Gestion des jetons d’API

Aperçu des jetons d’API

Les jetons d’authentification d’API REST Tanium permettent aux utilisateurs d’établir des sessions à long terme avec Cloud Taniumle Tanium Server sans avoir à se réauthentifier répétitivement pour les workflows qui sont définis sur le long terme mais qui ne fonctionnent pas en continu.

Un jeton ne peut authentifier que l’utilisateur qui le crée, et non d’autres utilisateurs. Les informations d’identification d’authentification et les permissions d’autorisation d’un jeton sont celles du compte d’utilisateur ou du persona qui est utilisé pour le créer. Chaque utilisateur ou persona peut avoir plusieurs jetons.

Les jetons ont un intervalle d’expiration configurable. Pour éviter les interruptions des workflows à long terme, les utilisateurs doivent faire tourner les jetons, notamment en demandant de nouveaux jetons et en révoquant les jetons actuels avant leur expiration.

Pour les autorisations de rôle d’utilisateur requises pour gérer les jetons d’API, reportez-vous à Gérer des jetons d’API.

Pour résoudre les problèmes avec les jetons d’API, reportez-vous au Guide de référence du déploiement de Tanium Core Platform : Journaux d’authentification.

Affichez les détails du jeton d’API

La page API Tokens (Jetons d’API) affiche les attributs des jetons d’API valides. La grille API Tokens (Jetons d’API) arrête d’afficher les jetons que vous révoquez. La grille identifie chaque jeton par son ID (ID) (cette colonne est masquée par défaut) et indique le User (Utilisateur) pour lequel le jeton est valide.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > API Tokens (Jetons d’Api).

    La page affiche les attributs de jeton, mais pas les chaînes de jeton.

    Jetons d’API

  2. (Facultatif) Pour afficher une valeur de jeton, sélectionnez le jeton dans la grille et cliquez sur View Token (Afficher le jeton).

    Vous ne pouvez pas afficher la valeur de jeton dans la Tanium Console après :
    • L’écoulement du délai d’expiration de visibilité (cinq minutes)
    • Avoir actualisé la page ou la grille API Tokens (Jetons d’API)
    • Avoir accédé à une autre page de la Console

  3. (Facultatif) Utilisez les filtres pour trouver des jetons spécifiques :
    • Filter by text (Filtrer par texte) : pour filtrer la grille avec des valeurs de colonne, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filter by attribute (Filtrer par attribut) : filtrez la grille selon un ou plusieurs attributs, tels que l’utilisateur pour lequel le jeton est valide. Développez la section Développer Filters (Filtres), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur de l’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.

Créer un jeton d’API

Chaque jeton possède les mêmes informations d’identification d’authentification et permissions d’autorisation que le compte d’utilisateur ou le persona que vous utilisez pour créer le jeton. Par conséquent, effectuez les étapes suivantes via un compte ou un persona qui a les mêmes limites que le jeton doit avoir en termes d’accès aux groupes d’ordinateurs et aux Content Sets. Reportez-vous aux sections Gestion des utilisateurs et Gestion des personas.

Pour étendre le délai d’expiration d’un jeton sans modifier ses autres paramètres, vous pouvez Faire tourner un jeton d’API.

  1. Connectez-vous à Tanium Console en tant qu’utilisateur et persona pour lesquels vous souhaitez créer un jeton.

  2. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > API Tokens (Jetons d’Api).
  3. Cliquez sur New API Token (Nouveau jeton d’API) et configurez les paramètres du jeton :
    • Notes (Remarques) (facultatif) : saisissez une description de l’objectif de ce jeton.
    • Expire in days (Délai d’expiration en jours) : saisissez l’intervalle d’expiration. Par défaut, l’intervalle maximum est de 365 jours. Si vous ne saisissez pas de valeur, l’intervalle est défini par défaut sur 7 jours.

      Pour modifier l’intervalle par défaut ou l’intervalle maximum, voir Configurer les paramètres d’expiration du jeton.

    • Trusted IP addresses (Adresses IP approuvées) : saisissez les adresses IP des systèmes à partir desquels vous utiliserez ce jeton pour vous authentifier auprès du Cloud TaniumTanium Server. Utilisez des virgules ou des sauts de ligne pour séparer plusieurs entrées.
      Pour permettre à n’importe quel système d’utiliser le jeton, saisissez 0.0.0.0/0. Toutefois, pour des raisons de sécurité, activez le jeton pour tous les systèmes uniquement dans un environnement de non-production.

      Pour spécifier les systèmes à partir desquels vous pouvez utiliser un jeton, reportez-vous à la section Permettre aux systèmes d’utiliser des jetons d’API.

  4. Cliquez sur Save (Enregistrer) et passez en revue les détails du jeton.
  5. Copiez Copier le jeton dans votre presse-papiers si vous souhaitez l’enregistrer pour référence ultérieure, puis cliquez sur Close (Fermer).

    Vous ne pouvez pas afficher la valeur de jeton dans la Tanium Console après l’écoulement du délai d’expiration de visibilité (cinq minutes), ou après avoir actualisé la page ou la grille API Tokens (Jetons d’API), ou encore après avoir accéder à une autre page de la Console. Si vous faites tourner le jeton ultérieurement, vous devez saisir à nouveau sa valeur. Par conséquent, si vous souhaitez que la rotation soit une option, copiez la valeur avant l’écoulement du délai d’expiration et enregistrez-la à un emplacement sécurisé.

