ACCESS_POLICY/GLOBAL_POLICY
    • TIMEOUT_POLICY/REAUTH_POLICY
    • BYPASS_POLICY/CLIENT_FORWARDING_POLICY
    • INSPECTION_POLICY(すなわち、AppProtectionポリシー)
    • ISOLATION_POLICY
    • CREDENTIAL_POLICY
    • CAPABILITIES_POLICY
    • REDIRECTION_POLICY
  • ページおよびページ サイズのパラメーターの有効な値。

例:/mgmtconfig/v1/admin/customers/217246660302995456/policySet/rules/policyType/CREDENTIAL_POLICY?page=1&pagesize=2

  • {
    "totalPages":"2",
    "list":[
    {
    "id":"145248664305009730",
    "modifiedTime":"1671047708",
    "creationTime":"1669145498",
    "modifiedBy":"72057594038060431",
    "name":"ssh-sample",
    "ruleOrder":"1",
    "priority":"4",
    "policyType":"8",
    "operator":"AND",
    "conditions":[
    {
    "id":"21812856",
    "modifiedTime":"1669145498",
    "creationTime":"1669145498",
    "modifiedBy":"72057594038060431",
    "operator":"OR",
    "negated":false,
    "operands":[
    {
    "id":"21812857",
    "creationTime":"1669145498",
    "modifiedBy":"72057594038060431",
    "objectType":"CONSOLE",
    "lhs":"id",
    "rhs":"145248664305009340",
    "name":"sample-site1-ssh"
    }
    ]
    }
    ],
    "action":"INJECT_CREDENTIALS",
    "credential":{
    "id":"228",
    "name":"ssh-sample-passwd"
    },
    "defaultRule":false
    },
    {
    "id":"145248664305009659",
    "modifiedTime":"1666652678",
    "creationTime":"1666652678",
    "modifiedBy":"72057594038060431",
    "name":"rdp-test",
    "ruleOrder":"2",
    "priority":"1",
    "policyType":"8",
    "operator":"AND",
    "conditions":[
    {
    "id":"21778372",
    "modifiedTime":"1666652678",
    "creationTime":"1666652678",
    "modifiedBy":"72057594038060431",
    "operator":"OR",
    "negated":false,
    "operands":[
    {
    "id":"21778373",
    "creationTime":"1666652678",
    "modifiedBy":"72057594038060431",
    "objectType":"CONSOLE",
    "lhs":"id",
    "rhs":"145248664305009526",
    "name":"sample-site1-rdp.com"
    }
    ]
    }
    ],
    "action":"INJECT_CREDENTIALS",
    "credential":{
    "id":"390",
    "name":"rdp-sample-1"
    },
    "defaultRule":false
    }
    ]
    }
    閉じる

指定しない場合、デフォルトのページ サイズは20です。最大ページ サイズは500です。

レスポンスが成功すると、コード200が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。

必須ポリシー条件の詳細の取得

新規特権ルールを作成する前に、ポリシー条件について次の必要な詳細を取得する必要があります。

新規特権機能ルールの作成

このAPIは今後のリリースでは非推奨となり、ポリシー ルールを作成するための新規APIが提供されます。詳細は、「新規特権機能ルールV2の作成」を参照してください。

特定のポリシー セットおよび特定のcustomerIdに新規特権機能ルールを追加するには、以下の手順を実行します。

  1. ポリシー セット コントローラーの/mgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule?microtenantId={microtenantId}エンドポイントにPOSTリクエストを送信します。
  2. 要求エンドポイントで以下を入力します。

例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/289370814522851333/rule?microtenantId=145260601092866116

  1. リクエスト ヘッダーを含めて、要求コンテキストに関する次のパラメーターを指定します。
  • コンテンツ タイプ:application/json
  • 認可:Bearer <access_token>
  1. JSONペイロード全体を使用し、リクエスト本文に次のパラメーターを指定します。
  • [name]:ルールの名前
  • [action]:機能ルールの処理(CHECK_CAPABILITIES)
  • [capabilities]:特権ポリシーの機能のタイプ。このフィールドは、特権機能ポリシーを作成するときにリクエスト本文で渡す必要があります。サポートされている値は次のとおりです。
    • [CLIPBOARD_COPY]: PRAクリップボード コピー機能を示します。
    • [CLIPBOARD_PASTE]: PRAクリップボードの貼り付け機能を示します。
    • [FILE_UPLOAD]:ファイル アップロード機能を有効にするPRAファイル転送機能を示します。
    • [FILE_DOWNLOAD]:ファイル ダウンロード機能を有効にするPRAファイル転送機能を示します。
    • [INSPECT_FILE_UPLOAD]: ZIAサンドボックス経由でファイルを検査し(ZIAクラウドと統合設定をセット アップしている場合)、検査後にファイルをアップロードします。
    • [INSPECT_FILE_DOWLNOAD]: ZIAサンドボックス経由でファイルを検査し(ZIAクラウドと統合設定をセット アップしている場合)、検査後にファイルをダウンロードします。
    • [MONITOR_SESSION]: PRAセッション監視機能を有効にするPRA監視機能を示します。
    • [RECORD_SESSION]: PRAセッション記録を有効にするPRAセッション記録機能を示します。
    • [SHARE_SESSION]: PRAセッション監視を有効にするPRAコントロール コントロールおよび監視機能を示します。
  • {
    "policySetId":"<policySetId>",
    "conditions":[

