APIを使用した特権ポリシーの設定
この記事では、APIを使用したZscaler Private Access (ZPA)特権リモート アクセス ポリシーの管理について説明します。すべてのAPIはレート制限されています。詳細は、「レート制限について」を参照してください。
前提条件となるAPIコール
ポリシー タイプ別にpolicySetIdを取得する手順は次の通りです。
- ポリシー セット コントローラーの
/mgmtconfig/v1/admin/customers/{customerId}/policySet/policyType/{policyType}エンドポイントにGETリクエストを送信します。 - 要求エンドポイントで、ポリシー タイプを区別するための値、
policyTypeを入力します。サポートされている値は次のとおりです。
ACCESS_POLICY/GLOBAL_POLICYTIMEOUT_POLICY/REAUTH_POLICYBYPASS_POLICY/CLIENT_FORWARDING_POLICYINSPECTION_POLICY(つまり、AppProtectionポリシー)ISOLATION_POLICYCREDENTIAL_POLICYCAPABILITIES_POLICYREDIRECTION_POLICY
特権資格情報ポリシー セットIDを取得するには、リクエスト エンドポイントでCREDENTIAL_POLICYポリシー タイプを指定します。例:/mgmtconfig/v1/admin/customers/217246660302995456/policySet/policyType/CREDENTIAL_POLICY。
特権機能ポリシー セットIDを取得するには、リクエスト エンドポイントでCAPABILITIES_POLICYポリシー タイプを指定します。例:/mgmtconfig/v1/admin/customers/217246660302995456/policySet/policyType/CAPABILITIES_POLICY。
レスポンスが成功すると、コード200が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。
このAPIはページネーションをサポートしています。ページネートされた応答を取得する手順は次の通りです。
GET要求をエンドポイント/mgmtconfig/v1/admin/customers/{customerId}/policySet/rules/policyType/{policyType}?page=1&pagesize=20に送信します。- 要求エンドポイントで以下を入力します。
customerId:顧客のZPAテナントID。policyType:ポリシー タイプを区別するための値。サポートされている値は次のとおりです。ACCESS_POLICY/GLOBAL_POLICYTIMEOUT_POLICY/REAUTH_POLICYBYPASS_POLICY/CLIENT_FORWARDING_POLICYINSPECTION_POLICY(すなわち、AppProtectionポリシー)ISOLATION_POLICYCREDENTIAL_POLICYCAPABILITIES_POLICYREDIRECTION_POLICY
- ページおよびページ サイズのパラメーターの有効な値。
例:/mgmtconfig/v1/admin/customers/217246660302995456/policySet/rules/policyType/CREDENTIAL_POLICY?page=1&pagesize=2。
- 応答の例を表示する
{
閉じる
"totalPages":"2",
"list":[
{
"id":"145248664305009730",
"modifiedTime":"1671047708",
"creationTime":"1669145498",
"modifiedBy":"72057594038060431",
"name":"ssh-sample",
"ruleOrder":"1",
"priority":"4",
"policyType":"8",
"operator":"AND",
"conditions":[
{
"id":"21812856",
"modifiedTime":"1669145498",
"creationTime":"1669145498",
"modifiedBy":"72057594038060431",
"operator":"OR",
"negated":false,
"operands":[
{
"id":"21812857",
"creationTime":"1669145498",
"modifiedBy":"72057594038060431",
"objectType":"CONSOLE",
"lhs":"id",
"rhs":"145248664305009340",
"name":"sample-site1-ssh"
}
]
}
],
"action":"INJECT_CREDENTIALS",
"credential":{
"id":"228",
"name":"ssh-sample-passwd"
},
"defaultRule":false
},
{
"id":"145248664305009659",
"modifiedTime":"1666652678",
"creationTime":"1666652678",
"modifiedBy":"72057594038060431",
"name":"rdp-test",
"ruleOrder":"2",
"priority":"1",
"policyType":"8",
"operator":"AND",
"conditions":[
{
"id":"21778372",
"modifiedTime":"1666652678",
"creationTime":"1666652678",
"modifiedBy":"72057594038060431",
"operator":"OR",
"negated":false,
"operands":[
{
"id":"21778373",
"creationTime":"1666652678",
"modifiedBy":"72057594038060431",
"objectType":"CONSOLE",
"lhs":"id",
"rhs":"145248664305009526",
"name":"sample-site1-rdp.com"
}
]
}
],
"action":"INJECT_CREDENTIALS",
"credential":{
"id":"390",
"name":"rdp-sample-1"
},
"defaultRule":false
}
]
}
指定しない場合、デフォルトのページ サイズは20です。最大ページ サイズは500です。
レスポンスが成功すると、コード200が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。
必須ポリシー条件の詳細の取得
新規特権ルールを作成する前に、ポリシー条件について次の必要な詳細を取得する必要があります。
- Application Segment。詳細は、APIを使用したApplication Segmentsの構成を参照してください。
- 資格情報ID。詳細は、「APIを使用した特権資格情報の設定」を参照してください。
- IdP。詳細は、APIを使用したIdP構成の詳細の取得を参照してください。
- SAML属性。詳細は、APIを使用したSAML属性の詳細の取得を参照してください。
- セグメント グループ。詳細については、APIを使用したセグメント グループの構成を参照してください。
