> For the complete documentation index, see [llms.txt](https://docs.linuxcontrolcenter.com.br/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.linuxcontrolcenter.com.br/discover_lcc/discover_ps_api.md).

# BeyondTrust Password Safe API

## Requirements

* BeyondInsight 22.X ou superior.
* Linux Control Center 2.10 ou superior.
* Chave de registro da API.
* Conta e grupo da API com permissões corretas.
* A *Managed Account* usada pelo Linux Control Center deve ser habilitada para API e deve existir no *Managed System*.

## Overview

BeyondTrust Password Safe é um software de gerenciamento de senhas empresarial que garante controle e responsabilidade completos sobre todas as contas privilegiadas (e não privilegiadas) dentro de uma organização.

Por meio dessa integração, será possível executar uma varredura usando credenciais privilegiadas gerenciadas pelo password safe.

## Configuração do ambiente BeyondTrust

{% hint style="warning" %}
A conta gerenciada é preferível que seja uma conta dedicada ao Linux Control Center
{% endhint %}

{% hint style="danger" %}
Todos os *Assets* que serão importados para o Linux Control Center devem ser adicionados ao BeyondInsight Password Safe a partir de um *Discovery Scan* para garantir a integridade dos dados que devem ser importados corretamente. O mesmo vale para o *Managed System*, ou seja, ele deve ter sido criado a partir de um *Asset* e suas respectivas *Managed Accounts*.
{% endhint %}

### Registro de API no Password Safe

1. Acesse o BeyondInsigh Console
2. Vá para **Configuration** > **General** > **API Registrations**
3. Clique em **Create New API Registration** e selecione **API Key Policy**.
4. Forneça um nome para o registro de API e clique em **Create API Registration**.
5. Você deve adicionar uma regra de Autenticação/IP para o endereço da sua instância do *Linux Control Center Worker*. Se houver vários workers instalados na rede, todos os endereços de *Workers* devem ser listados.

   * Na página *Details*, clique em *Add Authentication Rule*.
   * Selecione a opção *Single IP Address* na lista do lado superior direito
   * Selecione a opção IP Rule.
   * Insira o Endereço IP.

   ![](/files/mm7hOpVxoYRogrtyMitW)
6. Desabilite a opção *Multi-Factor Authentication*.
7. clique em *Atualizar registro* na página Detalhes.

   ![](/files/8dfh9kvOcCTYKiVZZS74)

### Nova Conta de Usuário local BeyondInsight:

Uma conta de usuário e um grupo devem ser configurados para o Linux Control Center.

1. No BeyondInsight Console, vá para **Configuration** > **Role Based Access** > **User Management**.
2. Clique na aba **Users**.
3. Clique em **Create New User** e selecione **Create a New User**.

   ![](/files/MzN4piZg3HhPcFeDIRIJ)
4. Insira os detalhes do usuário, como identificação e credenciais.
5. Clique em *Create User*.

   ![](/files/Afry9KSjTQayQWJHwXJh)

   ![](/files/sqkgvmng1Jts5i6GTZZj)

### Novo Grupo local BeyondInsight

1. Siga os passos para criar um novo grupo local e habilitar os recursos necessários e os *Mart Groups*:
2. No BeyondInsight Console, vá para **Configuration** > **Role Based Access** > **User Management**. Clique na aba **Groups**.
3. Clique em Criar **New Group** e selecione **Create a New Group**.

   ![](/files/qpwnY1RR1IyLcxdno4Zj)
4. Forneça o nome e a descrição do grupo e clique em **Create Group**.

   ![](/files/bpvSkkNZh311MWu84Ald)
5. Marque a caixa ao lado do grupo recém-criado e, em seguida, clique nos três pontos à direita do grupo. Selecione **View Group Details**.
6. Em **Group Details**, selecione **Features**.
7. Na página **Features**, localize os recursos selecionando **All Features** na lista suspensa Show. Selecione **Feature Name** na lista suspensa **Filter By** e, em seguida, digite o recurso no campo **Feature Name**. Os seguintes recursos devem ser habilitados:

   * Asset Management
   * Attribute Management
   * Password Safe Account Management
   * Password Safe System Management

   ![](/files/yzT1AfqFdOq2D1CmHOGK)
8. Os recursos mencionados acima devem receber uma permissão de read only. Clique nos três pontos correspondentes à direita do recurso e selecione **Assign Permissions Read Only**.
9. Em **Group Details**, selecione **Smart Groups**.
10. Na página **Smart Groups Permissions**, localize os **Smart Groups** selecionando **All Smart Groups** na lista suspensa Show. Selecione Smart Group Name na lista suspensa **Filter By** e, em seguida, digite o nome do **Smart Group** no campo **Smart Group Name**. O Smart Group gerenciado de destino deve ser habilitado.
11. Os Smart Groups devem receber uma permissão de full control. Clique nos três pontos correspondentes à direita do Smart Group e selecione **Assign Permissions Full Control**.
12. O Smart Group de destino deve ter *Requestor, Approver e Credential Manager* selecionados como funções. Clique nos três pontos correspondentes à direita do Smart Group e selecione **Edit Password Safe Roles**.
13. Marque a caixa **Requestor** e selecione uma política na lista suspensa **Access Policy for Requestor**. Essa política é aplicada à conta gerenciada usada para a integração.