    ],
    "name":"<policyName>",
    "description":"<policyDescription>",
    "action":"CHECK_CAPABILITIES",
    "privilegedCapabilities":{
    "capabilities":[

    ]
    }
    }
    閉じる
  • {
    "policySetId":"145260601092866124",
    "conditions":[
    {
    "operands":[
    {
    "objectType":"APP",
    "values":[
    "145260601092866051"
    ]
    },
    {
    "objectType":"APP_GROUP",
    "values":[
    "145260601092866489"
    ]
    }
    ]
    },
    {
    "operands":[
    {
    "objectType":"IDP",
    "values":[
    "145260601092866079"
    ]
    }
    ],
    "operator":"OR"
    }
    ],
    "name":"Scope A Policy-3",
    "description":"Micro tenant A",
    "action":"CHECK_CAPABILITIES",
    "privilegedCapabilities":{
    "capabilities":[
    "FILE_UPLOAD",
    "FILE_DOWNLOAD",
    "INSPECT_FILE_UPLOAD",
    "INSPECT_FILE_DOWNLOAD",
    "CLIPBOARD_COPY",
    "CLIPBOARD_PASTE",
    "RECORD_SESSION",
    "SHARE_SESSION",
    "MONITOR_SESSION"
    ]
    }
    }
    閉じる
  • {
    "id":"145260601092866511",
    "modifiedTime":"1704898052",
    "creationTime":"1704898052",
    "modifiedBy":"72057594038606761",
    "name":"Scope A Policy-3",
    "microtenantId":"145260601092866116",
    "description":"Micro tenant A",
    "ruleOrder":"5",
    "priority":"1",
    "policyType":"7",
    "operator":"AND",
    "conditions":[
    {
    "id":"25240454",
    "modifiedTime":"1704898052",
    "creationTime":"1704898052",
    "modifiedBy":"72057594038606761",
    "microtenantId":"145260601092866116",
    "operator":"OR",
    "negated":false,
    "operands":[
    {
    "id":"25240455",
    "modifiedTime":"1704898052",
    "creationTime":"1704898052",
    "modifiedBy":"72057594038606761",
    "microtenantId":"145260601092866116",
    "objectType":"APP",
    "lhs":"id",
    "rhs":"145260601092866051",
    "name":"Internal Application"
    },
    {
    "id":"25240456",
    "modifiedTime":"1704898052",
    "creationTime":"1704898052",
    "modifiedBy":"72057594038606761",
    "microtenantId":"145260601092866116",
    "objectType":"APP_GROUP",
    "lhs":"id",
    "rhs":"145260601092866489",
    "name":"test-simha-sg"
    }
    ]
    },
    {
    "id":"25240457",
    "modifiedTime":"1704898052",
    "creationTime":"1704898052",
    "modifiedBy":"72057594038606761",
    "microtenantId":"145260601092866116",
    "operator":"OR",
    "negated":false,
    "operands":[
    {
    "id":"25240458",
    "modifiedTime":"1704898052",
    "creationTime":"1704898052",
    "modifiedBy":"72057594038606761",
    "microtenantId":"145260601092866116",
    "objectType":"IDP",
    "lhs":"id",
    "rhs":"145260601092866079",
    "name":"Contractors SSO"
    }
    ]
    }
    ],
    "action":"CHECK_CAPABILITIES",
    "policySetId":"145260601092866124",
    "privilegedCapabilities":{
    "capabilities":[
    "FILE_UPLOAD",
    "FILE_DOWNLOAD",
    "INSPECT_FILE_UPLOAD",
    "INSPECT_FILE_DOWNLOAD",
    "CLIPBOARD_COPY",
    "CLIPBOARD_PASTE",
    "RECORD_SESSION",
    "SHARE_SESSION",
    "MONITOR_SESSION"
    ]
    },
    "defaultRule":false,
    "defaultRuleName":"null-145260601092866116"
    }
    閉じる