- SCIM属性。詳細は、APIを使用したSCIM属性の詳細の取得を参照してください。
- SCIM属性値。詳細は、APIを使用したSCIM属性の詳細の取得を参照してください。
- SCIMグループ。詳細は、APIを使用したSCIMグループの詳細の取得を参照してください。
新規特権機能ルールの作成
このAPIは今後のリリースでは非推奨となり、ポリシー ルールを作成するための新規APIが提供されます。詳細は、「新規特権機能ルールV2の作成」を参照してください。
特定のポリシー セットおよび特定のcustomerIdに新規特権機能ルールを追加するには、以下の手順を実行します。
- ポリシー セット コントローラーの
/mgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule?microtenantId={microtenantId}エンドポイントにPOSTリクエストを送信します。 - 要求エンドポイントで以下を入力します。
customerId:顧客のZPAテナントID。- [
policySetId]:前提条件のAPIコールで取得されたグローバル ポリシー セットのID。 - [
microtenantId]: ZPAテナント用マイクロテナントの一意の識別子。詳細は、「APIを使用したマイクロテナントの設定」を参照してください。
例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/289370814522851333/rule?microtenantId=145260601092866116。
- リクエスト ヘッダーを含めて、要求コンテキストに関する次のパラメーターを指定します。
- コンテンツ タイプ:
application/json - 認可:
Bearer <access_token>
- JSONペイロード全体を使用し、リクエスト本文に次のパラメーターを指定します。
- [
name]:ルールの名前 - [
action]:機能ルールの処理(CHECK_CAPABILITIES) - [
capabilities]:特権ポリシーの機能のタイプ。このフィールドは、特権機能ポリシーを作成するときにリクエスト本文で渡す必要があります。サポートされている値は次のとおりです。- [
CLIPBOARD_COPY]: PRAクリップボード コピー機能を示します。 - [
CLIPBOARD_PASTE]: PRAクリップボードの貼り付け機能を示します。 - [
FILE_UPLOAD]:ファイル アップロード機能を有効にするPRAファイル転送機能を示します。 - [
FILE_DOWNLOAD]:ファイル ダウンロード機能を有効にするPRAファイル転送機能を示します。 - [
INSPECT_FILE_UPLOAD]: ZIAサンドボックス経由でファイルを検査し(ZIAクラウドと統合設定をセット アップしている場合)、検査後にファイルをアップロードします。 - [
INSPECT_FILE_DOWLNOAD]: ZIAサンドボックス経由でファイルを検査し(ZIAクラウドと統合設定をセット アップしている場合)、検査後にファイルをダウンロードします。 - [
MONITOR_SESSION]: PRAセッション監視機能を有効にするPRA監視機能を示します。 - [
RECORD_SESSION]: PRAセッション記録を有効にするPRAセッション記録機能を示します。 - [
SHARE_SESSION]: PRAセッション監視を有効にするPRAコントロール コントロールおよび監視機能を示します。
- [
- JSONペイロードを表示する閉じる
{
"policySetId":"<policySetId>",
"conditions":[
],
"name":"<policyName>",
"description":"<policyDescription>",
"action":"CHECK_CAPABILITIES",
"privilegedCapabilities":{
"capabilities":[
]
}
}
- サンプルのJSONペイロードを表示する
{
閉じる
"policySetId":"145260601092866124",
"conditions":[
{
"operands":[
{
"objectType":"APP",
"values":[
"145260601092866051"
]
},
{
"objectType":"APP_GROUP",
"values":[
"145260601092866489"
]
}
]
},
{
"operands":[
{
"objectType":"IDP",
"values":[
"145260601092866079"
]
}
],
"operator":"OR"
}
],
"name":"Scope A Policy-3",
"description":"Micro tenant A",
"action":"CHECK_CAPABILITIES",
"privilegedCapabilities":{
"capabilities":[
"FILE_UPLOAD",
"FILE_DOWNLOAD",
"INSPECT_FILE_UPLOAD",
"INSPECT_FILE_DOWNLOAD",
"CLIPBOARD_COPY",
"CLIPBOARD_PASTE",
"RECORD_SESSION",
"SHARE_SESSION",
"MONITOR_SESSION"
]
}
}
- 応答の例を表示する
{
閉じる
"id":"145260601092866511",
"modifiedTime":"1704898052",
"creationTime":"1704898052",
"modifiedBy":"72057594038606761",
"name":"Scope A Policy-3",
"microtenantId":"145260601092866116",
"description":"Micro tenant A",
"ruleOrder":"5",
"priority":"1",
"policyType":"7",
"operator":"AND",
"conditions":[
{
"id":"25240454",
"modifiedTime":"1704898052",
"creationTime":"1704898052",
"modifiedBy":"72057594038606761",
"microtenantId":"145260601092866116",
"operator":"OR",
"negated":false,
"operands":[
{
"id":"25240455",
"modifiedTime":"1704898052",
"creationTime":"1704898052",
"modifiedBy":"72057594038606761",
"microtenantId":"145260601092866116",
"objectType":"APP",
"lhs":"id",
"rhs":"145260601092866051",
"name":"Internal Application"
},
{
"id":"25240456",
"modifiedTime":"1704898052",
"creationTime":"1704898052",
"modifiedBy":"72057594038606761",
"microtenantId":"145260601092866116",
"objectType":"APP_GROUP",
"lhs":"id",
"rhs":"145260601092866489",
