通过将 REST API 与 UEM 基础架构集成并建立连接,可以将外部应用程序配置为使用 Workspace ONE UEM 的核心产品功能。还可以选择使用距离您的数据中心最近的 OAuth 令牌 URL 来对 API 调用进行身份验证。

REST API 入门

使用简化的 REST 软件架构,Workspace ONE UEM REST API 当前支持多种功能,包括组织组、控制台管理、移动应用程序、移动设备、电子邮件、注册用户、配置文件、智能组和用户组管理。

使用基于 REST 的 API 可为企业带来多种好处,包括减少在内部开发应用程序所需的成本和时间。Workspace ONE UEM REST API 完全能够并已准备好与企业服务器、程序和进程集成。此外,Workspace ONE UEM REST API 更加高效,可以顺畅运行,并且可以轻松使用企业的品牌标识进行自定义。这些 API 适用于应用程序开发人员,本指南介绍了 API 库的设计和架构,以促进自定义开发和与 Workspace ONE UEM 集成。

访问 API 文档

通过导航到 Workspace ONE UEM API 帮助页面,查看详细的 API 文档。

可在 SaaS 环境中执行此操作,方法是将 URL 中的“cn”替换为“as”,然后在 .com 后面附加 /api/help

例如,适用于 SaaS 环境的 URL 的 API 文档
https://cn4855.awmdm.com
https://as4855.awmdm.com/api/help

支持将数据中心 URL 和令牌 URL 用于 OAuth 2.0

Workspace ONE UEM 支持使用 OAuth 2.0 行业标准协议对 REST API 调用进行安全身份验证和授权。

Workspace ONE 令牌服务是 OAuth 身份验证的令牌颁发者,当前仅在 SaaS 环境中受支持。令牌 URL 特定于区域。

表 1. 区域特定的令牌 URL
地区 Workspace ONE UEM SaaS 数据中心位置 令牌 URL
俄亥俄州(美国) 所有 UAT 环境 https://uat.uemauth.vmwservices.com/connect/token
弗吉尼亚州(美国) 美国 https://na.uemauth.vmwservices.com/connect/token
弗吉尼亚州(美国) 加拿大 https://na.uemauth.vmwservices.com/connect/token
法兰克福(德国) 英国 https://emea.uemauth.vmwservices.com/connect/token
法兰克福(德国) 德国 https://emea.uemauth.vmwservices.com/connect/token
东京(日本) 印度 https://apac.uemauth.vmwservices.com/connect/token
东京(日本) 日本 https://apac.uemauth.vmwservices.com/connect/token
东京(日本) 新加坡 https://apac.uemauth.vmwservices.com/connect/token
东京(日本) 澳大利亚 https://apac.uemauth.vmwservices.com/connect/token
东京(日本) 香港 https://apac.uemauth.vmwservices.com/connect/token

创建要用于 API 命令的 OAuth 客户端 (SaaS)

您可以创建 OAuth 客户端以用于仅在 SaaS 环境中支持的 API 命令。通过执行以下步骤,为 SaaS 环境创建 OAuth 客户端。

  1. 导航到组与设置 > 配置
  2. 在标签为“输入名称或类别”的搜索文本框中输入 OAuth
  3. 选择出现在结果中的 OAuth 客户端管理。此时将显示 OAuth 客户端管理屏幕。
  4. 选择添加按钮。
  5. 输入名称说明组织组角色
    注: 有关所选角色特定 REST API 权限的更多信息,请参阅本主题中标题为 创建可以使用 REST API 的角色的部分。
  6. 确保状态已启用
  7. 选择保存
  8. 重要说明:请先将客户端 ID客户端密钥复制到剪贴板并保存,然后再关闭此屏幕。选择剪贴板图标 () 以将客户端密钥发送到剪贴板。

    选择关闭后,您将无法返回到此处检索这些信息。

  9. 采用以下格式使用客户端 ID、客户端密钥和令牌 URL 生成访问令牌:

