Descrição
Recupere o detalhe completo de uma única credencial no PAM Core, utilizando o modelo canônico v2 CredentialV2. A resposta é o superconjunto absoluto de todos os atributos não sensíveis da credencial. Use o parâmetro de query opcional fields para solicitar uma projeção de campos específicos.
Nota: Este endpoint faz parte da superfície da API v2 do A2A, introduzida na versão 4.2.2. O equivalente v1 está documentado em GET | Listar uma credencial.
Pré-requisitos
- Autorização com permissão de leitura para o PAM Core, concedida pelo administrador no A2A. Para mais informações, acesse Como gerenciar autorizações no A2A.
Requisição
GET /api/v2/pam/credentials/{id}
Parâmetros de path
| Campo | Tipo | Obrigatório | Descrição |
|---|---|---|---|
id |
string | Sim | Código de identificação único da credencial. Este valor é atribuído pela Segura® em POST | Criar credencial. |
Parâmetros de query
| Campo | Tipo | Obrigatório | Descrição |
|---|---|---|---|
fields |
string | Não | Lista de campos separados por vírgula a retornar (projeção). Quando omitido, o endpoint retorna todos os campos públicos do modelo canônico CredentialV2. Campos que não existem no modelo retornam 422. Campos sensíveis retornam 403. |
Valores suportados em fields
Os campos a seguir estão disponíveis para projeção. Use a notação de ponto conforme indicado.
Objeto credential
| Campo | Tipo | Condição |
|---|---|---|
credential.username |
string | Sempre presente. |
credential.active |
boolean | Sempre presente. |
credential.password_type |
string | Sempre presente. |
credential.parent_credential |
object | Retorna o objeto da credencial pai (incluindo id e username) quando uma credencial pai está configurada; caso contrário, null. |
credential.tags |
array[string] | Retorna um array vazio quando nenhuma tag está configurada. |
credential.criticality |
string | Valores possíveis: low, medium, high, critical. Retorna null quando não configurado. |
credential.user_credential_owner |
object | Retorna o objeto do responsável quando configurado; caso contrário, null. |
credential.last_used_at |
datetime string | Formato ISO 8601. Retorna null quando nenhum uso está registrado. |
credential.additional_information |
string | Retorna null quando não configurado. |
credential.password_policy |
string | Retorna null quando nenhuma política está associada. |
Objeto device
| Campo | Tipo | Condição |
|---|---|---|
device.id |
integer | Sempre presente. |
device.name |
string | Sempre presente. |
device.domain_name |
string | Retorna null quando não vinculado a um domínio. |
device.management_ip |
string | Sempre presente. |
device.vendor |
string | Sempre presente. |
device.product |
string | Sempre presente. |
device.site |
string | Sempre presente. |
device.tags |
array[string] | Retorna um array vazio quando nenhuma tag está configurada. |
device.connectivity_types |
array[enum] | Retorna um array vazio quando não configurado. |
Objeto execution
| Campo | Tipo | Condição |
|---|---|---|
execution.automatic_change_enabled |
boolean | Sempre presente. |
execution.change_plugin |
object | Retorna null quando não configurado. |
execution.change_template |
object | Obrigatório quando change_plugin está definido; caso contrário, null. |
execution.agent_based_password_change |
boolean | Retorna false quando não configurado como agent. |
execution.justification |
string | Retorna null quando não configurado. |
Objeto authentication
| Campo | Tipo | Condição |
|---|---|---|
authentication.use_own_credential_to_connect |
boolean | Sempre presente. |
authentication.credential |
object | Obrigatório quando use_own_credential_to_connect é false; caso contrário, null. |
authentication.restrict_to_remote_application_only |
boolean | Retorna false quando não configurado. |
authentication.notes |
string | Retorna null quando não configurado. |
Objeto reconciliation
| Campo | Tipo | Condição |
|---|---|---|
reconciliation.credential_enabled |
boolean | Sempre presente. |
reconciliation.autorun |
boolean | Retornado quando credential_enabled é true. |
reconciliation.credential |
object | Obrigatório quando credential_enabled é true. |
reconciliation.plugin |
object | Obrigatório quando credential_enabled é true. |
reconciliation.template |
object | Obrigatório quando plugin está definido; caso contrário, null. |
Objeto automation
| Campo | Tipo | Condição |
|---|---|---|
automation.restrict_access_to_applications_only |
boolean | Retorna false quando não configurado. |