"name":"test-simha-sg"
}
]
},
{
"id":"25240457",
"modifiedTime":"1704898052",
"creationTime":"1704898052",
"modifiedBy":"72057594038606761",
"microtenantId":"145260601092866116",
"operator":"OR",
"negated":false,
"operands":[
{
"id":"25240458",
"modifiedTime":"1704898052",
"creationTime":"1704898052",
"modifiedBy":"72057594038606761",
"microtenantId":"145260601092866116",
"objectType":"IDP",
"lhs":"id",
"rhs":"145260601092866079",
"name":"Contractors SSO"
}
]
}
],
"action":"CHECK_CAPABILITIES",
"policySetId":"145260601092866124",
"privilegedCapabilities":{
"capabilities":[
"FILE_UPLOAD",
"FILE_DOWNLOAD",
"INSPECT_FILE_UPLOAD",
"INSPECT_FILE_DOWNLOAD",
"CLIPBOARD_COPY",
"CLIPBOARD_PASTE",
"RECORD_SESSION",
"SHARE_SESSION",
"MONITOR_SESSION"
]
},
"defaultRule":false,
"defaultRuleName":"null-145260601092866116"
}
応答が成功すると、コード201が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。
JSONペイロードに含めるポリシー条件を選択します。サポートされている値については、フィールドの説明セクションを参照してください。
新規特権機能ルールV2の作成
新規特権機能ルールを作成するには、以下の手順を実行します。
- ポリシー セット コントローラーの
/mgmtconfig/v2/admin/customers/{customerId}/policySet/{policySetId}/rule?microtenantId={microtenantId}エンドポイントにPOSTリクエストを送信します。 - 要求エンドポイントで以下を入力します。
customerId:顧客のZPAテナントID。- [
policySetId]:前提条件のAPIコールで取得されたグローバル ポリシー セットのID。 - [
microtenantId]: ZPAテナント用マイクロテナントの一意の識別子。詳細は、「APIを使用したマイクロテナントの設定」を参照してください。
例:/mgmtconfig/v2/admin/customers/289370814522851328/policySet/289370814522851333/rule?microtenantId=145260601092866116。
- リクエスト ヘッダーを含めて、要求コンテキストに関する次のパラメーターを指定します。
- コンテンツ タイプ:
application/json - 認可:
Bearer <access_token>
- JSONペイロード全体を使用し、リクエスト本文に次のパラメーターを指定します。
- [
name]:ルールの名前 - [
action]:機能ルールの処理(CHECK_CAPABILITIES) - [
capabilities]:特権ポリシーの機能のタイプ。このフィールドは、特権機能ポリシーを作成するときにリクエスト本文で渡す必要があります。サポートされている値は次のとおりです。- [
CLIPBOARD_COPY]: PRAクリップボード コピー機能を示します。 - [
CLIPBOARD_PASTE]: PRAクリップボードの貼り付け機能を示します。 - [
FILE_UPLOAD]:ファイル アップロード機能を有効にするPRAファイル転送機能を示します。 - [
FILE_DOWNLOAD]:ファイル ダウンロード機能を有効にするPRAファイル転送機能を示します。 - [
INSPECT_FILE_UPLOAD]: ZIAサンドボックス経由でファイルを検査し(ZIAクラウドと統合設定をセット アップしている場合)、検査後にファイルをアップロードします。 - [
INSPECT_FILE_DOWLNOAD]: ZIAサンドボックス経由でファイルを検査し(ZIAクラウドと統合設定をセット アップしている場合)、検査後にファイルをダウンロードします。 - [
MONITOR_SESSION]: PRAセッション監視機能を有効にするPRA監視機能を示します。 - [
RECORD_SESSION]: PRAセッション記録を有効にするPRAセッション記録機能を示します。 - [
SHARE_SESSION]: PRAセッション監視を有効にするPRAコントロール コントロールおよび監視機能を示します。
- [
- JSONペイロードを表示する
閉じる{ "policySetId": "<policy set ID>", "conditions": [ { "operands": [ { "objectType": "APP", "values": [ "<application ID>" ] } ] } ], "name": "<example policy rule name>", "description": "<example description>", "action": "CHECK_CAPABILITIES", "privilegedCapabilities": { "capabilities": [ "FILE_UPLOAD" ] } }
- 応答の例を表示する
閉じる{ "id":"145260601092866511", "modifiedTime":"1704898052", "creationTime":"1704898052", "modifiedBy":"72057594038606761", "name":"Scope A Policy-3", "microtenantId":"145260601092866116", "description":"Micro tenant A", "ruleOrder":"5", "priority":"1", "policyType":"7", "operator":"AND", "conditions":[ { "id":"25240454", "modifiedTime":"1704898052", "creationTime":"1704898052", "modifiedBy":"72057594038606761", "microtenantId":"145260601092866116", "operator":"OR", "negated":false, "operands":[ { "id":"25240455", "modifiedTime":"1704898052", "creationTime":"1704898052", "modifiedBy":"72057594038606761", "microtenantId":"145260601092866116", "objectType":"APP", "lhs":"id", "rhs":"145260601092866051", "name":"Internal