応答が成功すると、コード201が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。

JSONペイロードに含めるポリシー条件を選択します。サポートされている値については、フィールドの説明セクションを参照してください。

新規特権機能ルールV2の作成

新規特権機能ルールを作成するには、以下の手順を実行します。

  1. ポリシー セット コントローラーの/mgmtconfig/v2/admin/customers/{customerId}/policySet/{policySetId}/rule?microtenantId={microtenantId}エンドポイントにPOSTリクエストを送信します。
  2. 要求エンドポイントで以下を入力します。

例:/mgmtconfig/v2/admin/customers/289370814522851328/policySet/289370814522851333/rule?microtenantId=145260601092866116

  1. リクエスト ヘッダーを含めて、要求コンテキストに関する次のパラメーターを指定します。
  • コンテンツ タイプ:application/json
  • 認可:Bearer <access_token>
  1. JSONペイロード全体を使用し、リクエスト本文に次のパラメーターを指定します。
  • [name]:ルールの名前
  • [action]:機能ルールの処理(CHECK_CAPABILITIES)
  • [capabilities]:特権ポリシーの機能のタイプ。このフィールドは、特権機能ポリシーを作成するときにリクエスト本文で渡す必要があります。サポートされている値は次のとおりです。
    • [CLIPBOARD_COPY]: PRAクリップボード コピー機能を示します。
    • [CLIPBOARD_PASTE]: PRAクリップボードの貼り付け機能を示します。
    • [FILE_UPLOAD]:ファイル アップロード機能を有効にするPRAファイル転送機能を示します。
    • [FILE_DOWNLOAD]:ファイル ダウンロード機能を有効にするPRAファイル転送機能を示します。
    • [INSPECT_FILE_UPLOAD]: ZIAサンドボックス経由でファイルを検査し(ZIAクラウドと統合設定をセット アップしている場合)、検査後にファイルをアップロードします。
    • [INSPECT_FILE_DOWLNOAD]: ZIAサンドボックス経由でファイルを検査し(ZIAクラウドと統合設定をセット アップしている場合)、検査後にファイルをダウンロードします。
    • [MONITOR_SESSION]: PRAセッション監視機能を有効にするPRA監視機能を示します。
    • [RECORD_SESSION]: PRAセッション記録を有効にするPRAセッション記録機能を示します。
    • [SHARE_SESSION]: PRAセッション監視を有効にするPRAコントロール コントロールおよび監視機能を示します。
  • {
        "policySetId": "<policy set ID>",
        "conditions": [
            {
                "operands": [
                    {
                        "objectType": "APP",
                        "values": [
                            "<application ID>"
                        ]
                    }
                ]
            }
        ],
        "name": "<example policy rule name>",
        "description": "<example description>",
        "action": "CHECK_CAPABILITIES",
        "privilegedCapabilities": {
            "capabilities": [
                "FILE_UPLOAD"
            ]
        }
    }
    閉じる
  • {
      "id":"145260601092866511",
      "modifiedTime":"1704898052",
      "creationTime":"1704898052",
      "modifiedBy":"72057594038606761",
      "name":"Scope A Policy-3",
      "microtenantId":"145260601092866116",
      "description":"Micro tenant A",
      "ruleOrder":"5",
      "priority":"1",
      "policyType":"7",
      "operator":"AND",
      "conditions":[
         {
            "id":"25240454",
            "modifiedTime":"1704898052",
            "creationTime":"1704898052",
            "modifiedBy":"72057594038606761",
            "microtenantId":"145260601092866116",
            "operator":"OR",
            "negated":false,
            "operands":[
               {
                  "id":"25240455",
                  "modifiedTime":"1704898052",
                  "creationTime":"1704898052",
                  "modifiedBy":"72057594038606761",
                  "microtenantId":"145260601092866116",
                  "objectType":"APP",
                  "lhs":"id",
                  "rhs":"145260601092866051",
                  "name":"Internal Application"
               },
               {
                  "id":"25240456",
                  "modifiedTime":"1704898052",
                  "creationTime":"1704898052",
                  "modifiedBy":"72057594038606761",
                  "microtenantId":"145260601092866116",
                  "objectType":"APP_GROUP",
                  "lhs":"id",
                  "rhs":"145260601092866489",
                  "name":"test-simha-sg"
               }
            ]
         },
         {
            "id":"25240457",
            "modifiedTime":"1704898052",
            "creationTime":"1704898052",
            "modifiedBy":"72057594038606761",
            "microtenantId":"145260601092866116",
            "operator":"OR",
            "negated":false,
            "operands":[
               {
                  "id":"25240458",
                  "modifiedTime":"1704898052",
                  "creationTime":"1704898052",
                  "modifiedBy":"72057594038606761",
                  "microtenantId":"145260601092866116",
                  "objectType":"IDP",
                  "lhs":"id",
                  "rhs":"145260601092866079",
                  "name":"Contractors SSO"
               }
            ]
         }
      ],
      "action":"CHECK_CAPABILITIES",
      "policySetId":"145260601092866124",
      "privilegedCapabilities":{
         "capabilities":[
            "FILE_UPLOAD",
            "FILE_DOWNLOAD",
            "INSPECT_FILE_UPLOAD",
            "INSPECT_FILE_DOWNLOAD",
            "CLIPBOARD_COPY",
            "CLIPBOARD_PASTE",
            "RECORD_SESSION",
            "SHARE_SESSION",
            "MONITOR_SESSION"
         ]
      },
      "defaultRule":false,
      "defaultRuleName":"null-145260601092866116"
    }
    閉じる

