はじめに
このドキュメントでは、OpenAPIを使用してCisco Identity Services Engine(ISE)ポリシーを管理する手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Identity Services Engine(ISE)
- REST API
- Python
使用するコンポーネント
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Cisco ISE 3.1以降では、新しいAPIがOpenAPI形式で使用できます。管理ポリシーは、相互運用性の強化、自動化の効率性の向上、セキュリティの強化、イノベーションの促進、コストの削減によって、ネットワークのセキュリティと管理を最適化します。このポリシーにより、ISEは他のシステムとシームレスに統合し、自動化された設定と管理を実現し、きめ細かなアクセス制御を行い、サードパーティのイノベーションを促進し、管理プロセスを簡素化します。その結果、メンテナンスコストを削減し、投資回収率を向上させることができます。
設定
ネットワーク図
トポロジ
ISEでの設定
ステップ 1:anOpenAPI admin アカウントを追加します。
API管理者を追加するには、Administration > System > Admin Access > Administrators > Admin Users > Addの順に移動します。
API管理者
ステップ 2:ISEでOpenAPIを有効にします。
ISEでは、オープンAPIはデフォルトで無効になっています。これを有効にするには、Administration > System > Settings > API Settings > API Service Settingsの順に選択します。OpenAPIオプションを切り替えます。[Save] をクリックします。
OpenAPIを有効にする
ステップ 3:ISE OpenAPIを確認します。
Administration > System > Settings > API Settings > Overviewの順に移動します。OpenAPIをクリックしてリンクにアクセスします。
OpenAPIにアクセス
Pythonの例
デバイス管理者 – ポリシーセットのリスト
このAPIは、デバイス管理ポリシーセット情報を取得します。
ステップ 1:APIコールに必要な情報。
メソッド |
GET |
URL |
https://<ISE-PAN-IP>/api/v1/policy/device-admin/policy-set
|
Credentials |
OpenAPIアカウントの資格情報を使用します。 |
ヘッダー |
Accept:application/json(アプリケーション/json)
コンテンツタイプ:application/json
|
ステップ 2:デバイス管理ポリシーセット情報の取得に使用されるURLを見つけます。
API URI(API URI)
ステップ 3:これはPythonコードの例です。 内容をコピーして貼り付けます。ISE IP、ユーザ名、およびパスワードを置き換えます。実行するPythonファイルとして保存します。
ISEとPythonコード例を実行しているデバイスの間の接続が良好であることを確認します。
from requests.auth import HTTPBasicAuth
import requests
requests.packages.urllib3.disable_warnings()
if __name__ == "__main__":
url = "https://10.106.33.92/api/v1/policy/device-admin/policy-set"
headers = {"Accept": "application/json", "Content-Type": "application/json"}
basicAuth = HTTPBasicAuth("ApiAdmin", "Admin123")
response = requests.get(url=url, auth=basicAuth, headers=headers, verify=False)
print("Return Code:")
print(response.status_code)
print("Expected Outputs:")
print(response.json())
次に、予想される出力の例を示します。
Return Code:
200
Expected Outputs:
{'version': '1.0.0', 'response': [{'default': True, 'id': '41ed8579-429b-42a8-879e-61861cb82bbf', 'name': 'Default', 'description': 'Tacacs Default policy set', 'hitCounts': 0, 'rank': 0, 'state': 'enabled', 'condition': None, 'serviceName': 'Default Device Admin', 'isProxy': False, 'link': {'rel': 'self', 'href': 'https://10.106.33.92/api/v1/policy/device-admin/policy-set/41ed8579-429b-42a8-879e-61861cb82bbf', 'type': 'application/json'}}]}
デバイス管理者 – 認証ルールの取得
このAPIは、特定のポリシーセットの認証ルールを取得します。
ステップ 1:APIコールに必要な情報。
メソッド |
GET |
URL |
https://<ISE-PAN-IP>/api/v1/policy/device-admin/policy-set/<ID-Of-Policy-Set>/authentication
|
Credentials |
OpenAPIアカウントの資格情報を使用します。 |
ヘッダー |
Accept:application/json(アプリケーション/json)
コンテンツタイプ:application/json
|
ステップ 2:認証ルール情報の取得に使用されるURLを探します。
API URI(API URI)
ステップ 3:これはPythonコードの例です。 内容をコピーして貼り付けます。ISE IP、ユーザ名、およびパスワードを置き換えます。実行するPythonファイルとして保存します。
ISEとPythonコード例を実行しているデバイスの間の接続が良好であることを確認します。
from requests.auth import HTTPBasicAuth
import requests
requests.packages.urllib3.disable_warnings()
if __name__ == "__main__":
url = "https://10.106.33.92/api/v1/policy/device-admin/policy-set/41ed8579-429b-42a8-879e-61861cb82bbf/authentication"
headers = {"Accept": "application/json", "Content-Type": "application/json"}
basicAuth = HTTPBasicAuth("ApiAdmin", "Admin123")