Application" }, { "id":"25240456", "modifiedTime":"1704898052", "creationTime":"1704898052", "modifiedBy":"72057594038606761", "microtenantId":"145260601092866116", "objectType":"APP_GROUP", "lhs":"id", "rhs":"145260601092866489", "name":"test-simha-sg" } ] }, { "id":"25240457", "modifiedTime":"1704898052", "creationTime":"1704898052", "modifiedBy":"72057594038606761", "microtenantId":"145260601092866116", "operator":"OR", "negated":false, "operands":[ { "id":"25240458", "modifiedTime":"1704898052", "creationTime":"1704898052", "modifiedBy":"72057594038606761", "microtenantId":"145260601092866116", "objectType":"IDP", "lhs":"id", "rhs":"145260601092866079", "name":"Contractors SSO" } ] } ], "action":"CHECK_CAPABILITIES", "policySetId":"145260601092866124", "privilegedCapabilities":{ "capabilities":[ "FILE_UPLOAD", "FILE_DOWNLOAD", "INSPECT_FILE_UPLOAD", "INSPECT_FILE_DOWNLOAD", "CLIPBOARD_COPY", "CLIPBOARD_PASTE", "RECORD_SESSION", "SHARE_SESSION", "MONITOR_SESSION" ] }, "defaultRule":false, "defaultRuleName":"null-145260601092866116" }
応答が成功すると、コード201が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。
新規特権資格情報ルールの作成
このAPIは今後のリリースでは非推奨となり、ポリシー ルールを作成するための新規APIが提供されます。詳細は、「新規特権資格情報ルールV2の作成」を参照してください。
特定のポリシー セットおよび特定のcustomerIdに新しい特権資格情報ルールを追加するには、以下の手順を実行します。
- ポリシー セット コントローラーの
/mgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule?microtenantId={microtenantId}エンドポイントにPOSTリクエストを送信します。 - 要求エンドポイントで以下を入力します。
customerId:顧客のZPAテナントID。- [
policySetId]:前提条件のAPIコールで取得されたグローバル ポリシー セットのID。 - [
microtenantId]: ZPAテナント用マイクロテナントの一意の識別子。詳細は、「APIを使用したマイクロテナントの設定」を参照してください。
例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/289370814522851333/rule?microtenantId=145260601092866116。
- リクエスト ヘッダーを含めて、要求コンテキストに関する次のパラメーターを指定します。
- コンテンツ タイプ:
application/json - 認可:
Bearer <access_token>
- JSONペイロード全体を使用し、リクエスト本文に次のパラメーターを指定します。
- [
name]:ルールの名前 - [
action]:ルールの処理(INJECT_CREDENTIALS) - [
id]:特権資格情報のID。詳細は、「APIを使用した特権資格情報の設定」を参照してください。
- JSONペイロードを表示する閉じる
{
"policySetId":"<policySetId>",
"conditions":[
{
"operands":[
{
"objectType":"CONSOLE",
"values":[
"145260601092866444"
]
}
]
}
],
"name":"<policyName>",
"description":"<policyDescription>",
"action":"INJECT_CREDENTIALS",
"credential":{
"id":"11534",
"name":".116 RDP Credentials"
}
}
- サンプルのJSONペイロードを表示する
{
閉じる
"policySetId":"145260601092866125",
"conditions":[
{
"operands":[
{
"objectType":"CONSOLE",
"values":[
"145260601092866444"
]
}
]
}
],
"name":"Scope A RDP policy",
"description":"Microtenat A policy",
"action":"INJECT_CREDENTIALS",
"credential":{
"id":"11534",
"name":".116 RDP Credentials"
}
}
- 応答の例を表示する
{
閉じる
"id":"145260601092866557",
"modifiedTime":"1705987890",
"creationTime":"1705987890",
"modifiedBy":"72057594038606761",
"name":"Testing-user",
"scopeId":"145260601092866116",
"description":"testing",
"ruleOrder":"4",
"priority":"1",
"policyType":"8",
"operator":"AND",
"conditions":[
{
"id":"25243672",
"modifiedTime":"1705987890",
"creationTime":"1705987890",
"modifiedBy":"72057594038606761",
"scopeId":"145260601092866116",
"operator":"OR",
"negated":false,
"operands":[
{
"id":"25243673",
"modifiedTime":"1705987890",
"creationTime":"1705987890",
"modifiedBy":"72057594038606761",
"scopeId":"145260601092866116",
"objectType":"CONSOLE",
"lhs":"id",
"rhs":"145260601092866269",
"name":"ExampleUser-approval-rdp.com"
}
]
}
],
"action":"INJECT_CREDENTIALS",
"credential":{
"id":"11534",