automation.macro_remote_apps |
array[object] | Retorna um array vazio quando não configurado. |
automation.use_own_credential_to_connect |
boolean | Retorna false quando a automação não está configurada. |
automation.authentication_credential |
object | Obrigatório quando use_own_credential_to_connect é false; caso contrário, null. |
automation.authentication_device |
object | Obrigatório quando use_own_credential_to_connect é false; caso contrário, null. |
Objeto certificate
| Campo | Tipo | Condição |
|---|---|---|
certificate.file |
object | Retorna null quando nenhum arquivo de certificado está associado. |
certificate.has_key_file |
boolean | Indica se um arquivo de chave está presente. |
certificate.has_key_password |
boolean | Indica se uma senha de chave está definida. |
Aviso:
certificate.key_fileecertificate.key_passwordsão classificados como sensíveis e nunca podem ser solicitados ou retornados. Solicitá-los retorna403.
Objeto session
| Campo | Tipo | Condição |
|---|---|---|
session.status |
string | Estado da sessão. Valores possíveis: in_progress, available. |
session.connectivity |
array[string] | Retorna um array vazio quando não configurado. |
Objeto web_service
| Campo | Tipo | Condição |
|---|---|---|
web_service.identifiers |
array[string] | Retorna null quando nenhuma sessão de web service está associada. |
web_service.server_path |
string | Retorna null quando não configurado. |
Objeto jit
| Campo | Tipo | Condição |
|---|---|---|
jit.credential_enabled |
boolean | Sempre presente. |
jit.type |
string | Obrigatório quando credential_enabled é true; caso contrário, null. Exemplo: ephemeral. |
jit.use_own_credential_to_connect |
boolean | Retorna false quando credential_enabled é false. |
jit.authentication_credential |
object | Obrigatório quando credential_enabled é true e use_own_credential_to_connect é false; caso contrário, null. |
jit.credential_enable_plugin |
object | Retorna null quando não configurado. |
jit.credential_enable_template |
object | Obrigatório quando credential_enable_plugin está definido; caso contrário, null. |
jit.credential_disable_plugin |
object | Retorna null quando não configurado. |
jit.credential_disable_template |
object | Obrigatório quando credential_disable_plugin está definido; caso contrário, null. |
jit.credential_creation_plugin |
object | Retorna null quando não configurado. |
jit.credential_creation_template |
object | Obrigatório quando credential_creation_plugin está definido; caso contrário, null. |
jit.credential_removal_plugin |
object | Retorna null quando não configurado. |
jit.credential_removal_template |
object | Obrigatório quando credential_removal_plugin está definido; caso contrário, null. |
Campos sensíveis — nunca retornados
Os campos a seguir são sempre excluídos da resposta, independentemente do parâmetro fields. Solicitá-los retorna 403:
credential.passwordcertificate.key_filecertificate.key_passwordtotp.secret_key
Exemplos de requisição
Resposta canônica completa (sem projeção):
GET {{url}}/api/v2/pam/credentials/101
Resposta com projeção — apenas campos específicos:
GET {{url}}/api/v2/pam/credentials/101?fields=credential.username,device,execution.automatic_change_enabled,jit.credential_enabled
Resposta
HTTP/1.1 200 OK
Exemplo de corpo da resposta — canônico completo
{
"data": {
"id": "101",
"credential": {
"username": "svc-payments",
"active": true,
"password_type": "password",
"tags": ["prod", "finance"],
"criticality": "high",
"user_credential_owner": {
"name": "John Doe"
},
"parent_credential": {
"id": "10",
"username": "root"
},
"last_used_at": "2026-01-29T12:34:56Z",
"additional_information": "Owned by Payments Team; used by CI/CD pipeline.",
"password_policy": "medium-lowercase-only"
},
"device": {
"id": 55,
"name": "db-prod-01",
"domain_name": "CORP",
"management_ip": "10.10.10.10",
"vendor": "Oracle",
"product": "Oracle Linux VM",
"site": "SP-DC1",
"tags": ["prod", "database"],
"connectivity_types": ["SSH", "SQL_Server"]
},
"secret": {
"has_secret": true,
"type": "password"
},
"execution": {
"automatic_change_enabled": true,
"change_plugin": {
"name": "linux-passwd"
},
"change_template": {
"name": "default-linux"
},
"agent_based_password_change": false,
"justification": "Managed by PAM"
},
"authentication": {
"use_own_credential_to_connect": false,
"credential": {
"id": "88",
"username": "auth-user"
},
"restrict_to_remote_application_only": false,
"notes": "Connection credential managed by infra team."