response = requests.get(url=url, auth=basicAuth, headers=headers, verify=False)
print("Return Code:")
print(response.status_code)
print("Expected Outputs:")
print(response.json())
注:IDは、「デバイス管理者 – ポリシーセットのリスト」のステップ3のAPI出力からのものです。たとえば、41ed8579-429b-42a8-879e-61861cb82bbfはTACACSのデフォルトポリシーセットです。
次に、予想される出力の例を示します。
Return Code:
200
Expected Outputs:
{'version': '1.0.0', 'response': [{'rule': {'default': True, 'id': '73461597-0133-45ce-b4cb-6511ce56f262', 'name': 'Default', 'hitCounts': 0, 'rank': 0, 'state': 'enabled', 'condition': None}, 'identitySourceName': 'All_User_ID_Stores', 'ifAuthFail': 'REJECT', 'ifUserNotFound': 'REJECT', 'ifProcessFail': 'DROP', 'link': {'rel': 'self', 'href': 'https://10.106.33.92/api/v1/policy/device-admin/policy-set/41ed8579-429b-42a8-879e-61861cb82bbf/authentication/73461597-0133-45ce-b4cb-6511ce56f262', 'type': 'application/json'}}]}
デバイス管理者 – 許可ルールの取得
このAPIは、特定のポリシーセットの認可ルールを取得します。
ステップ 1:APIコールに必要な情報。
メソッド |
GET |
URL |
https://<ISE-PAN-IP>/api/v1/policy/device-admin/policy-set/<ID-Of-Policy-Set>/authorization
|
Credentials |
OpenAPIアカウントの資格情報を使用します。 |
ヘッダー |
Accept:application/json(アプリケーション/json)
コンテンツタイプ:application/json
|
ステップ 2:許可ルール情報の取得に使用されるURLを探します。
API URI(API URI)
ステップ 3:これはPythonコードの例です。 内容をコピーして貼り付けます。ISE IP、ユーザ名、およびパスワードを置き換えます。実行するPythonファイルとして保存します。
ISEとPythonコード例を実行しているデバイスの間の接続が良好であることを確認します。
from requests.auth import HTTPBasicAuth
import requests
requests.packages.urllib3.disable_warnings()
if __name__ == "__main__":
url = "https://10.106.33.92/api/v1/policy/device-admin/policy-set/41ed8579-429b-42a8-879e-61861cb82bbf/authorization"
headers = {"Accept": "application/json", "Content-Type": "application/json"}
basicAuth = HTTPBasicAuth("ApiAdmin", "Admin123")
response = requests.get(url=url, auth=basicAuth, headers=headers, verify=False)
print("Return Code:")
print(response.status_code)
print("Expected Outputs:")
print(response.json())
注:IDは、「デバイス管理者 – ポリシーセットのリスト」のステップ3のAPI出力からのものです。たとえば、41ed8579-429b-42a8-879e-61861cb82bbfはTACACSのデフォルトポリシーセットです。
次に、予想される出力の例を示します。
Return Code:
200
Expected Outputs:
{'version': '1.0.0', 'response': [{'rule': {'default': True, 'id': '39d9f546-e58c-4f79-9856-c0a244b8a2ae', 'name': 'Default', 'hitCounts': 0, 'rank': 0, 'state': 'enabled', 'condition': None}, 'commands': ['DenyAllCommands'], 'profile': 'Deny All Shell Profile', 'link': {'rel': 'self', 'href': 'https://10.106.33.92/api/v1/policy/device-admin/policy-set/41ed8579-429b-42a8-879e-61861cb82bbf/authorization/39d9f546-e58c-4f79-9856-c0a244b8a2ae', 'type': 'application/json'}}]}
ネットワークアクセス:ポリシーセットのリスト
このAPIは、ISE導入のネットワークアクセスポリシーセットを取得します。
ステップ 1:APIコールに必要な情報。
メソッド |
GET |
URL |
https://<ISE-PAN-IP>/api/v1/policy/network-access/policy-set
|
Credentials |
OpenAPIアカウントの資格情報を使用します。 |
ヘッダー |
Accept:application/json(アプリケーション/json)
コンテンツタイプ:application/json
|
ステップ 2:特定のISEノード情報を取得するために使用されるURLを見つけます。
API URI(API URI)
ステップ 3:これはPythonコードの例です。 内容をコピーして貼り付けます。ISE IP、ユーザ名、およびパスワードを置き換えます。実行するPythonファイルとして保存します。
ISEとPythonコード例を実行しているデバイスの間の接続が良好であることを確認します。
from requests.auth import HTTPBasicAuth
import requests
requests.packages.urllib3.disable_warnings()
if __name__ == "__main__":
url = "https://10.106.33.92/api/v1/policy/network-access/policy-set"
headers = {"Accept": "application/json", "Content-Type": "application/json"}