応答が成功すると、コード201が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。

新規特権資格情報ルールの作成

このAPIは今後のリリースでは非推奨となり、ポリシー ルールを作成するための新規APIが提供されます。詳細は、「新規特権資格情報ルールV2の作成」を参照してください。

特定のポリシー セットおよび特定のcustomerIdに新しい特権資格情報ルールを追加するには、以下の手順を実行します。

  1. ポリシー セット コントローラーの/mgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule?microtenantId={microtenantId}エンドポイントにPOSTリクエストを送信します。
  2. 要求エンドポイントで以下を入力します。

例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/289370814522851333/rule?microtenantId=145260601092866116

  1. リクエスト ヘッダーを含めて、要求コンテキストに関する次のパラメーターを指定します。
  • コンテンツ タイプ:application/json
  • 認可:Bearer <access_token>
  1. JSONペイロード全体を使用し、リクエスト本文に次のパラメーターを指定します。
  • {
    "policySetId":"<policySetId>",
    "conditions":[
    {
    "operands":[
    {
    "objectType":"CONSOLE",
    "values":[
    "145260601092866444"
    ]
    }
    ]
    }
    ],
    "name":"<policyName>",
    "description":"<policyDescription>",
    "action":"INJECT_CREDENTIALS",
    "credential":{
    "id":"11534",
    "name":".116 RDP Credentials"
    }
    }
    閉じる
  • {
    "policySetId":"145260601092866125",
    "conditions":[
    {
    "operands":[
    {
    "objectType":"CONSOLE",
    "values":[
    "145260601092866444"
    ]
    }
    ]
    }
    ],
    "name":"Scope A RDP policy",
    "description":"Microtenat A policy",
    "action":"INJECT_CREDENTIALS",
    "credential":{
    "id":"11534",
    "name":".116 RDP Credentials"
    }
    }
    閉じる
  • {
    "id":"145260601092866557",
    "modifiedTime":"1705987890",
    "creationTime":"1705987890",
    "modifiedBy":"72057594038606761",
    "name":"Testing-user",
    "scopeId":"145260601092866116",
    "description":"testing",
    "ruleOrder":"4",
    "priority":"1",
    "policyType":"8",
    "operator":"AND",
    "conditions":[
    {
    "id":"25243672",
    "modifiedTime":"1705987890",
    "creationTime":"1705987890",
    "modifiedBy":"72057594038606761",
    "scopeId":"145260601092866116",
    "operator":"OR",
    "negated":false,
    "operands":[
    {
    "id":"25243673",
    "modifiedTime":"1705987890",
    "creationTime":"1705987890",
    "modifiedBy":"72057594038606761",
    "scopeId":"145260601092866116",
    "objectType":"CONSOLE",
    "lhs":"id",
    "rhs":"145260601092866269",
    "name":"ExampleUser-approval-rdp.com"
    }
    ]
    }
    ],
    "action":"INJECT_CREDENTIALS",
    "credential":{
    "id":"11534",
    "name":".116 RDP Credentials"
    },
    "policySetId":"145260601092866125",
    "privilegedCapabilities":{

    },
    "defaultRule":false,
    "defaultRuleName":"null-145260601092866116"
    }
    閉じる

応答が成功すると、コード201が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。

JSONペイロードに含めるポリシー条件を選択します。サポートされている値については、フィールドの説明セクションを参照してください。

新規特権認証情報ルールV2の作成

特定のポリシー セットおよび特定のcustomerIdに新しい特権資格情報ルールを追加するには、以下の手順を実行します。

  1. ポリシー セット コントローラーの/mgmtconfig/v2/admin/customers/{customerId}/policySet/{policySetId}/rule?microtenantId={microtenantId}エンドポイントにPOSTリクエストを送信します。
  2. 要求エンドポイントで以下を入力します。

例:/mgmtconfig/v2/admin/customers/289370814522851328/policySet/289370814522851333/rule?microtenantId=145260601092866116