"name":".116 RDP Credentials"
},
"policySetId":"145260601092866125",
"privilegedCapabilities":{
},
"defaultRule":false,
"defaultRuleName":"null-145260601092866116"
}
応答が成功すると、コード201が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。
JSONペイロードに含めるポリシー条件を選択します。サポートされている値については、フィールドの説明セクションを参照してください。
新規特権認証情報ルールV2の作成
特定のポリシー セットおよび特定のcustomerIdに新しい特権資格情報ルールを追加するには、以下の手順を実行します。
- ポリシー セット コントローラーの
/mgmtconfig/v2/admin/customers/{customerId}/policySet/{policySetId}/rule?microtenantId={microtenantId}エンドポイントにPOSTリクエストを送信します。 - 要求エンドポイントで以下を入力します。
customerId:顧客のZPAテナントID。- [
policySetId]:前提条件のAPIコールで取得されたグローバル ポリシー セットのID。 - [
microtenantId]: ZPAテナント用マイクロテナントの一意の識別子。詳細は、「APIを使用したマイクロテナントの設定」を参照してください。
例:/mgmtconfig/v2/admin/customers/289370814522851328/policySet/289370814522851333/rule?microtenantId=145260601092866116。
- リクエスト ヘッダーを含めて、要求コンテキストに関する次のパラメーターを指定します。
- コンテンツ タイプ:
application/json - 認可:
Bearer <access_token>
- JSONペイロード全体を使用し、リクエスト本文に次のパラメーターを指定します。
- [
name]:ルールの名前 - [
action]:ルールの処理(INJECT_CREDENTIALS) - [
id]:特権資格情報のID。詳細は、「APIを使用した特権資格情報の設定」を参照してください。
- JSONペイロードを表示する
閉じる{ "policySetId": "72057594038624156", "conditions": [ { "operands": [ { "objectType": "CONSOLE", "values": [ "72057594038071247" ] } ] } ], "name": "credential-policy", "description": "Credential Policy", "action": "INJECT_CREDENTIALS", "disabled": "0", "credential": { "id": "47", "name": "test" } }
- 応答の例を表示する
閉じる{ "id":"145260601092866557", "modifiedTime":"1705987890", "creationTime":"1705987890", "modifiedBy":"72057594038606761", "name":"Testing-user", "scopeId":"145260601092866116", "description":"testing", "ruleOrder":"4", "priority":"1", "policyType":"8", "operator":"AND", "conditions":[ { "id":"25243672", "modifiedTime":"1705987890", "creationTime":"1705987890", "modifiedBy":"72057594038606761", "scopeId":"145260601092866116", "operator":"OR", "negated":false, "operands":[ { "id":"25243673", "modifiedTime":"1705987890", "creationTime":"1705987890", "modifiedBy":"72057594038606761", "scopeId":"145260601092866116", "objectType":"CONSOLE", "lhs":"id", "rhs":"145260601092866269", "name":"ExampleUser-approval-rdp.com" } ] } ], "action":"INJECT_CREDENTIALS", "credential":{ "id":"11534", "name":".116 RDP Credentials" }, "policySetId":"145260601092866125", "privilegedCapabilities":{ }, "defaultRule":false, "defaultRuleName":"null-145260601092866116" }
応答が成功すると、コード201が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。
特定の特権ルールの詳細の取得
特定のアクセス ルールの詳細を取得する前に、前提条件のAPIコールでキャプチャーされたpolicySetIdを取得する必要があります。
特定の特権ルールの詳細を取得するには、以下の手順を実行します。
- ポリシー セット コントローラーの
/mgmtconfig/v1/admin/customers/{customerId}/policySet/rules/policyType/{policyType}?microtenantId={microtenantId}エンドポイントにGETリクエストを送信します。 - 要求エンドポイントに次の値を入力します。
customerId:顧客のZPAテナントID。- [
policySetId]:前提条件となるAPIコールでキャプチャーされたグローバル ポリシー セットのID。 - [
ruleId]:「新規特権機能ルールの作成」または「新規特権資格情報ルールの作成」で作成したルールのID。 - [
microtenantId]: ZPAテナント用マイクロテナントの一意の識別子。詳細は、「APIを使用したマイクロテナントの設定」を参照してください。
例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/rules/policyType/CREDENTIAL_POLICY?microtenantId=145260601092866116。
- 応答の例を表示する
{
閉じる
"totalPages":"1",
"totalCount":"0",
"list":[
{
"id":"145260601092866378",
"modifiedTime":"1699520116",
"creationTime":"1699520116",
"modifiedBy":"72057594038068982",
"name":"Scope A Ssh policy",
"microtenantId":"145260601092866116",
"ruleOrder":"1",
"priority":"2",
"policyType":"8",
"operator":"AND",
"conditions":[
{