basicAuth = HTTPBasicAuth("ApiAdmin", "Admin123")
response = requests.get(url=url, auth=basicAuth, headers=headers, verify=False)
print("Return Code:")
print(response.status_code)
print("Expected Outputs:")
print(response.json())
次に、予想される出力の例を示します。
Return Code:
200
Expected Outputs:
{'version': '1.0.0', 'response': [{'default': False, 'id': 'ba71a417-4a48-4411-8bc3-d5df9b115769', 'name': 'BGL_CFME02-FMC', 'description': None, 'hitCounts': 0, 'rank': 0, 'state': 'enabled', 'condition': {'link': None, 'conditionType': 'ConditionAndBlock', 'isNegate': False, 'children': [{'link': None, 'conditionType': 'ConditionAttributes', 'isNegate': False, 'dictionaryName': 'DEVICE', 'attributeName': 'Location', 'operator': 'equals', 'dictionaryValue': None, 'attributeValue': 'All Locations#BGL_CFME02'}, {'link': None, 'conditionType': 'ConditionAttributes', 'isNegate': False, 'dictionaryName': 'DEVICE', 'attributeName': 'Device Type', 'operator': 'equals', 'dictionaryValue': None, 'attributeValue': 'All Device Types#FMCv'}]}, 'serviceName': 'Default Network Access', 'isProxy': False, 'link': {'rel': 'self', 'href': 'https://10.106.33.92/api/v1/policy/network-access/policy-set/ba71a417-4a48-4411-8bc3-d5df9b115769', 'type': 'application/json'}}, {'default': False, 'id': 'f7d82b2d-1007-44f6-961b-efa721d6ebec', 'name': 'SPRT', 'description': None, 'hitCounts': 0, 'rank': 1, 'state': 'enabled', 'condition': {'link': None, 'conditionType': 'ConditionAttributes', 'isNegate': False, 'dictionaryName': 'DEVICE', 'attributeName': 'Device Type', 'operator': 'equals', 'dictionaryValue': None, 'attributeValue': 'All Device Types#SPRT'}, 'serviceName': 'Default Network Access', 'isProxy': False, 'link': {'rel': 'self', 'href': 'https://10.106.33.92/api/v1/policy/network-access/policy-set/f7d82b2d-1007-44f6-961b-efa721d6ebec', 'type': 'application/json'}}, {'default': True, 'id': '467f6a69-344d-407f-81a4-e87c5dc7e438', 'name': 'Default', 'description': 'Default policy set', 'hitCounts': 0, 'rank': 2, 'state': 'enabled', 'condition': None, 'serviceName': 'Default Network Access', 'isProxy': False, 'link': {'rel': 'self', 'href': 'https://10.106.33.92/api/v1/policy/network-access/policy-set/467f6a69-344d-407f-81a4-e87c5dc7e438', 'type': 'application/json'}}]}
ネットワークアクセス – 認証ルールの取得
このAPIは、特定のポリシーセットの認証ルールを取得します。
ステップ 1:APIコールに必要な情報。
メソッド |
GET |
URL |
https://<ISE-PAN-IP>/api/v1/policy/network-access/policy-set/<ID-Of-Policy-Set>/authentication
|
Credentials |
OpenAPIアカウントの資格情報を使用します。 |
ヘッダー |
Accept:application/json(アプリケーション/json)
コンテンツタイプ:application/json
|
ステップ 2:認証ルール情報の取得に使用されるURLを探します。
API URI(API URI)
ステップ 3:これはPythonコードの例です。 内容をコピーして貼り付けます。ISE IP、ユーザ名、およびパスワードを置き換えます。実行するPythonファイルとして保存します。
ISEとPythonコード例を実行しているデバイスの間の接続が良好であることを確認します。
from requests.auth import HTTPBasicAuth
import requests
requests.packages.urllib3.disable_warnings()
if __name__ == "__main__":
url = "https://10.106.33.92/api/v1/policy/network-access/policy-set/ba71a417-4a48-4411-8bc3-d5df9b115769/authentication"
headers = {"Accept": "application/json", "Content-Type": "application/json"}
basicAuth = HTTPBasicAuth("ApiAdmin", "Admin123")
response = requests.get(url=url, auth=basicAuth, headers=headers, verify=False)
print("Return Code:")
print(response.status_code)
print("Expected Outputs:")
print(response.json())