  1. リクエスト ヘッダーを含めて、要求コンテキストに関する次のパラメーターを指定します。
  • コンテンツ タイプ:application/json
  • 認可:Bearer <access_token>
  1. JSONペイロード全体を使用し、リクエスト本文に次のパラメーターを指定します。
  • {
        "policySetId": "72057594038624156",
        "conditions": [
            {
                "operands": [
                    {
                        "objectType": "CONSOLE",
                        "values": [
                            "72057594038071247"
                        ]
                    }
                ]
            }
        ],
        "name": "credential-policy",
        "description": "Credential Policy",
        "action": "INJECT_CREDENTIALS",
        "disabled": "0",
        "credential": {
          "id": "47",
          "name": "test"
         }
    }
    閉じる
  • {
      "id":"145260601092866557",
      "modifiedTime":"1705987890",
      "creationTime":"1705987890",
      "modifiedBy":"72057594038606761",
      "name":"Testing-user",
      "scopeId":"145260601092866116",
      "description":"testing",
      "ruleOrder":"4",
      "priority":"1",
      "policyType":"8",
      "operator":"AND",
      "conditions":[
         {
            "id":"25243672",
            "modifiedTime":"1705987890",
            "creationTime":"1705987890",
            "modifiedBy":"72057594038606761",
            "scopeId":"145260601092866116",
            "operator":"OR",
            "negated":false,
            "operands":[
               {
                  "id":"25243673",
                  "modifiedTime":"1705987890",
                  "creationTime":"1705987890",
                  "modifiedBy":"72057594038606761",
                  "scopeId":"145260601092866116",
                  "objectType":"CONSOLE",
                  "lhs":"id",
                  "rhs":"145260601092866269",
                  "name":"ExampleUser-approval-rdp.com"
               }
            ]
         }
      ],
      "action":"INJECT_CREDENTIALS",
      "credential":{
         "id":"11534",
         "name":".116 RDP Credentials"
      },
      "policySetId":"145260601092866125",
      "privilegedCapabilities":{
         
      },
      "defaultRule":false,
      "defaultRuleName":"null-145260601092866116"
    }
    閉じる

応答が成功すると、コード201が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。

特定の特権ルールの詳細の取得

特定のアクセス ルールの詳細を取得する前に、前提条件のAPIコールでキャプチャーされたpolicySetIdを取得する必要があります。

特定の特権ルールの詳細を取得するには、以下の手順を実行します。

  1. ポリシー セット コントローラーの/mgmtconfig/v1/admin/customers/{customerId}/policySet/rules/policyType/{policyType}?microtenantId={microtenantId}エンドポイントにGETリクエストを送信します。
  2. 要求エンドポイントに次の値を入力します。

例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/rules/policyType/CREDENTIAL_POLICY?microtenantId=145260601092866116

  • {
    "totalPages":"1",
    "totalCount":"0",
    "list":[
    {
    "id":"145260601092866378",
    "modifiedTime":"1699520116",
    "creationTime":"1699520116",
    "modifiedBy":"72057594038068982",
    "name":"Scope A Ssh policy",
    "microtenantId":"145260601092866116",
    "ruleOrder":"1",
    "priority":"2",
    "policyType":"8",
    "operator":"AND",
    "conditions":[
    {
    "id":"25157962",
    "modifiedTime":"1699520116",
    "creationTime":"1699520116",
    "modifiedBy":"72057594038068982",
    "microtenantId":"145260601092866116",
    "operator":"OR",
    "negated":false,
    "operands":[
    {
    "id":"25157963",
    "modifiedTime":"1699520116",
    "creationTime":"1699520116",
    "modifiedBy":"72057594038068982",
    "microtenantId":"145260601092866116",
    "objectType":"CONSOLE",
    "lhs":"id",
    "rhs":"145260601092866270",
    "name":"ExampleUser-ssh.com"
    },
    {
    "id":"25157964",
    "modifiedTime":"1699520116",
    "creationTime":"1699520116",
    "modifiedBy":"72057594038068982",
    "microtenantId":"145260601092866116",
    "objectType":"CONSOLE",
    "lhs":"id",
    "rhs":"145260601092866374",
    "name":"ExampleUser-ssh.com"
    }
    ]
    }
    ],
    "action":"INJECT_CREDENTIALS",
    "credential":{
    "id":"11608",
    "name":"Example User SSH"
    },
    "defaultRule":false,
    "defaultRuleName":"null-145260601092866116",
    "restrictedEntity":false
    },
    {
    "id":"145260601092866507",
    "modifiedTime":"1704878956",
    "creationTime":"1704878956",
    "modifiedBy":"72057594038073668",
    "name":"Scope A RDP",
    "microtenantId":"145260601092866116",
    "ruleOrder":"2",
    "priority":"1",
    "policyType":"8",
    "operator":"AND",
    "conditions":[
    {
    "id":"25240409",
    "modifiedTime":"1704878956",
    "creationTime":"1704878956",
    "modifiedBy":"72057594038073668",
    "microtenantId":"145260601092866116",
    "operator":"OR",
    "negated":false,
    "operands":[
    {
    "id":"25240410",
    "modifiedTime":"1704878956",
    "creationTime":"1704878956",
    "modifiedBy":"72057594038073668",
    "microtenantId":"145260601092866116",
    "objectType":"CONSOLE",
    "lhs":"id",
    "rhs":"145260601092866269",
    "name":"ExampleUser-approval-rdp.com"
    }
    ]
    }
    ],
    "action":"INJECT_CREDENTIALS",
    "credential":{
    "id":"11534",
    "name":".116 RDP Credentials"
    },
    "defaultRule":false,
    "defaultRuleName":"null-145260601092866116",
    "restrictedEntity":false
    }
    ]
    }
    閉じる