"id":"25157962",
"modifiedTime":"1699520116",
"creationTime":"1699520116",
"modifiedBy":"72057594038068982",
"microtenantId":"145260601092866116",
"operator":"OR",
"negated":false,
"operands":[
{
"id":"25157963",
"modifiedTime":"1699520116",
"creationTime":"1699520116",
"modifiedBy":"72057594038068982",
"microtenantId":"145260601092866116",
"objectType":"CONSOLE",
"lhs":"id",
"rhs":"145260601092866270",
"name":"ExampleUser-ssh.com"
},
{
"id":"25157964",
"modifiedTime":"1699520116",
"creationTime":"1699520116",
"modifiedBy":"72057594038068982",
"microtenantId":"145260601092866116",
"objectType":"CONSOLE",
"lhs":"id",
"rhs":"145260601092866374",
"name":"ExampleUser-ssh.com"
}
]
}
],
"action":"INJECT_CREDENTIALS",
"credential":{
"id":"11608",
"name":"Example User SSH"
},
"defaultRule":false,
"defaultRuleName":"null-145260601092866116",
"restrictedEntity":false
},
{
"id":"145260601092866507",
"modifiedTime":"1704878956",
"creationTime":"1704878956",
"modifiedBy":"72057594038073668",
"name":"Scope A RDP",
"microtenantId":"145260601092866116",
"ruleOrder":"2",
"priority":"1",
"policyType":"8",
"operator":"AND",
"conditions":[
{
"id":"25240409",
"modifiedTime":"1704878956",
"creationTime":"1704878956",
"modifiedBy":"72057594038073668",
"microtenantId":"145260601092866116",
"operator":"OR",
"negated":false,
"operands":[
{
"id":"25240410",
"modifiedTime":"1704878956",
"creationTime":"1704878956",
"modifiedBy":"72057594038073668",
"microtenantId":"145260601092866116",
"objectType":"CONSOLE",
"lhs":"id",
"rhs":"145260601092866269",
"name":"ExampleUser-approval-rdp.com"
}
]
}
],
"action":"INJECT_CREDENTIALS",
"credential":{
"id":"11534",
"name":".116 RDP Credentials"
},
"defaultRule":false,
"defaultRuleName":"null-145260601092866116",
"restrictedEntity":false
}
]
}
レスポンスが成功すると、コード200が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。
特権機能ポリシー ルールの更新
このAPIは今後のリリースでは非推奨となり、ポリシー ルールを作成するための新規APIが提供されます。詳細は、「特権機能ポリシー ルールV2の更新」を参照してください。
ポリシー セット内の特権機能ポリシー ルールの詳細を更新するには、以下の手順を実行します。
- 前提条件のAPIコールでキャプチャーされた
policySetIdを取得します。 - 「新規特権機能ルールの作成」からのJSONペイロード全体を使用し、ポリシー セット コントローラーの
/mgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}?microtenantId={microtenantId}エンドポイントにPUTリクエストを送信します。 - 要求エンドポイントに次の値を入力します。
customerId:顧客のZPAテナントID。- [
policySetId]:前提条件のAPIコールでキャプチャーされたグローバル ポリシー セットのID。 - [
ruleId]:「新規特権機能ルールの作成」で作成したルールのID。 - [
microtenantId]: ZPAテナント用マイクロテナントの一意の識別子。詳細は、「APIを使用したマイクロテナントの設定」を参照してください。
例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/289370814522851333/rule/289370814522851657?microtenantId=145260601092866116。
- JSONペイロードを表示する
閉じる{ "policySetId":"145260601092866124", "conditions":[ ], "name":"Scope A Policy-2", "description":"Micro tenant A", "action":"CHECK_CAPABILITIES", "privilegedCapabilities":{ "capabilities":[ ] } }
- サンプルのJSONペイロードを表示する
閉じる{ "policySetId":"145260601092866124", "id":"145260601092866509", "conditions":[ { "operands":[ { "objectType":"APP", "values":[ "145260601092866051" ] }, { "objectType":"APP_GROUP", "values":[ "145260601092866131" ] } ] }, { "operands":[ { "objectType":"IDP", "values":[ "145260601092866067" ] } ], "operator":"OR" } ], "name":"Scope A policy-1", "description":"Scope A policy", "action":"CHECK_CAPABILITIES", "privilegedCapabilities":{ "capabilities":[ "FILE_UPLOAD", "FILE_DOWNLOAD", "INSPECT_FILE_UPLOAD", "INSPECT_FILE_DOWNLOAD", "CLIPBOARD_COPY", "CLIPBOARD_PASTE", "RECORD_SESSION", "SHARE_SESSION", "MONITOR_SESSION", "CONTROL_SESSION" ] } }