注:このIDは、「ネットワークアクセス:ポリシーセットのリスト」の手順3のAPI出力から取得されます。たとえば、ba71a417-4a48-4411-8bc3-d5df9b115769
はBGL_CFME02-FMC
です。
次に、予想される出力の例を示します。
Return Code:
200
Expected Outputs:
{'version': '1.0.0', 'response': [{'rule': {'default': True, 'id': '03875777-6c98-4114-a72e-a3e1651e533a', 'name': 'Default', 'hitCounts': 0, 'rank': 0, 'state': 'enabled', 'condition': None}, 'identitySourceName': 'S.H.I.E.L.D', 'ifAuthFail': 'REJECT', 'ifUserNotFound': 'REJECT', 'ifProcessFail': 'DROP', 'link': {'rel': 'self', 'href': 'https://10.106.33.92/api/v1/policy/network-access/policy-set/ba71a417-4a48-4411-8bc3-d5df9b115769/authentication/03875777-6c98-4114-a72e-a3e1651e533a', 'type': 'application/json'}}]}
ネットワークアクセス – 許可ルールの取得
このAPIは、特定のポリシーセットの認可ルールを取得します。
ステップ 1:APIコールに必要な情報。
メソッド |
GET |
URL |
https://<ISE-PAN-IP>/api/v1/policy/network-access/policy-set/<ID-Of-Policy-Set>/authorization
|
Credentials |
OpenAPIアカウントの資格情報を使用します。 |
ヘッダー |
Accept:application/json(アプリケーション/json)
コンテンツタイプ:application/json
|
ステップ 2:許可ルール情報の取得に使用されるURLを探します。
API URI(API URI)
ステップ 3:これはPythonコードの例です。 内容をコピーして貼り付けます。ISE IP、ユーザ名、およびパスワードを置き換えます。実行するPythonファイルとして保存します。
ISEとPythonコード例を実行しているデバイスの間の接続が良好であることを確認します。
from requests.auth import HTTPBasicAuth
import requests
requests.packages.urllib3.disable_warnings()
if __name__ == "__main__":
url = "https://10.106.33.92/api/v1/policy/network-access/policy-set/ba71a417-4a48-4411-8bc3-d5df9b115769/authorization"
headers = {"Accept": "application/json", "Content-Type": "application/json"}
basicAuth = HTTPBasicAuth("ApiAdmin", "Admin123")
response = requests.get(url=url, auth=basicAuth, headers=headers, verify=False)
print("Return Code:")
print(response.status_code)
print("Expected Outputs:")
print(response.json())
注:このIDは、「ネットワークアクセス:ポリシーセットのリスト」の手順3のAPI出力から取得されます。たとえば、ba71a417-4a48-4411-8bc3-d5df9b115769はBGL_CFME02-FMCです。
次に、予想される出力の例を示します。
Return Code:
200
Expected Outputs:
{'version': '1.0.0', 'response': [{'rule': {'default': False, 'id': 'bc67a4e5-9000-4645-9d75-7c2403ca22ac', 'name': 'FMC Admin', 'hitCounts': 0, 'rank': 0, 'state': 'enabled', 'condition': {'link': None, 'conditionType': 'ConditionAttributes', 'isNegate': False, 'dictionaryName': 'S.H.I.E.L.D', 'attributeName': 'ExternalGroups', 'operator': 'equals', 'dictionaryValue': None, 'attributeValue': 'cisco.com/Cisco/Lab/Groups/FmcAdmin'}}, 'profile': ['FMC-BGL_CFME02-Admin'], 'securityGroup': None, 'link': {'rel': 'self', 'href': 'https://10.106.33.92/api/v1/policy/network-access/policy-set/ba71a417-4a48-4411-8bc3-d5df9b115769/authorization/bc67a4e5-9000-4645-9d75-7c2403ca22ac', 'type': 'application/json'}}, {'rule': {'default': True, 'id': 'e9f3034c-b768-4479-b6c3-3bb64bb6722c', 'name': 'Default', 'hitCounts': 0, 'rank': 1, 'state': 'enabled', 'condition': None}, 'profile': ['DenyAccess'], 'securityGroup': None, 'link': {'rel': 'self', 'href': 'https://10.106.33.92/api/v1/policy/network-access/policy-set/ba71a417-4a48-4411-8bc3-d5df9b115769/authorization/e9f3034c-b768-4479-b6c3-3bb64bb6722c', 'type': 'application/json'}}]}
トラブルシュート
OpenAPIに関連する問題をトラブルシューティングするには、デバッグログの設定ウィンドウでtheapiservicecomponentのログレベルをDEBUGに設定します。
デバッグを有効にするには、Operations > Troubleshoot > Debug Wizard > Debug Log Configuration > ISE Node > apiserviceの順に移動します。
APIサービスのデバッグ
デバッグログファイルをダウンロードするには、Operations > Troubleshoot > Download Logs > ISE PAN Node > Debug Logsの順に選択します。
デバッグログのダウンロード