将 UEM 功能与 REST API 结合使用

通过将 REST API 与 UEM 基础架构集成并建立连接，可以将外部应用程序配置为使用 Workspace ONE UEM 的核心产品功能。还可以选择使用距离您的数据中心最近的 OAuth 令牌 URL 来对 API 调用进行身份验证。

REST API 入门

使用简化的 REST 软件架构，Workspace ONE UEM REST API 当前支持多种功能，包括组织组、控制台管理、移动应用程序、移动设备、电子邮件、注册用户、配置文件、智能组和用户组管理。

使用基于 REST 的 API 可为企业带来多种好处，包括减少在内部开发应用程序所需的成本和时间。Workspace ONE UEM REST API 完全能够并已准备好与企业服务器、程序和进程集成。Workspace ONE UEM REST API 更加高效，可以顺畅运行，并且可以轻松使用企业的品牌标识进行自定义。这些 API 适用于应用程序开发人员。本指南有助于了解 API 库的设计和架构，并促进自定义开发以及与 Workspace ONE UEM 集成。

访问 API 文档

通过导航到 Workspace ONE UEM API 帮助页面，查看详细的 API 文档。

在浏览器的地址栏中，将 URL 中的“cn”替换为“as”，然后将 /api/help 附加到 .com 之后。

例如，适用于 SaaS 环境的 URL 的 API 文档…

https://cn4855.awmdm.com

…是…

https://as4855.awmdm.com/api/help

支持将数据中心 URL 和令牌 URL 用于 OAuth 2.0

Workspace ONE UEM 支持使用 OAuth 2.0 行业标准协议对 REST API 调用进行安全身份验证和授权。

Workspace ONE 令牌服务是 OAuth 身份验证的令牌颁发者，并且仅在 SaaS 环境中受支持。令牌 URL 特定于区域。

地区	Workspace ONE UEM SaaS 数据中心位置	令牌 URL
俄亥俄州（美国）	所有 UAT 环境	`https://uat.uemauth.vmwservices.com/connect/token`
弗吉尼亚州（美国）	美国	`https://na.uemauth.vmwservices.com/connect/token`
弗吉尼亚州（美国）	加拿大	`https://na.uemauth.vmwservices.com/connect/token`
法兰克福（德国）	英国	`https://emea.uemauth.vmwservices.com/connect/token`
法兰克福（德国）	德国	`https://emea.uemauth.vmwservices.com/connect/token`
东京（日本）	印度	`https://apac.uemauth.vmwservices.com/connect/token`
东京（日本）	日本	`https://apac.uemauth.vmwservices.com/connect/token`
东京（日本）	新加坡	`https://apac.uemauth.vmwservices.com/connect/token`
东京（日本）	澳大利亚	`https://apac.uemauth.vmwservices.com/connect/token`
东京（日本）	香港	`https://apac.uemauth.vmwservices.com/connect/token`

创建要用于 API 命令的 OAuth 客户端 (SaaS)

您可以创建 OAuth 客户端以用于仅在 SaaS 环境中支持的 API 命令。通过执行以下步骤，为 SaaS 环境创建 OAuth 客户端。

导航到组与设置 > 配置。
在标签为“输入名称或类别”的搜索文本框中输入 OAuth。
选择出现在结果中的 OAuth 客户端管理。此时将显示 OAuth 客户端管理屏幕。
选择添加按钮。
输入名称、说明、组织组和角色。

注意：有关所选角色特定 REST API 权限的更多信息，请参阅本主题中标题为创建可以使用 REST API 的角色的部分。
确保状态为已启用。
选择保存。
重要提示：请先将客户端 ID 和客户端密钥复制到剪贴板并保存，然后再关闭此屏幕。选择复制图标 () 以将客户端密钥发送到剪贴板。