レスポンスが成功すると、コード200が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。

特権機能ポリシー ルールの更新

このAPIは今後のリリースでは非推奨となり、ポリシー ルールを作成するための新規APIが提供されます。詳細は、「特権機能ポリシー ルールV2の更新」を参照してください。

ポリシー セット内の特権機能ポリシー ルールの詳細を更新するには、以下の手順を実行します。

  1. 前提条件のAPIコールでキャプチャーされたpolicySetIdを取得します。
  2. 新規特権機能ルールの作成」からのJSONペイロード全体を使用し、ポリシー セット コントローラーの/mgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}?microtenantId={microtenantId}エンドポイントにPUTリクエストを送信します。
  3. 要求エンドポイントに次の値を入力します。

例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/289370814522851333/rule/289370814522851657?microtenantId=145260601092866116

  • {
       "policySetId":"145260601092866124",
       "conditions":[
          
       ],
       "name":"Scope A Policy-2",
       "description":"Micro tenant A",
       "action":"CHECK_CAPABILITIES",
       "privilegedCapabilities":{
          "capabilities":[
             
          ]
       }
    }
    閉じる
  • {
       "policySetId":"145260601092866124",
       "id":"145260601092866509",
       "conditions":[
          {
             "operands":[
                {
                   "objectType":"APP",
                   "values":[
                      "145260601092866051"
                   ]
                },
                {
                   "objectType":"APP_GROUP",
                   "values":[
                      "145260601092866131"
                   ]
                }
             ]
          },
          {
             "operands":[
                {
                   "objectType":"IDP",
                   "values":[
                      "145260601092866067"
                   ]
                }
             ],
             "operator":"OR"
          }
       ],
       "name":"Scope A policy-1",
       "description":"Scope A policy",
       "action":"CHECK_CAPABILITIES",
       "privilegedCapabilities":{
          "capabilities":[
             "FILE_UPLOAD",
             "FILE_DOWNLOAD",
             "INSPECT_FILE_UPLOAD",
             "INSPECT_FILE_DOWNLOAD",
             "CLIPBOARD_COPY",
             "CLIPBOARD_PASTE",
             "RECORD_SESSION",
             "SHARE_SESSION",
             "MONITOR_SESSION",
             "CONTROL_SESSION"
          ]
       }
    }
    閉じる

JSONペイロードに含めるポリシー条件を選択します。サポートされている値の詳細は、[フィールドの説明]セクションを参照してください。

レスポンスが成功すると、特権資格情報が更新されることを意味するコード204が返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。

特権機能ポリシー ルールV2の更新

ポリシー セット内の特権機能ポリシー ルールの詳細を更新するには、以下の手順を実行します。

  1. 前提条件のAPIコールでキャプチャーされたpolicySetIdを取得します。
  2. 新規特権機能ルールの作成」からのJSONペイロード全体を使用し、ポリシー セット コントローラーの/mgmtconfig/v2/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}?microtenantId={microtenantId}エンドポイントにPUTリクエストを送信します:。
  3. 要求エンドポイントに次の値を入力します。

例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/289370814522851333/rule/289370814522851657?microtenantId=145260601092866116

  • {
        "policySetId": "<policy set ID>",
        "id": "<rule ID>",
        "conditions": [
            {
                "operands": [
                    {
                        "objectType": "APP",
                        "values": [
                            "<application ID>"
                        ]
                    }
                ]
            }
        ],
        "name": "capabilities-policy",
        "description": "Capabilities Policy",
        "action": "CHECK_CAPABILITIES",
        "privilegedCapabilities": {
            "capabilities": [
                "FILE_UPLOAD",
                "FILE_DOWNLOAD"
            ]
        }
    }
    閉じる

レスポンスが成功すると、特権資格情報が更新されることを意味するコード204が返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。