JSONペイロードに含めるポリシー条件を選択します。サポートされている値の詳細は、[フィールドの説明]セクションを参照してください。
レスポンスが成功すると、特権資格情報が更新されることを意味するコード204が返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。
特権機能ポリシー ルールV2の更新
ポリシー セット内の特権機能ポリシー ルールの詳細を更新するには、以下の手順を実行します。
- 前提条件のAPIコールでキャプチャーされた
policySetIdを取得します。 - 「新規特権機能ルールの作成」からのJSONペイロード全体を使用し、ポリシー セット コントローラーの
/mgmtconfig/v2/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}?microtenantId={microtenantId}エンドポイントにPUTリクエストを送信します:。 - 要求エンドポイントに次の値を入力します。
customerId:顧客のZPAテナントID。- [
policySetId]:前提条件のAPIコールでキャプチャーされたグローバル ポリシー セットのID。 - [
ruleId]:「新規特権機能ルールの作成」で作成したルールのID。 - [
microtenantId]: ZPAテナント用マイクロテナントの一意の識別子。詳細は、「APIを使用したマイクロテナントの設定」を参照してください。
例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/289370814522851333/rule/289370814522851657?microtenantId=145260601092866116。
- JSONペイロードを表示する
閉じる{ "policySetId": "<policy set ID>", "id": "<rule ID>", "conditions": [ { "operands": [ { "objectType": "APP", "values": [ "<application ID>" ] } ] } ], "name": "capabilities-policy", "description": "Capabilities Policy", "action": "CHECK_CAPABILITIES", "privilegedCapabilities": { "capabilities": [ "FILE_UPLOAD", "FILE_DOWNLOAD" ] } }
レスポンスが成功すると、特権資格情報が更新されることを意味するコード204が返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。
特権資格情報ポリシールールの更新
このAPIは今後のリリースでは非推奨となり、ポリシー ルールを作成するための新規APIが提供されます。詳細は、「特権資格情報ポリシー ルールV2の更新」を参照してください。
ポリシー セット内の特権認証情報ポリシー ルールの詳細を更新するには、以下の手順を実行します。
- 前提条件のAPIコール でキャプチャーされた
policySetIdを取得します。 - 「新規特権資格情報ルールの作成」からのJSONペイロード全体を使用し、ポリシー セット コントローラーの
/mgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}?microtenantId={microtenantId}エンドポイントにPUTリクエストを送信します。 - 要求エンドポイントに次の値を入力します。
customerId:顧客のZPAテナントID。- [
policySetId]:前提条件のAPIコールでキャプチャーされたグローバル ポリシー セットのID。 - [
ruleId]:「新規特権資格情報ルールの作成」で作成したルールのID。 - [
microtenantId]: ZPAテナント用マイクロテナントの一意の識別子。詳細は、「APIを使用したマイクロテナントの設定」を参照してください。
例:/mgmtconfig/v1/admin/customers/289370814522851328/policySet/289370814522851333/rule/289370814522851657?microtenantId=145260601092866116。
- JSONペイロードを表示する閉じる
{
"policySetId":"145260601092866125",
"id":"145260601092866512",
"conditions":[
{
"operands":[
{
"objectType":"IDP",
"values":[
"145260601092866067"
]
}
],
"operator":"OR"
},
{
"operands":[
{
"objectType":"CONSOLE",
"values":[
"145260601092866444"
]
}
]
}
],
"name":"Scope A RDP policy",
"description":"Microtenat A policy",
"action":"INJECT_CREDENTIALS",
"credential":{
"id":"11534",
"name":".116 RDP Credentials"
}
}
JSONペイロードに含めるポリシー条件を選択します。サポートされている値の詳細は、[フィールドの説明]セクションを参照してください。
レスポンスが成功すると、アクセス ルールが更新されたことを意味するコード204が返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。
特権資格情報ポリシー ルールV2の更新
ポリシー セット内の特権認証情報ポリシー ルールの詳細を更新するには、以下の手順を実行します。
- 前提条件のAPIコールでキャプチャーされた
policySetIdを取得します。 - 「新規特権資格情報ルールの作成」からのJSONペイロード全体を使用し、ポリシー セット コントローラーの
/mgmtconfig/v2/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}?microtenantId={microtenantId}エンドポイントにPUTリクエストを送信します。 - 要求エンドポイントに次の値を入力します。
customerId:顧客のZPAテナントID。- [
policySetId]:前提条件のAPIコールでキャプチャーされたグローバル ポリシー セットのID。 - [
ruleId]:「新規特権資格情報ルールの作成」で作成したルールのID。 - [
microtenantId]: ZPAテナント用マイクロテナントの一意の識別子。詳細は、「APIを使用したマイクロテナントの設定」を参照してください。
例:/mgmtconfig/v2/admin/customers/289370814522851328/policySet/289370814522851333/rule/289370814522851657?microtenantId=145260601092866116。
- JSONペイロードを表示する