选择关闭后，您将无法返回到此处检索这些信息。

采用以下格式使用客户端 ID、客户端密钥和令牌 URL 生成访问令牌：

API 调用：POST {以上部分中特定于区域的令牌 URL}

键	值
grant_type	client_credentials
client_id	{在 UEM console 上生成的客户端 ID}
client_secret	{在 UEM console 上生成的客户端 SECRET}

使用返回的访问令牌授权向 Workspace ONE UEM API 服务器发出的未来 API 请求。您必须采用以下方式在请求标头中格式化访问令牌。

API 调用：{UEM API}

键值

授权 {访问令牌}

键	值
授权	{访问令牌}

创建可以使用 REST API 的角色

每个 API 调用都具有相应的资源（或权限），您必须将其包含在分配给 OAuth 客户端的角色中。因此，包含在您分配的角色中的权限与您进行的 API 调用类型一致。

使用下表中的信息可帮助您选择必须包含在您分配的角色中的权限。然后，访问基于角色的访问中标题为创建管理员角色的部分，了解有关创建该角色的说明。

类别	名称	说明	只读/编辑
REST > 管理员	REST API 系统组	对组织组信息的访问	编辑
	REST API 系统管理员	对管理员信息的访问	编辑
	REST API 系统用户	对用户信息的访问	编辑
	REST API: 管理员 - 写入	启用对管理员用户集合内所有写入/更新 API 的访问	编辑
	REST API: 管理员 - 执行	启用对管理员用户集合内所有执行 API 的访问	编辑
	REST API: 管理员 - 删除	启用对管理员用户集合内所有删除 API 的访问	编辑
	REST API: 管理员 - 读取	启用对管理员用户集合内所有只读 API 的访问	只读
REST > 应用	REST API MAM Blob	上载/下载内容	编辑
	REST API MAM 应用	访问纳管应用	编辑
	REST API: 应用 - 写入	启用对应用集合内所有写入/更新 API 的访问	编辑
	REST API: 应用 - 执行	启用对应用集合内所有执行 API 的访问	编辑
	REST API: 应用 - 删除	启用对应用集合内所有删除 API 的访问	编辑
	REST API: 应用 - 读取	启用对应用集合内所有只读 API 的访问	只读
REST > 合规策略	REST API删除合规策略	启用对所有在合规策略集中删除 API 的访问	编辑
	REST API执行合规策略	启用对所有在合规策略集中执行 API 的访问	编辑
	REST API合规策略写入	启用对所有在合规策略集中写入 API 的访问	编辑
	REST API合规策略读取	启用对合规策略集合内所有只读 API 的访问	只读
REST > 自定义属性	REST API自定义属性执行	启用对所有在自定义属性集中执行 API 的访问	编辑
	REST API自定义属性写入	启用对所有在自定义属性集中写入 API 的访问	编辑
	REST API自定义属性删除	启用对所有在自定义属性集中删除 API 的访问	编辑
	REST API自定义属性读取	启用对自定义属性集中的所有只读 API 的访问	只读
REST > 设备	REST API MDM - 智能组	对智能组信息的访问	编辑
	REST API MDM - 用户组	访问用户组	编辑
	REST API MDM - 配置文件	发送锁定/解锁命令	编辑
	REST API MDM - 设备	发送锁定/解锁命令	编辑
	REST API BLOBS - 写入	启用对 BLOBS 集合中所有只写入/更新 API 的访问权	编辑
	REST API BLOBS - 执行	启用对 BLOBS 集合中所有只执行 API 的访问权	编辑
	REST API BLOBS - 删除	启用对 BLOBS 集合中所有只删除 API 的访问权	编辑
	REST API 设备写入	启用对设备集合内所有写入/更新 API 的访问	编辑
	REST API 设备 - 执行	启用对设备集合内所有执行 API 的访问	编辑
	REST API 设备删除	启用对设备集合内所有删除 API 的访问	编辑
	REST API 设备高级	启用对设备集合内所有高级 API 的访问	编辑
	REST API BLOBS - 读取	启用对 BLOBS 集合中所有只读 API 的访问权	只读
