遂に3月末に Jamf Pro の Classic API ベーシック認証が廃止になります!
Jamf Classic API を利用の方はベーシック認証から OAuth認証へ変更を!
準備はよろしいですか?Jamf Pro ユーザの方は Geek な方が多いので、コンピュータの拡張属性や、デバイスのメンテナンス、Webhook など様々な側面で API を使ったスクリプトを使われてると思います。セキュリティ対策の一環としてベーシック認証はどんどん駆逐されている業界ですので、これも世の流れと諦めるしかありませんが、Jamf 界隈にとっては割と大きな問題になりそうです。
ベーシック認証なくなるのか~と思いながら記事を書いていたのが、2022年ですのでもう2年も経ったのですね。光陰矢のごとし。改めて以下の記事を読み返してみましょう。
JamfPro API のユーザ認証方式の変更に備えよう
ベーシック認証なくなるのか~と思いながら記事を書いていたのが、2022年ですのでもう2年も経ったのですね。光陰矢のごとし。改めて以下の記事を読み返してみましょう。
JamfPro API のユーザ認証方式の変更に備えよう
Jamf Classic API の利用の方は・・・OAuth認証で Bearerトークンを取得
今まではAPIエンドポイント1つに対して、ユーザIDとパスワードというユーザ認証を行うのがベーシック認証でしたが、OAuth認証以外の全てのAPIエンドポイントは今後は Bearer トークンで認可・認証されるようになります。
Jamf Classic API は、https://yourcorp.jamfcloud.com/JSSResource/API-ENDPOINT/ というエンドポイントになりますが、基本的な認証が変更になるのはこれらのAPIを利用しているプログラム、スクリプトとなります。
ユーザIDとパスワードは、ある意味ハードコーディングしてしまいますと、永遠に変わらない認証情報ですが、Bearer トークンには有効期限が存在します。つまりAPIエンドポイントは正しいユーザによって都度都度認可された Bearer トークンをもって、エンドポイントを利用可能になります。そのため、今までのようにスクリプト内に Bearer トークンをハードコーディングするようなことはもうできません。
小生の知る限り、Jamf API を利用して数ページにわたるUIを駆使するようなシステムは見たことないので、大抵は単機能スクリプトが多いかと思いますので、少し冗長になるかもしれませんが、皆さんトラブル前に確認をお願いします!
Jamf Classic API は、https://yourcorp.jamfcloud.com/JSSResource/API-ENDPOINT/ というエンドポイントになりますが、基本的な認証が変更になるのはこれらのAPIを利用しているプログラム、スクリプトとなります。
ユーザIDとパスワードは、ある意味ハードコーディングしてしまいますと、永遠に変わらない認証情報ですが、Bearer トークンには有効期限が存在します。つまりAPIエンドポイントは正しいユーザによって都度都度認可された Bearer トークンをもって、エンドポイントを利用可能になります。そのため、今までのようにスクリプト内に Bearer トークンをハードコーディングするようなことはもうできません。
小生の知る限り、Jamf API を利用して数ページにわたるUIを駆使するようなシステムは見たことないので、大抵は単機能スクリプトが多いかと思いますので、少し冗長になるかもしれませんが、皆さんトラブル前に確認をお願いします!
Classic API を使ってるスクリプトを探し出すスクリプトを作ってみました(かなり手抜きです)
【機能】
というわけで、自社の Jamf Pro で登録されているスクリプトの中で Classic API を使っているものを片っ端からリストアップするためのスクリプトを作成しました。(こちらは OAuth 認証になってます)自社の Jamf Pro にアクセスして、スクリプトを入手して Classic API を呼んでるスクリプトIDと名前をリストアップするためのスクリプトです。
【動作環境】
必要環境としては、bash と jq を使ってるので jq をインストールされてない方は以下のコマンドで jq をインストールしてください。(Ubuntu の例ね)
改行は linux 式 LF のみですので、コピーして利用される場合はご注意ください。
※APIエンドポイントにfilterでRSQLが使えるのを忘れてたのでfilter=="*JSSResource*"を指定したバージョンです😓
というわけで、自社の Jamf Pro で登録されているスクリプトの中で Classic API を使っているものを片っ端からリストアップするためのスクリプトを作成しました。(こちらは OAuth 認証になってます)自社の Jamf Pro にアクセスして、スクリプトを入手して Classic API を呼んでるスクリプトIDと名前をリストアップするためのスクリプトです。
【動作環境】
- linux の bash
- jq
- Jamf Pro の API アカウントは必要な権限を調整ください
必要環境としては、bash と jq を使ってるので jq をインストールされてない方は以下のコマンドで jq をインストールしてください。(Ubuntu の例ね)
改行は linux 式 LF のみですので、コピーして利用される場合はご注意ください。
※APIエンドポイントにfilterでRSQLが使えるのを忘れてたのでfilter=="*JSSResource*"を指定したバージョンです😓
install jq
実行結果(存在する場合は、Script ID と Scipr Name を表示します)
check-jamf-classic-api.sh
RSSフィード