},
"reconciliation": {
"credential_enabled": true,
"autorun": true,
"credential": {
"id": "90",
"username": "recon-user"
},
"plugin": {
"name": "recon-linux"
},
"template": {
"name": "default-recon"
}
},
"automation": {
"restrict_access_to_applications_only": true,
"macro_remote_apps": [
{
"id": "12",
"name": "ERP Access"
}
],
"use_own_credential_to_connect": true,
"authentication_credential": null,
"authentication_device": null
},
"certificate": {
"file": {
"name": "client.crt"
},
"has_key_file": true,
"has_key_password": true
},
"session": {
"status": "available",
"connectivity": ["SSH", "SQL_Server"]
},
"web_service": {
"identifiers": ["svc-payment-api"],
"server_path": "/api/payments"
},
"jit": {
"credential_enabled": true,
"type": "ephemeral",
"use_own_credential_to_connect": false,
"authentication_credential": {
"id": "77",
"username": "jit-auth"
},
"credential_enable_plugin": {
"name": "jit-enable"
},
"credential_enable_template": {
"name": "enable-template"
},
"credential_disable_plugin": {
"name": "jit-disable"
},
"credential_disable_template": {
"name": "disable-template"
},
"credential_creation_plugin": null,
"credential_creation_template": null,
"credential_removal_plugin": null,
"credential_removal_template": null
}
},
"meta": {
"links": {
"self": "/api/v2/pam/credentials/101"
},
"actions": {
"checkout": "/api/v2/pam/credentials/101/checkout",
"rotate": "/api/v2/pam/credentials/101/rotate"
}
}
}
Exemplo de corpo da resposta — com projeção de campos
{
"data": {
"id": "101",
"credential": {
"username": "svc-payments"
},
"device": {
"id": 55,
"name": "db-prod-01"
},
"execution": {
"automatic_change_enabled": true
},
"jit": {
"credential_enabled": true
}
},
"meta": {
"links": {
"self": "/api/v2/pam/credentials/101?fields=credential.username,device,execution.automatic_change_enabled,jit.credential_enabled"
}
}
}
Nota: Quando
fieldsé omitido, todos os campos públicos do modelo canônico são retornados, comnullpara os campos que não são aplicáveis. Quandofieldsé informado, apenas os campos solicitados são retornados.