特権資格情報ポリシールールの更新

このAPIは今後のリリースでは非推奨となり、ポリシー ルールを作成するための新規APIが提供されます。詳細は、「特権資格情報ポリシー ルールV2の更新」を参照してください。

ポリシー セット内の特権認証情報ポリシー ルールの詳細を更新するには、以下の手順を実行します。

  1. 前提条件のAPIコール でキャプチャーされたpolicySetIdを取得します。
  2. 新規特権資格情報ルールの作成」からのJSONペイロード全体を使用し、ポリシー セット コントローラーの/mgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}?microtenantId={microtenantId}エンドポイントにPUTリクエストを送信します。
  3. 要求エンドポイントに次の値を入力します。

例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/289370814522851333/rule/289370814522851657?microtenantId=145260601092866116

  • {
    "policySetId":"145260601092866125",
    "id":"145260601092866512",
    "conditions":[
    {
    "operands":[
    {
    "objectType":"IDP",
    "values":[
    "145260601092866067"
    ]
    }
    ],
    "operator":"OR"
    },
    {
    "operands":[
    {
    "objectType":"CONSOLE",
    "values":[
    "145260601092866444"
    ]
    }
    ]
    }
    ],
    "name":"Scope A RDP policy",
    "description":"Microtenat A policy",
    "action":"INJECT_CREDENTIALS",
    "credential":{
    "id":"11534",
    "name":".116 RDP Credentials"
    }
    }
    閉じる

JSONペイロードに含めるポリシー条件を選択します。サポートされている値の詳細は、[フィールドの説明]セクションを参照してください。

レスポンスが成功すると、アクセス ルールが更新されたことを意味するコード204が返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。

特権資格情報ポリシー ルールV2の更新

ポリシー セット内の特権認証情報ポリシー ルールの詳細を更新するには、以下の手順を実行します。

  1. 前提条件のAPIコールでキャプチャーされたpolicySetIdを取得します。
  2. 新規特権資格情報ルールの作成」からのJSONペイロード全体を使用し、ポリシー セット コントローラーの/mgmtconfig/v2/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}?microtenantId={microtenantId}エンドポイントにPUTリクエストを送信します。
  3. 要求エンドポイントに次の値を入力します。

例:/mgmtconfig/v2/admin/customers/289370814522851328/policySet/289370814522851333/rule/289370814522851657?microtenantId=145260601092866116

  • {
        "policySetId": "<policy set ID>",
        "id": "<rule ID>",
        "conditions": [
            {
                "operands": [
                    {
                        "objectType": "CONSOLE",
                        "values": [
                            "<privileged console ID>"
                        ]
                    }
                ]
            }
        ],
        "name": "<privileged console name>",
        "description": "<example description>",
        "action": "INJECT_CREDENTIALS",
        "disabled": "0",
        "credential": {
          "id": "<privileged credential ID>",
          "name": "<privileged credential name>"
         }
    }
    閉じる

レスポンスが成功すると、アクセス ルールが更新されたことを意味するコード204が返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。

ルールの順序の更新

ルールの順序を更新する手順は次の通りです。

  1. ポリシー セット コントローラーのmgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}/reorder/{newOrder}エンドポイントにPUTリクエストを送信します。
  2. 要求エンドポイントで次のパラメーターを入力します。
  • customerId:顧客のZPAテナントID。
  • policySetId:ポリシーセットのID。
  • ruleId:ルールのID。
  • newOrder:ルールの新しい順序。

次に例を示します:mgmtconfig/v1/admin/customers/72057594037927936/policySet/72057594037938994/rule/72057615512764641/reorder/4

レスポンスが成功すると、ルールの順序が更新されることを意味するコード204が返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。

ポリシー セット内のすべてのルールのルール順序を更新する機能も利用できます。詳細は、「APIを使用したアクセス ポリシーの設定」を参照してください。

特権ルールの削除

特権ルールを削除するには、以下の手順を実行します。

  1. ポリシー セット コントローラーの/mgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}エンドポイントにDELETEリクエストを送信します。
  2. リクエスト本文で次のキーと値のペアを指定します。

例:/mgmtconfig/v1/admin/customers/72057615512764416/policySet/72057615512764421/rule/72057615512764594。

レスポンスが成功すると、特権ポリシー ルールが削除されたことを意味するコード204を返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。