    API call: POST {以上部分中特定于区域的令牌 URL}

    grant_type client_credentials
    client_id {在 UEM console 上生成的客户端 ID}
    client_secret {在 UEM console 上生成的客户端 SECRET}
  10. 使用返回的访问令牌授权向 Workspace ONE UEM API 服务器发出的未来 API 请求。必须在请求标头中按以下格式提供访问令牌。

    API call: {UEM API}

    授权 [Access Token}

创建可以使用 REST API 的角色

您要执行的每个 API 调用都具有相应的资源(或权限),您必须将其包含在分配给 OAuth 客户端的角色中。因此,包含在您分配的角色中的权限与您进行的 API 调用类型一致。

使用下表中的信息可帮助您选择必须包含在您分配的角色中的权限。然后,访问 创建管理员角色 了解有关创建该角色的说明。
表 2. REST API 角色权限
类别 名称 说明 只读/编辑
REST > 管理员 REST API 系统组 对组织组信息的访问 编辑
REST API 系统管理员 对管理员信息的访问 编辑
REST API 系统用户 对用户信息的访问 编辑
REST API: 管理员 - 写入 启用对管理员用户集合内所有写入/更新 API 的访问 编辑
REST API: 管理员 - 执行 启用对管理员用户集合内所有执行 API 的访问 编辑
REST API: 管理员 - 删除 启用对管理员用户集合内所有删除 API 的访问 编辑
REST API: 管理员 - 读取 启用对管理员用户集合内所有只读 API 的访问 只读
REST > 应用 REST API MAM Blob 上载/下载内容 编辑
REST API MAM 应用 访问纳管应用 编辑
REST API: 应用 - 写入 启用对应用集合内所有写入/更新 API 的访问 编辑
REST API: 应用 - 执行 启用对应用集合内所有执行 API 的访问 编辑
REST API: 应用 - 删除 启用对应用集合内所有删除 API 的访问 编辑
REST API: 应用 - 读取 启用对应用集合内所有只读 API 的访问 只读
REST > 合规策略 删除 REST API 合规策略 启用对所有在合规策略集中删除 API 的访问 编辑
执行 REST API 合规策略 启用对所有在合规策略集中执行 API 的访问 编辑
写入 REST API 合规策略 启用对所有在合规策略集中写入 API 的访问 编辑
读取 REST API 合规策略 启用对合规策略集合内所有只读 API 的访问 只读
REST > 自定义属性 执行 REST API 自定义属性 启用对所有在自定义属性集中执行 API 的访问 编辑
写入 REST API 自定义属性 启用对所有在自定义属性集中写入 API 的访问 编辑
删除 REST API 自定义属性 启用对所有在自定义属性集中删除 API 的访问 编辑
REST API 自定义属性 - 读取 启用对自定义属性集中的所有只读 API 的访问 只读
REST > 设备 REST API MDM - 智能组 对智能组信息的访问 编辑
REST API MDM - 用户组 访问用户组 编辑
REST API MDM - 配置文件 发送锁定/解锁命令 编辑
REST API MDM - 设备 发送锁定/解锁命令 编辑
REST API BLOBS - 写入 启用对 BLOBS 集合中所有只写入/更新 API 的访问权 编辑
REST API BLOBS - 执行 启用对 BLOBS 集合中所有只执行 API 的访问权 编辑
REST API BLOBS - 删除 启用对 BLOBS 集合中所有只删除 API 的访问权 编辑
REST API 设备写入 启用对设备集合内所有写入/更新 API 的访问 编辑
REST API 设备 - 执行 启用对设备集合内所有执行 API 的访问 编辑
REST API 设备删除 启用对设备集合内所有删除 API 的访问 编辑
REST API 设备高级 启用对设备集合内所有高级 API 的访问 编辑
REST API BLOBS - 读取 启用对 BLOBS 集合中所有只读 API 的访问权 只读
REST API 设备 - 读取 启用对设备集合内所有只读 API 的访问 只读