    ![](/files/BZSACX1IKeJP9tJ7Ueih)

{% hint style="warning" %}
O Linux Control Center requer o uso de uma **Access Policy** configurada com permissão **View Password** e com **Auto Approve** habilitado. Também é recomendado habilitar **"Allow multi-day checkout of accounts"** para evitar possíveis solicitações negadas perto do final do dia.
{% endhint %}

1. Clique em **Save Roles**.
2. Para adicionar o usuário criado acima ao grupo:
   * Vá para **Configuration > Role Based Access > User Management > Groups**.
   * Clique nos três pontos à direita do novo grupo e selecione **View Group Details**.
   * Em **Group Details**, selecione **Users**.
   * Selecione **Users Not Assigned** na lista suspensa Show.
   * Na lista suspensa **Filter by**, selecione **Username**. Digite o nome do usuário no campo **Username**.
   * Marque a caixa ao lado do nome do usuário e clique em **Assign User**.
3. Por fim, atribua a **API registrad**a para a integração a este grupo:

   * Vá para **Configuration > Role Based Access > User Management > Groups**.
   * Clique nos três pontos à direita do grupo e selecione **View Group Details**.
   * Em **Group Details**, selecione **API Registrations**. Uma lista de registros de API será exibida.
   * Marque a caixa ao lado do registro de API criado em **API Registration**.

   ![](/files/eq9XrB0NP6kD76YzS2cq)

### Managed Account utilizada pelo Linux Control Center

1. No **BeyondInsight Console**, vá para **Managed Accounts.**
2. Na lista suspensa **Filter by**, selecione **Account**. Insira o nome da conta no campo **Account**.
3. Clique nos três pontos à direita de cada entrada e selecione **Edit Account**. Em **Account Settings**, certifique-se de que a opção **API Enabled** esteja habilitada.

   ![](/files/Xc64U0mFqTyNd5hgP7lu)

## Integração com o Linux Control Center

Realize a configuração da integração com o Linux Control Center após finalizar as configurações no seu ambiente BeyondTrust Password Safe.

1. No Linux Control Center, vá para **Config**.

   ![](/files/RVaTasCRq2leIMcExEhm)
2. Clique em **BeyondTrust**.

   ![](/files/gnuBsDUvFNwFMTxJsEoz)
3. Clique em **Password Safe**.

   ![](/files/3UpkObl4yvcRy0YrrQ1I)
4. Clique em **Create**.

   ![](/files/eMBZJNGzFPCaJQ0VGeRx)
5. Forneça todas as configurações necessárias para realizar a autenticação na Password Safe API, como: **API Url Base, API Auth Key, API Auth Username, API Auth Password e a Managed Account** que será usado pelo Linux Control Center.
6. Selecione o campo **Escalonamento de Privilégios** com base na permissão de conta escolhida.
7. Clique em **Save**

   ![](/files/w77iucOYhmvOihdeumXL)
8. Após salvar, clique na integração criada, clique em **Actions** e execute a ação **Test Connection With Safe API** para validar a comunicação com o BeyondInsight.

   ![](/files/dmRw77dOxvS2D7CJV7Ui)

   Caso a conexão falhe, vá para **BeyondInsight > Configuration > User Audit options e analise os detalhes da conexão**.

### Get Assets Info

1. A opção **Get Assets Info** pesquisa por todos os **Assets do Smart Group** vinculado ao **User Group** do **API Auth Username** utilizado.

   ![](/files/XJ150dQoAJdYseLSltz0)
2. Clique em **Actions** e execute a ação **Get Assets Info**.

   ![](/files/6Mk7nrW1REYGBv0rSUha)
3. Confirme a execução da ação em **Yes**

   ![](/files/xWidHEKLibvNwnla7N2c)
4. Um novo trabalho será criado em **Logs > Queue** no menu à esquerda com a ação **"Get Smart Groups"** do User Group pertencente ao **Auth Username API**.

   ![](/files/UA1elVsERpD9GbHRGiI4)
5. Após a conclusão do trabalho, todos os Assets estarão disponíveis para realizar a ação **Import Asset**.

### Import Assets

1. Para listar os Assets disponíveis para importar para o Linux Control Center, vá para **Config > Integrations > BeyondTrust > Password Safe**, clique na integração que foi criada e clique em **Import Assets**.
2. Selecione os assets que serão importados pelo processo\*\* Import Assets\*\* e clique em **Send**.

   ![](/files/FAj4M7bMRGy1w12sMfBh)
3. Uma nova ação chamada **Import Assets** será criada. Nessa ação, o Linux Control Center tentará se conectar a cada Asset selecionado usando a Managed Account fornecida, para confirmar que ele consegue se conectar usando a conta gerenciada e a senha recuperada do Password Safe.
4. Após a validação, o Linux Control Center iniciará um novo trabalho com a ação **Photography** para cada host importado, coletando informações do host, como nome do host, versão do kernel, endereço IPv4, endereço MAC, porta SSH, versão do sistema operacional e outras informações.

   ![](/files/sdLRFeLQ532zO8xJwaQG)
5. Quando o **Import Assets Info** atingir com sucesso o estado **Processed** no menu Queue, vá para a opção Hosts no menu à esquerda e valide se os assets foram importados corretamente pelo Linux Control Center com o método de autenticação BeyondTrust.

   ![](/files/flPnciwVhgP8niRvHbUM)


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.linuxcontrolcenter.com.br/discover_lcc/discover_ps_api.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.