閉じる{ "policySetId": "<policy set ID>", "id": "<rule ID>", "conditions": [ { "operands": [ { "objectType": "CONSOLE", "values": [ "<privileged console ID>" ] } ] } ], "name": "<privileged console name>", "description": "<example description>", "action": "INJECT_CREDENTIALS", "disabled": "0", "credential": { "id": "<privileged credential ID>", "name": "<privileged credential name>" } }
レスポンスが成功すると、アクセス ルールが更新されたことを意味するコード204が返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。
ルールの順序の更新
ルールの順序を更新する手順は次の通りです。
- ポリシー セット コントローラーの
mgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}/reorder/{newOrder}エンドポイントにPUTリクエストを送信します。 - 要求エンドポイントで次のパラメーターを入力します。
customerId:顧客のZPAテナントID。policySetId:ポリシーセットのID。ruleId:ルールのID。newOrder:ルールの新しい順序。
次に例を示します:mgmtconfig/v1/admin/customers/72057594037927936/policySet/72057594037938994/rule/72057615512764641/reorder/4。
レスポンスが成功すると、ルールの順序が更新されることを意味するコード204が返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。
ポリシー セット内のすべてのルールのルール順序を更新する機能も利用できます。詳細は、「APIを使用したアクセス ポリシーの設定」を参照してください。
特権ルールの削除
特権ルールを削除するには、以下の手順を実行します。
- ポリシー セット コントローラーの
/mgmtconfig/v1/admin/customers/{customerId}/policySet/{policySetId}/rule/{ruleId}エンドポイントにDELETEリクエストを送信します。 - リクエスト本文で次のキーと値のペアを指定します。
customerId:顧客のZPAテナントID。- [
policySetId]:前提条件のAPIコールでキャプチャーされたグローバル ポリシーセットのID。 - [
ruleId] :「新規特権ルールの作成」で作成したルールのID。
例:/mgmtconfig/v1/admin/customers/72057615512764416/policySet/72057615512764421/rule/72057615512764594。
レスポンスが成功すると、特権ポリシー ルールが削除されたことを意味するコード204を返されます。詳細は、「APIレスポンス コードとエラー メッセージ」を参照してください。
特権ポリシーがZscaler デセプションを使用して設定されている場合、更新および削除のオプションは使用できません。
すべてのクライアントタイプの詳細の取得
すべてのクライアント タイプの詳細を取得する手順は次の通りです。
- ポリシー セット コントローラーのエンドポイント
/mgmtconfig/v1/admin/customers/{customerId}/clientTypesにGETリクエストを送信します。 - リクエストエンドポイントで、顧客のZPAテナントIDである
customerIdを提供します。次に例を示します。/mgmtconfig/v1/admin/customers/217246660302995456/clientTypes。
レスポンスが成功すると、コード200が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。
顧客のプラットフォームタイプの取得
顧客用のプラットフォーム タイプを取得する手順は次の通りです。
- ポリシー セット コントローラーのエンドポイント
/mgmtconfig/v1/admin/customers/{customerId}/platformにGETリクエストを送信します。 - リクエスト エンドポイントで、顧客のZPAテナントIDである
customerIdを提供します。例:/mgmtconfig/v1/admin/customers/217246660302995456/platform。
レスポンスが成功すると、コード200が返されます。詳細は、APIレスポンス コードとエラー メッセージを参照してください。
フィールド説明の追加
次のテーブルには、特権ポリシーのユース ケースで使用できるフィールドの説明が含まれています。
| フィールド | 説明 | 必須 | 値 |
|---|---|---|---|
| 名前 | これはルールの名前です | はい | 文字列 |
| 説明 | これはルールの説明です | いいえ | 文字列 |
| アクション | これは、ルール アクションを提供するためのものです | はい | 文字列 サポートされている値:
|
| capabilties | 特権ポリシーの機能のタイプを示します。 | はい | 文字列 サポートされている値:
|
| customerMsg | これは、ユーザーに顧客メッセージを提供するためのものです | いいえ | 文字列 |
| 条件 | これは、ポリシーの条件セットを提供するためのものです。 | いいえ | 被演算子の配列 |
| operands | これは、さまざまなポリシー条件を表します | いいえ | 属性の配列(objectType, lhs, rhs, name) |
| objectType | これは、ポリシー条件を指定するためのものです | いいえ | サポートされている値:
|
| lhs | これは、オブジェクト タイプのキーを表します | いいえ | 文字列IDの例:"id" |
| rhs | これは、所定のオブジェクト タイプの値を表します。その値はキーによって異なります。 | いいえ | APP、APP_GROUP、IDP、SAML、SCIM、SCIM_GROUPの場合、サポートされる値は<entity id>です。 |
| 演算子 | これは、演算のタイプを表します。 | いいえ | サポートされている値:AND、OR。 |
| microtenantId | ZPAテナント用マイクロテナントの一意の識別子。マイクロテナント内にいる場合は、そのマイクロテナントからデータを取得するAPIコールを行うときにmicrotenantIdフィールドを渡す必要があります。microtenantIdを[APIキー]ページで取得することも、ZPAクラウドサービスAPIを使用してプログラムで取得することもできます。マイクロテナント内にいる場合、特定の操作へのアクセスは制限されます。デフォルトのマイクロテナント内にいる場合は、デフォルトのマイクロテナントからデータを取得するリクエストを行うときにmicrotenantIdを0として渡します。リソースの作成または更新時にmicrotenantIdがリクエスト エンドポイントで渡されない場合、リソースはデフォルトのマイクロテナントで作成または更新されます。詳細は、「APIを使用したマイクロテナントの設定」を参照してください。 | いいえ | 整数 |
LHS値とRHS値の包括的なテーブルについては、APIを使用したアクセス ポリシーの構成を参照してください。