Campos do corpo da resposta
| Campo | Tipo | Descrição |
|---|---|---|
data |
object | Modelo canônico CredentialV2 completo da credencial solicitada. |
data.id |
string | Código de identificação único da credencial. |
data.credential |
object | Atributos de identidade e política da credencial. |
data.credential.username |
string | Nome de usuário atribuído à credencial. |
data.credential.active |
boolean | Indica se a credencial está ativa. |
data.credential.password_type |
string | Tipo do segredo da credencial. Exemplo: password. |
data.credential.parent_credential |
object | Objeto da credencial pai. Retorna null quando não configurado. |
data.credential.parent_credential.id |
string | Código de identificação único da credencial pai. |
data.credential.parent_credential.username |
string | Nome de usuário da credencial pai. |
data.credential.tags |
array[string] | Tags associadas à credencial. Retorna um array vazio quando nenhuma tag está configurada. |
data.credential.criticality |
string | Nível de criticidade. Valores possíveis: low, medium, high, critical. Retorna null quando não configurado. |
data.credential.user_credential_owner |
object | Responsável pela credencial. Retorna null quando não configurado. |
data.credential.user_credential_owner.name |
string | Nome do responsável pela credencial. |
data.credential.last_used_at |
string | Data e hora ISO 8601 do último uso da credencial. Retorna null quando nenhum uso está registrado. Exemplo: 2026-01-29T12:34:56Z. |
data.credential.additional_information |
string | Notas em texto livre sobre a credencial. Retorna null quando não configurado. |
data.credential.password_policy |
string | Nome da política de senha associada. Retorna null quando não configurado. |
data.device |
object | Dispositivo associado à credencial. |
data.device.id |
integer | Código de identificação único do dispositivo. |
data.device.name |
string | Nome do dispositivo. |
data.device.domain_name |
string | Domínio associado ao dispositivo. Retorna null quando não vinculado a um domínio. |
data.device.management_ip |
string | Endereço IP utilizado para gerenciar o dispositivo. Exemplo: 10.10.10.10. |
data.device.vendor |
string | Fabricante do dispositivo. Exemplo: Oracle. |
data.device.product |
string | Nome do produto do dispositivo. Exemplo: Oracle Linux VM. |
data.device.site |
string | Site onde o dispositivo está localizado. Exemplo: SP-DC1. |
data.device.tags |
array[string] | Tags associadas ao dispositivo. Retorna um array vazio quando nenhuma tag está configurada. |
data.device.connectivity_types |
array[enum] | Protocolos de conectividade disponíveis para o dispositivo. Exemplo: ["SSH", "SQL_Server"]. Retorna um array vazio quando não configurado. |
data.secret |
object | Indicador de presença e tipo do segredo. |
data.secret.has_secret |
boolean | Indica se a credencial possui um segredo associado. |
data.secret.type |
string | Tipo do segredo. Exemplo: password. |
data.execution |
object | Configuração de troca automática de senha. |
data.execution.automatic_change_enabled |
boolean | Indica se a rotação automática de credencial está habilitada. |
data.execution.change_plugin |
object | Plugin utilizado para a troca automática de senha. Retorna null quando não configurado. |
data.execution.change_plugin.name |
string | Nome do plugin de troca. |
data.execution.change_template |
object | Template utilizado para a troca automática de senha. Retorna null quando não configurado. |
data.execution.change_template.name |
string | Nome do template de troca. |
data.execution.agent_based_password_change |
boolean | Indica se a troca de senha baseada em agent está configurada. Retorna false quando não configurado. |
data.execution.justification |
string | Justificativa para a configuração de troca. Retorna null quando não configurado. |
data.authentication |
object | Configurações de autenticação para conexão ao dispositivo. |
data.authentication.use_own_credential_to_connect |
boolean | Indica se a credencial usa a si mesma para conectar ao dispositivo. |
data.authentication.credential |
object | Credencial de autenticação utilizada para conectar. Obrigatório quando use_own_credential_to_connect é false; caso contrário, null. |
data.authentication.credential.id |
string | Código de identificação único da credencial de autenticação. |
data.authentication.credential.username |
string | Nome de usuário da credencial de autenticação. |
data.authentication.restrict_to_remote_application_only |