特権ポリシーがZscaler デセプションを使用して設定されている場合、更新および削除のオプションは使用できません。

すべてのクライアントタイプの詳細の取得

すべてのクライアント タイプの詳細を取得する手順は次の通りです。

  1. ポリシー セット コントローラーのエンドポイント/mgmtconfig/v1/admin/customers/{customerId}/clientTypesGETリクエストを送信します。
  2. リクエストエンドポイントで、顧客のZPAテナントIDであるcustomerIdを提供します。次に例を示します。/mgmtconfig/v1/admin/customers/217246660302995456/clientTypes
  • {
    "zpn_client_type_exporter":"Web Browser",
    "zpn_client_type_machine_tunnel":"Machine Tunnel",
    "zpn_client_type_ip_anchoring":"ZIA Service Edge",
    "zpn_client_type_edge_connector":"Cloud Connector",
    "zpn_client_type_zapp":"Client Connector",
    "zpn_client_type_slogger":"ZPA LSS"
    }
    閉じる

レスポンスが成功すると、コード200が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。

顧客のプラットフォームタイプの取得

顧客用のプラットフォーム タイプを取得する手順は次の通りです。

  1. ポリシー セット コントローラーのエンドポイント/mgmtconfig/v1/admin/customers/{customerId}/platformGETリクエストを送信します。
  2. リクエスト エンドポイントで、顧客のZPAテナントIDであるcustomerIdを提供します。例:/mgmtconfig/v1/admin/customers/217246660302995456/platform

レスポンスが成功すると、コード200が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。

フィールド説明の追加

次のテーブルには、特権ポリシーのユース ケースで使用できるフィールドの説明が含まれています。

フィールド説明必須
名前これはルールの名前ですはい文字列
説明これはルールの説明ですいいえ文字列
アクションこれは、ルール アクションを提供するためのものですはい

文字列

サポートされている値:

  • [CHECK_CAPABILITIES]:特権機能ポリシーを作成するルールの処理。
  • [INJECT_CREDENTIALS]:特権資格情報ポリシーを作成するルールの処理。
capabilties特権ポリシーの機能のタイプを示します。はい

文字列

サポートされている値:

  • [CLIPBOARD_COPY]: PRAクリップボード コピー機能を示します。
  • [CLIPBOARD_PASTE]: PRAクリップボードの貼り付け機能を示します。
  • [FILE_UPLOAD]:ファイル アップロード機能を有効にするPRAファイル転送機能を示します。
  • [FILE_DOWNLOAD]:ファイル ダウンロード機能を有効にするPRAファイル転送機能を示します。
  • [INSPECT_FILE_UPLOAD]: ZIAサンドボックス経由でファイルを検査し(ZIAクラウドと統合設定をセット アップしている場合)、検査後にファイルをアップロードします。
  • [INSPECT_FILE_DOWLNOAD]: ZIAサンドボックス経由でファイルを検査し(ZIAクラウドと統合設定をセット アップしている場合)、検査後にファイルをダウンロードします。
  • [MONITOR_SESSION]: PRAセッション監視機能を有効にするPRA監視機能を示します。
  • [RECORD_SESSION]: PRAセッション記録を有効にするPRAセッション記録機能を示します。
  • [SHARE_SESSION]: PRAセッション監視を有効にするPRAコントロール コントロールおよび監視機能を示します。
customerMsgこれは、ユーザーに顧客メッセージを提供するためのものですいいえ文字列
条件これは、ポリシーの条件セットを提供するためのものです。いいえ被演算子の配列
operandsこれは、さまざまなポリシー条件を表しますいいえ属性の配列(objectType, lhs, rhs, name)
objectTypeこれは、ポリシー条件を指定するためのものですいいえ

サポートされている値:

  • APP
  • APP_GROUP
  • コンソール
  • IDP
  • SAML
  • SCIM
  • SCIM_GROUP
lhsこれは、オブジェクト タイプのキーを表しますいいえ文字列IDの例:"id"
rhsこれは、所定のオブジェクト タイプの値を表します。その値はキーによって異なります。いいえAPPAPP_GROUPIDPSAMLSCIMSCIM_GROUPの場合、サポートされる値は<entity id>です。
演算子これは、演算のタイプを表します。いいえサポートされている値:ANDOR
microtenantIdZPAテナント用マイクロテナントの一意の識別子。マイクロテナント内にいる場合は、そのマイクロテナントからデータを取得するAPIコールを行うときにmicrotenantIdフィールドを渡す必要があります。microtenantIdを[APIキー]ページで取得することも、ZPAクラウドサービスAPIを使用してプログラムで取得することもできます。マイクロテナント内にいる場合、特定の操作へのアクセスは制限されます。デフォルトのマイクロテナント内にいる場合は、デフォルトのマイクロテナントからデータを取得するリクエストを行うときにmicrotenantId0として渡します。リソースの作成または更新時にmicrotenantIdがリクエスト エンドポイントで渡されない場合、リソースはデフォルトのマイクロテナントで作成または更新されます。詳細は、「APIを使用したマイクロテナントの設定」を参照してください。いいえ整数

LHS値とRHS値の包括的なテーブルについては、APIを使用したアクセス ポリシーの構成を参照してください。