ローカルエンドポイント

対象: スクリプトやツールからエージェントに対して管理タスク (ヘルスチェック、プラグイン制御、ジョブ、設定など) を実行するIT管理者向けです。

概要

エンドポイント特権マネージャーはlocalhost専用のHTTP/HTTPS API (既定ポートはHTTP 6888、HTTPS 6889) を公開します。ヘルスチェック、プラグインの開始/停止/再起動、ジョブの一覧とトリガー、設定およびプラグイン設定、登録、その他の管理操作に利用します。エンドポイントはいずれもマシンローカルであり、ネットワークに公開することを想定していません。

ベースURL:

HTTP: http://127.0.0.1:6888
- HTTP から HTTPS へ自動リダイレクト
HTTPS: https://127.0.0.1:6889
- 通信はローカルマシン内のみで行われるため、エンドポイント特権マネージャーが証明書のライフサイクルと検証を自動で管理します。証明書はメモリ上に保持され (ディスクには書き込まない)、内部でローテーションされ、サービス起動のたびに新しい証明書が生成されます。

認証レベル:

公開: 認証なし (ヘルス、ルート、システムステータス)
プラグイン: 呼び出し元がエンドポイント特権マネージャーにより起動されたプロセスで、有効な証明書を持つこと (例: プラグイン、ジョブ)
昇格管理者: 呼び出し元が管理者権限を持つ (または信頼されたシステムプロセスである) こと、および有効な証明書を持つこと

多くの管理操作はプラグインまたは管理者を要します。手動で実行するスクリプトでは多くの場合管理者を使用します (例: 昇格したPowerShellから、またはrootとして)。証明書ベースの呼び出しでは、スクリプト用のクライアント証明書が製品から提供される場合があります。デプロイのドキュメントをご参照ください。

公開エンドポイント (認証なし)

監視および基本的な確認に使用します。

メソッド

パス

説明

GET

/health

ヘルスチェック。ステータス (例: healthy)、タイムスタンプ、バージョンを返す

GET

/

ルート。サービス名、ステータス、バージョン

GET

/api/system/status

システムステータス: 実行中、プラグイン数、ジョブ数 (合計/有効)

例:

curl -k https://localhost:6889/health
curl -k https://localhost:6889/
curl -k https://localhost:6889/api/system/status

プラグイン管理

メソッド

パス

認証

説明

GET

/api/plugins

プラグイン

すべてのプラグインを一覧表示 (id、名前、ステータス、processId、lastStartTime)

POST

/api/plugins/{name}/start

管理者

プラグインを開始

POST

/api/plugins/{name}/stop

管理者

プラグインを停止

POST

/api/plugins/{name}/restart

管理者

プラグインを再起動

{name} をプラグインID (例: KeeperPolicy、KeeperAPI) に置き換えます。プラグインが固まったあとやプラグイン構成を変更したあとの復旧に使用します。

ジョブ管理

メソッド

パス

認証

説明

GET

/api/Jobs

プラグイン

登録済みジョブをすべて一覧表示 (id、名前、有効、スケジュール、最終実行)

GET

/api/Jobs/{jobId}

プラグイン

IDで1件のジョブを取得

POST

/api/Jobs

管理者

ジョブを作成 (JSONボディ)

PUT

/api/Jobs/{jobId}

管理者

ジョブを更新

DELETE

/api/Jobs/{jobId}

管理者

ジョブを削除

POST

/api/Jobs/{jobId}/run

管理者

ジョブを直ちに実行

POST

/api/Jobs/{jobId}/trigger

管理者

イベントコンテキスト付きでジョブをトリガー (JSONボディ)

POST

/api/Jobs/validate

管理者

ジョブJSONを検証 (POSTボディ=ジョブJSON)

オンデマンド実行にはrunまたはtriggerを、ジョブの作成・更新前にはvalidateを使用します。

設定

プラグイン設定

メソッド

パス

認証

説明

GET

/api/PluginSettings/{pluginName}

プラグイン

プラグインのすべての設定を取得

GET

/api/PluginSettings/{pluginName}/{settingName}

プラグイン

プラグイン設定を1件取得

PUT

/api/PluginSettings/{pluginName}/{settingName}

管理者

プラグイン設定を1件更新 (ボディ=値)

POST

/api/PluginSettings/revert-all

管理者

ディスク上の各JSONファイルからすべてのプラグイン設定を再インポート

POST

/api/PluginSettings/{pluginName}/revert

管理者

1つのプラグインの設定をそのJSONファイルから再インポート

プラグインのJSONファイルを編集したあとや、ポリシーで構成をプッシュしたあとは、メモリ上の設定をディスクと一致させるためにrevertまたはrevert-allを使用します。

Keeper登録

メソッド

パス

認証

説明

GET

/api/Keeper/registration

プラグイン

エージェント登録ステータスを取得 (AgentUID、IsRegistered、Hostnameなど)

POST

/api/Keeper/register

管理者 (一部のデプロイでは公開)

エージェントを登録。クエリパラメータ token=... (および任意の force=true)

POST

/api/Keeper/unregister

管理者

エージェントの登録を解除

例 (登録):

curl -X POST "https://localhost:6889/api/Keeper/register?token=YOUR_TOKEN" -k

その他のエンドポイント群

APIには次のエンドポイントも含まれます。

監査: 監査イベントのGET/POST
通知: 通知の送信
ファイルアクセス: ファイルアクセスの要求、付与、取り消し、履歴
ユーザーセッション: ユーザーセッションでのプロセス起動、起動の検証
一時アカウント: 一時アカウントの起動、一覧/削除、クリーンアップ
コントロール: コントロール要求、承認、承認済み要求の起動
認証情報: リスク評価用認証情報の保存/取得/削除
パス変数: カスタムパス変数の作成/更新/削除 (有効な場合)

正確なパスおよびリクエスト/レスポンスの形は製品のAPIに従います。上記の表は最も一般的な管理タスクをまとめたものです。スクリプトではHTTPSを使用し、403 (認証) および404 (見つからない) を扱い、必要に応じて管理者または適切な証明書を使用します。

前へジョブとプラグイン: 設定キー次へローカリゼーションサービス

最終更新 8 日前