boolean | Indica se o acesso está restrito apenas a aplicações remotas. Retorna false quando não configurado. |
data.authentication.notes |
string | Notas sobre a configuração de autenticação. Retorna null quando não configurado. |
data.reconciliation |
object | Configuração de reconciliação da credencial. |
data.reconciliation.credential_enabled |
boolean | Indica se a reconciliação está habilitada para esta credencial. |
data.reconciliation.autorun |
boolean | Indica se a reconciliação é executada automaticamente. Presente quando credential_enabled é true. |
data.reconciliation.credential |
object | Credencial utilizada para reconciliação. Presente quando credential_enabled é true. |
data.reconciliation.credential.id |
string | Código de identificação único da credencial de reconciliação. |
data.reconciliation.credential.username |
string | Nome de usuário da credencial de reconciliação. |
data.reconciliation.plugin |
object | Plugin utilizado para reconciliação. Presente quando credential_enabled é true. |
data.reconciliation.plugin.name |
string | Nome do plugin de reconciliação. |
data.reconciliation.template |
object | Template utilizado para reconciliação. Presente quando plugin está definido; caso contrário, null. |
data.reconciliation.template.name |
string | Nome do template de reconciliação. |
data.automation |
object | Configurações de acesso para RemoteApp e automação. |
data.automation.restrict_access_to_applications_only |
boolean | Indica se o acesso está restrito apenas a aplicações cadastradas. Retorna false quando não configurado. |
data.automation.macro_remote_apps |
array[object] | Lista de macros RemoteApp associados à credencial. Retorna um array vazio quando não configurado. |
data.automation.macro_remote_apps[].id |
string | Código de identificação único da macro RemoteApp. |
data.automation.macro_remote_apps[].name |
string | Nome da macro RemoteApp. |
data.automation.use_own_credential_to_connect |
boolean | Indica se a automação usa a própria credencial para conectar. Retorna false quando a automação não está configurada. |
data.automation.authentication_credential |
object | Credencial utilizada para autenticação da automação. Presente quando use_own_credential_to_connect é false; caso contrário, null. |
data.automation.authentication_credential.id |
string | Código de identificação único da credencial de autenticação da automação. |
data.automation.authentication_credential.username |
string | Nome de usuário da credencial de autenticação da automação. |
data.automation.authentication_device |
object | Dispositivo utilizado para autenticação da automação. Presente quando use_own_credential_to_connect é false; caso contrário, null. |
data.certificate |
object | Associação de arquivo de certificado. |
data.certificate.file |
object | Metadados do arquivo de certificado. Retorna null quando nenhum arquivo de certificado está associado. |
data.certificate.file.name |
string | Nome do arquivo de certificado. |
data.certificate.has_key_file |
boolean | Indica se um arquivo de chave está presente. |
data.certificate.has_key_password |
boolean | Indica se uma senha de chave está definida. |
data.session |
object | Status da sessão e protocolos de conectividade. |
data.session.status |
string | Estado da sessão. Valores possíveis: in_progress, available. |
data.session.connectivity |
array[string] | Protocolos de conectividade disponíveis para a sessão. Retorna um array vazio quando não configurado. |
data.web_service |
object | Identificadores e path do web service. |
data.web_service.identifiers |
array[string] | Identificadores da sessão de web service associada. Retorna null quando não configurado. |
data.web_service.server_path |
string | Path do servidor do web service. Retorna null quando não configurado. |
data.jit |
object | Configuração de provisionamento Just-in-Time (JIT). |
data.jit.credential_enabled |
boolean | Indica se o provisionamento Just-in-Time (JIT) está habilitado. |
data.jit.type |
string | Tipo de provisionamento JIT. Exemplo: ephemeral. Obrigatório quando credential_enabled é true; caso contrário, null. |
data.jit.use_own_credential_to_connect |
boolean | Indica se o JIT usa a própria credencial para conectar. Retorna false quando credential_enabled é false. |
data.jit.authentication_credential |
object | Credencial utilizada para autenticação JIT. Presente quando credential_enabled é true e use_own_credential_to_connect é false; caso contrário, null. |
