by 安全扫描
OpenClaw
安全
high confidence该技能是一个纯指令集成,始终指示代理使用 Membrane CLI 访问 SailPoint;其需求和指令与所述目的一致。
评估建议
该技能内部一致:它指示代理使用 Membrane CLI 访问 SailPoint,不请求额外凭据。在安装/使用前,请验证 Membrane 和 @membranehq/cli 包的可信度(检查 npm 包所有者、GitHub 仓库、发布历史和评论)。如果想避免全局安装,建议使用 npx 进行一次性运行。确认组织将身份访问委托给第三方平台(Membrane)的政策,并确保最小权限连接器配置—审计 SailPoint 将被授予的连接器范围/权限,并在审查前避免在高度敏感的生产数据上使用。...详细分析 ▾
✓ 用途与能力
名称/描述(SailPoint 集成)与指令一致:所有运行时操作都使用 Membrane CLI 来发现连接器、创建连接、运行操作或代理 API 请求到 SailPoint。未请求无关服务、凭据或二进制文件。
✓ 指令范围
SKILL.md 将运行时活动限制为安装/使用 Membrane CLI、执行基于浏览器的登录、运行 membrane 命令(search/connect/action/request)。它不指示读取任意本地文件、环境密钥或联系 Membrane/SailPoint 之外的意外端点。
ℹ 安装机制
这是一个纯指令技能(无安装规范)。README 建议通过 npm -g 安装 @membranehq/cli(或使用 npx)。安装全局 npm 包会运行来自 npm 注册表的代码,这对 CLI 来说是正常的,但存在通常的风险—在安装前验证包来源和维护者。
✓ 凭证需求
该技能声明无需环境变量、凭据和配置路径。它明确将认证委托给 Membrane,这对于面向连接器的集成是合理的。
✓ 持久化与权限
always 为 false,该技能不请求持久化的系统级权限或修改其他技能。允许自主调用(平台默认),但不与其他令人担忧的权限结合使用。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.22026/3/28
回滚刷新标记
● Pending
安装命令
点击复制官方npx clawhub@latest install sailpoint
镜像加速npx clawhub@latest install sailpoint --registry https://cn.longxiaskill.com镜像同步中
技能文档
SailPoint 是一个身份安全平台,帮助组织管理和控制用户对应用程序和数据的访问。它被 IT 和安全团队用于自动化身份治理、降低风险并确保合规性。
官方文档:https://developer.sailpoint.com/
SailPoint 概述
- Identity - 身份
- Account - 账户
- Source - 数据源
- Entitlement - 权限
使用 SailPoint
此技能使用 Membrane CLI 与 SailPoint 交互。Membrane 自动处理身份验证和凭据刷新——因此您可以专注于集成逻辑,而不是身份验证流程。
安装 CLI
安装 Membrane CLI,以便您可以从终端运行 membrane:
npm install -g @membranehq/cli
首次设置
membrane login --tenant
浏览器窗口将打开以进行身份验证。
无头环境: 运行命令,将打印的 URL 复制给用户在浏览器中打开,然后使用 membrane login complete 完成。
连接到 SailPoint
创建新连接:
membrane search sailpoint --elementType=connector --json
从 output.items[0].element?.id 获取连接器 ID,然后:
membrane connect --connectorId=CONNECTOR_ID --json
用户在浏览器中完成身份验证。输出包含新的连接 ID。
获取现有连接列表
当您不确定连接是否已存在时:
检查现有连接:
membrane connection list --json
如果存在 SailPoint 连接,记下其 connectionId
搜索操作
当您知道想要做什么但不知道确切的操作 ID 时:
membrane action list --intent=QUERY --connectionId=CONNECTION_ID --json
这将返回包含 id 和 inputSchema 的操作对象,因此您将知道如何运行它。
热门操作
使用 npx @membranehq/cli@latest action list --intent=QUERY --connectionId=CONNECTION_ID --json 发现可用的操作。
运行操作
membrane action run --connectionId=CONNECTION_ID ACTION_ID --json
传递 JSON 参数:
membrane action run --connectionId=CONNECTION_ID ACTION_ID --json --input "{ \"key\": \"value\" }"
代理请求
当可用的操作不满足您的用例时,您可以通过 Membrane 的代理直接向 SailPoint API 发送请求。Membrane 会自动将基础 URL 附加到您提供的路径,并注入正确的身份验证头——包括凭据过期时的透明刷新。
membrane request CONNECTION_ID /path/to/endpoint
常用选项:
| 标志 | 描述 |
|---|---|
-X, --method | HTTP 方法(GET、POST、PUT、PATCH、DELETE)。默认为 GET |
-H, --header | 添加请求头(可重复),例如 -H "Accept: application/json" |
-d, --data | 请求体(字符串) |
--json | 简写方式,发送 JSON body 并设置 Content-Type: application/json |
--rawData | 发送 body 原样,不做任何处理 |
--query | 查询字符串参数(可重复),例如 --query "limit=10" |
--pathParam | 路径参数(可重复),例如 --pathParam "id=123" |
最佳实践
- 始终优先使用 Membrane 与外部应用通信 — Membrane 提供预构建的操作,内置身份验证、分页和错误处理。这将消耗更少的 token 并使通信更安全
- 先发现再构建 — 运行
membrane action list --intent=QUERY(将 QUERY 替换为您的意图)在编写自定义 API 调用之前找到现有操作。预构建操作处理分页、字段映射和原始 API 调用遗漏的边缘情况
- 让 Membrane 处理凭据 — 永远不要向用户请求 API 密钥或令牌。创建连接代替;Membrane 在服务器端管理完整的身份验证生命周期,无本地密钥