REST > REST 企业集成 REST API 企业集成读取 启用对所有企业集成唯读 API 的访问 只读
REST > 组 REST API: 组 - 写入 启用对组织组集合内所有写入/更新 API 的访问 编辑
REST API: 组 - 执行 启用对组织组集合内所有执行 API 的访问 编辑
REST API: 组 - 删除 启用对组织组集合内所有删除 API 的访问 编辑
REST API 智能组 - 写入 启用对智能组集合内所有写入 API 的访问 编辑
REST API 智能组 - 执行 启用对智能组集合内所有执行 API 的访问 编辑
REST API 智能组 - 删除 启用对智能组集合内所有删除 API 的访问 编辑
REST API 用户组 - 写入 启用对用户组内所有写入/更新 API 的访问 编辑
REST API 用户组 - 执行 启用对用户组内所有执行 API 的访问 编辑
REST API 用户组 - 删除 启用对用户组内所有删除 API 的访问 编辑
REST API 购物车写入 用来保存和编辑购物车数据的 REST API 编辑
REST API 购物车删除 用来删除购物车数据的 REST API 编辑
REST API Apple School Manager 写入 用来启动 Apple School Manager 同步的 REST API 编辑
REST API Apple School Manager 地图 用来将注册用户映射到 Apple School Manager 成员的 REST API 编辑
REST API 类分配保存 用来保存类分配的 REST API 调用 编辑
REST API 类写入 用来保存和编辑类数据的 REST API 编辑
REST API 类删除 用来删除类数据的 REST API 编辑
REST API 教育设置写入 用来保存和编辑教育设置的 REST API 编辑
REST API 教育设置读取 用来查看教育设置的 REST API 编辑
REST API: 组 - 读取 启用对组织组集合内所有只读 API 的访问 只读
REST API 智能组 - 读取 启用对智能组集合内所有只读 API 的访问 只读
REST API 用户组 - 读取 启用对用户组内所有只读 API 的访问 只读
REST API Apple School Manager 同步读取 用来检查 Apple School Manager 同步状态的 REST API 只读
用于设备读取的 REST API 应用 用来获取符合设备条件的应用列表的 REST API 只读
REST API 类读取 用来查看类数据的 REST API 只读
REST > 产品 Rest API 产品 - 执行 启用对产品集合内所有执行 API 的访问 编辑
Rest API 产品 - 写入 启用对产品集合内所有写入 API 的访问 编辑
Rest API 产品 - 删除 启用对产品集合内所有删除 API 的访问 编辑
Rest API 产品 - 读取 启用对产品集合内所有只读 API 的访问 只读
REST > 配置文件 更新策略写入访问 启用对更新策略集合内所有写入 API 的访问 编辑
更新策略执行访问 启用对更新策略集合内所有执行 API 的访问 编辑
更新策略删除访问 启用对更新策略集合内所有删除 API 的访问 编辑
REST API 配置文件 - 写入 启用对配置文件集合内所有写入 API 的访问 编辑
REST API 配置文件 - 执行 启用对配置文件集合内所有执行 API 的访问 编辑
REST API 配置文件 - 删除 启用对配置文件集合内所有删除 API 的访问 编辑
更新策略读取访问 启用对更新策略集合内所有只读 API 的访问 只读
REST API 配置文件 - 读取 启用对配置文件集合内所有只读 API 的访问 只读
REST > 用户 REST API: 用户 - 写入 启用对注册用户集合内所有写入/更新 API 的访问 编辑
REST API: 用户 - 执行 启用对注册用户集合内所有执行 API 的访问 编辑
REST API: 用户 - 删除 启用对注册用户集合内所有删除 API 的访问 编辑
已读取 REST API 用户令牌 启用注册用户令牌的访问以获取注册用户收集中的 API 只读
REST API: 用户 - 读取 启用对注册用户集合内所有只读 API 的访问 只读