data.jit.authentication_credential.id |
string | Código de identificação único da credencial de autenticação JIT. |
data.jit.authentication_credential.username |
string | Nome de usuário da credencial de autenticação JIT. |
data.jit.credential_enable_plugin |
object | Plugin utilizado para habilitar a credencial. Retorna null quando não configurado. |
data.jit.credential_enable_plugin.name |
string | Nome do plugin de habilitação. |
data.jit.credential_enable_template |
object | Template utilizado para habilitar a credencial. Presente quando credential_enable_plugin está definido; caso contrário, null. |
data.jit.credential_enable_template.name |
string | Nome do template de habilitação. |
data.jit.credential_disable_plugin |
object | Plugin utilizado para desabilitar a credencial. Retorna null quando não configurado. |
data.jit.credential_disable_plugin.name |
string | Nome do plugin de desabilitação. |
data.jit.credential_disable_template |
object | Template utilizado para desabilitar a credencial. Presente quando credential_disable_plugin está definido; caso contrário, null. |
data.jit.credential_disable_template.name |
string | Nome do template de desabilitação. |
data.jit.credential_creation_plugin |
object | Plugin utilizado para criar a credencial. Retorna null quando não configurado. |
data.jit.credential_creation_plugin.name |
string | Nome do plugin de criação. |
data.jit.credential_creation_template |
object | Template utilizado para criar a credencial. Presente quando credential_creation_plugin está definido; caso contrário, null. |
data.jit.credential_creation_template.name |
string | Nome do template de criação. |
data.jit.credential_removal_plugin |
object | Plugin utilizado para remover a credencial. Retorna null quando não configurado. |
data.jit.credential_removal_plugin.name |
string | Nome do plugin de remoção. |
data.jit.credential_removal_template |
object | Template utilizado para remover a credencial. Presente quando credential_removal_plugin está definido; caso contrário, null. |
data.jit.credential_removal_template.name |
string | Nome do template de remoção. |
meta |
object | Links de navegação e ações disponíveis para a credencial. |
meta.links |
object | Links de navegação para o recurso atual. |
meta.links.self |
string | URL da requisição atual. |
meta.actions |
object | Ações disponíveis para a credencial. Presente em respostas completas; pode estar ausente em respostas com projeção. |
meta.actions.checkout |
string | Endpoint para fazer checkout desta credencial. |
meta.actions.rotate |
string | Endpoint para rotacionar a senha da credencial. |
Erros
| Código HTTP | Mensagem | Causa possível | Solução |
|---|---|---|---|
401 |
Unauthorized |
Token de autenticação ausente ou inválido. | Verifique o token de acesso e solicite um novo caso esteja expirado. |
403 |
api.fields.sensitive.not.allowed |
Um campo sensível foi solicitado via fields. |
Remova os campos sensíveis (credential.password, certificate.key_file, certificate.key_password, totp.secret_key) do parâmetro fields. |
403 |
Forbidden |
A autorização não possui permissão de leitura para recursos do PAM Core, ou os fields solicitados não são permitidos pela autorização vigente. |
Solicite ao administrador que verifique as permissões de autorização no A2A. |
404 |
Resource not found |
O id da credencial não existe ou não está acessível à autorização. |
Verifique o valor do id e confirme que a credencial existe em GET | Listar todas as credenciais (v2). |
422 |
api.fields.invalid |
Um ou mais valores em fields não existem no modelo canônico CredentialV2. |
Revise o parâmetro fields conforme a lista de campos suportados neste documento. |
500 |
Unexpected error. |
Erro interno do servidor. | Entre em contato com o suporte da Segura®. |
Erros de autenticação
| Mensagem | Causa possível | Solução |
|---|---|---|
Client authentication failed. |
Falha na autenticação da aplicação com o servidor Segura®. | Verifique os parâmetros de autenticação (Access Token URL, Client ID e Client secret) e solicite um novo token de acesso. |
Invalid signature |
Falha no reconhecimento da URL da aplicação cliente. | Verifique a URL da aplicação cliente e reenvie a requisição. |
No route matched with those values. |
Header de autorização ausente na requisição da API. | Solicite um novo token de acesso. |
Request timed out. |
A requisição excedeu o limite de tempo. | Verifique a conectividade entre a origem da requisição e o servidor Segura®. |