	REST API 设备 - 读取	启用对设备集合内所有只读 API 的访问	只读
REST > REST 企业集成	REST API 企业集成读取	启用对所有企业集成唯读 API 的访问	只读
REST > 组	REST API: 组 - 写入	启用对组织组集合内所有写入/更新 API 的访问	编辑
	REST API: 组 - 执行	启用对组织组集合内所有执行 API 的访问	编辑
	REST API: 组 - 删除	启用对组织组集合内所有删除 API 的访问	编辑
	REST API 智能组 - 写入	启用对智能组集合内所有写入 API 的访问	编辑
	REST API 智能组 - 执行	启用对智能组集合内所有执行 API 的访问	编辑
	REST API 智能组 - 删除	启用对智能组集合内所有删除 API 的访问	编辑
	REST API 用户组 - 写入	启用对用户组内所有写入/更新 API 的访问	编辑
	REST API 用户组 - 执行	启用对用户组内所有执行 API 的访问	编辑
	REST API 用户组 - 删除	启用对用户组内所有删除 API 的访问	编辑
	REST API 购物车写入	用来保存和编辑购物车数据的 REST API	编辑
	REST API 购物车删除	用来删除购物车数据的 REST API	编辑
	REST API Apple School Manager 写入	用来启动 Apple School Manager 同步的 REST API	编辑
	REST API Apple School Manager 地图	用来将注册用户映射到 Apple School Manager 成员的 REST API	编辑
	REST API 类分配保存	用来保存类分配的 REST API 调用	编辑
	REST API 类写入	用来保存和编辑类数据的 REST API	编辑
	REST API 类删除	用来删除类数据的 REST API	编辑
	REST API 教育设置写入	用来保存和编辑教育设置的 REST API	编辑
	REST API 教育设置读取	用来查看教育设置的 REST API	编辑
	REST API: 组 - 读取	启用对组织组集合内所有只读 API 的访问	只读
	REST API 智能组 - 读取	启用对智能组集合内所有只读 API 的访问	只读
	REST API 用户组 - 读取	启用对用户组内所有只读 API 的访问	只读
	REST API Apple School Manager 同步读取	用来检查 Apple School Manager 同步状态的 REST API	只读
	用于设备读取的 REST API 应用	用来获取符合设备条件的应用列表的 REST API	只读
	REST API 类读取	用来查看类数据的 REST API	只读
REST > 产品	REST API产品执行	启用对产品集合内所有执行 API 的访问	编辑
	REST API产品写入	启用对产品集合内所有写入 API 的访问	编辑
	REST API产品删除	启用对产品集合内所有删除 API 的访问	编辑
	REST API读取的产品	启用对产品集合内所有只读 API 的访问	只读
REST > 配置文件	更新策略写入访问	启用对更新策略集合内所有写入 API 的访问	编辑
	更新策略执行访问	启用对更新策略集合内所有执行 API 的访问	编辑
	更新策略删除访问	启用对更新策略集合内所有删除 API 的访问	编辑
	REST API配置文件写入	启用对配置文件集合内所有写入 API 的访问	编辑
	REST API 配置文件 - 执行	启用对配置文件集合内所有执行 API 的访问	编辑
	REST API配置文件删除	启用对配置文件集合内所有删除 API 的访问	编辑
	更新策略读取访问	启用对更新策略集合内所有只读 API 的访问	只读
	REST API 配置文件 - 读取	启用对配置文件集合内所有只读 API 的访问	只读
REST > 用户	REST API: 用户 - 写入	启用对注册用户集合内所有写入/更新 API 的访问	编辑
	REST API: 用户 - 执行	启用对注册用户集合内所有执行 API 的访问	编辑
	REST API: 用户 - 删除	启用对注册用户集合内所有删除 API 的访问	编辑
	REST API读取的用户令牌	启用注册用户令牌的访问以获取注册用户收集中的 API	只读
	REST API: 用户 - 读取	启用对注册用户集合内所有只读 API 的访问	只读