Faire tourner un jeton d’API

Pour étendre l’intervalle d’expiration d’un jeton sans modifier ses autres paramètres, faites tourner le jeton. La rotation supprime le jeton existant et en crée un nouveau. Le délai d’expiration du nouveau jeton est réinitialisé et a le même intervalle que le jeton supprimé.

Vous ne pouvez pas faire tourner un jeton à moins d’avoir enregistré un enregistrement de sa valeur après avoir créé le jeton. Après avoir fait tourner le jeton, le délai d’expiration de visibilité pour sa valeur est réinitialisé à cinq minutes. Reportez-vous à la section Affichez les détails du jeton d’API.

  1. Connectez-vous à la Tanium Console en tant qu’utilisateur disposant de la permission Token - Rotate (Jeton - Rotation).

  2. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > API Tokens (Jetons d’Api).
  3. Sélectionnez le jeton et cliquez sur Rotate Token (Tourner le jeton).

  4. Saisissez la valeur pour Token (Jeton) et cliquez sur Confirm (Confirmer).

  5. Copiez Copier la nouvelle valeur du jeton dans votre presse-papiers si vous souhaitez l’enregistrer pour une utilisation ultérieure (par exemple pour faire tourner à nouveau le jeton), puis cliquez sur Close (Fermer).

Permettre aux systèmes d’utiliser des jetons d’API

Effectuez cette tâche pour spécifier à partir de quels systèmes les utilisateurs sont autorisés à utiliser des jetons d’API pour accéder au Tanium Server. Pour autoriser l’utilisation de jetons d’API spécifiques à partir de systèmes supplémentaires, spécifiez ces systèmes lorsque vous créez les jetons (reportez-vous à la section Créer un jeton d’API).

Par défaut, le Tanium Server autorise les demandes de jetons provenant du serveur de module Tanium. Ainsi, vous n’avez pas à ajouter le serveur du module à la liste d’autorisations.

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés).
  2. Dans la colonne Name (Nom), cliquez sur api_token_trusted_ip_address_list.
  3. Renseignez le champ Value (Valeur) avec les adresses IP externes des systèmes hôtes à partir desquels les utilisateurs exploiteront des jetons pour accéder au Tanium Server, puis cliquez sur Save (Enregistrer). Utilisez des virgules pour séparer les entrées telles que 192.0.2.1,192.0.2.2.

    Pour permettre à n’importe quel système d’utiliser des jetons, saisissez 0.0.0.0/0. Toutefois, pour des raisons de sécurité, appliquez cette option uniquement dans un environnement de non-production.

  4. Activez le paramètre authenticate_api_token_with_x_forwarded_for_ip uniquement si tous les accès des jetons d’API au Tanium Server doivent passer par un serveur proxy inversé. Si le paramètre authenticate_api_token_with_x_forwarded_for_ip est désactivé dans le cadre de ces déploiements, le paramètre api_token_trusted_ip_address_list ne peut pas restreindre les systèmes qui sont autorisés à y accéder.
    1. Dans la colonne Name (Nom), cliquez sur authenticate_api_token_with_x_forwarded_for_ip.

    2. Définissez la Value (Valeur) sur 1 et cliquez sur Save (Enregistrer).

Configurer les paramètres d’expiration du jeton

Par défaut, les jetons API expirent une semaine après leur création si vous n’avez pas spécifié l’intervalle d’expiration pendant la création du jeton. Par ailleurs, par défaut, vous ne pouvez pas spécifier un intervalle au-delà de 365 jours pendant la création du jeton. Vous pouvez modifier l’intervalle par défaut et l’intervalle maximum. Cependant, les modifications apportées à l’intervalle par défaut ne s’appliquent qu’aux jetons créés après la modification du paramètre ; vous ne pouvez pas modifier l’intervalle pour les jetons existants. Procédez comme suit pour modifier les paramètres de l’intervalle d’expiration :

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés).
  2. Pour modifier l’intervalle d’expiration par défaut, cliquez sur api_token_expiration_in_days dans la colonne Name (Nom), définissez Value (Valeur) sur un nouvel intervalle (en jours), puis cliquez sur Save (Enregistrer).
  3. Pour modifier l’intervalle d’expiration maximum, cliquez sur api_token_max_expiration_in_days dans la colonne Name (Nom), définissez Value (Valeur) sur une valeur maximum (en jours), puis cliquez sur Save (Enregistrer).

Révoquer les jetons d’API

Vous pouvez révoquer un jeton d’API si vous avez des doutes sur sa sécurité ou si son utilisateur associé n’est plus dans votre organisation.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > API Tokens (Jetons d’Api).
  2. Sélectionnez un ou plusieurs jetons d’API, cliquez sur Deleted Selected (Supprimer la sélection) Supprimer la sélection puis sur Confirm (Confirmer) pour confirmer l’opération.

    Les jetons révoqués n’apparaissent plus dans la grille API Tokens (Jetons d’API).