Gestion des jetons d’API

Aperçu des jetons d’API

Les jetons d’authentification d’API REST Tanium permettent aux comptes d’utilisateur et de service d’établir des sessions à long terme avec le serveur TaniumTaaS sans réauthentifier plusieurs fois les workflows qui sont définis à long terme mais qui ne fonctionnent pas en continu. Par exemple, le compte de service pour un module peut accéder périodiquement au serveur TaniumTaaS pour mettre à jour les groupes d’ordinateurs ciblés par le module pour réaliser des actions.

Le serveur Tanium TaaS génère et stocke un jeton en réponse à une demande d’API. Le jeton est lié à l’utilisateur et au persona qui ont envoyé la demande. Chaque utilisateur peut avoir plusieurs jetons. Un jeton peut authentifier uniquement l’utilisateur qui l’a demandé, et non pas d’autres utilisateurs. Les informations d’authentification et les permissions d’autorisation d’un jeton sont ceux du persona demandeur.

Les jetons ont un intervalle d’expiration configurable. Pour éviter les interruptions des workflows à long terme, les utilisateurs doivent faire tourner les jetons, notamment en demandant de nouveaux jetons et en révoquant les jetons actuels avant leur expiration. Contacter l’assistance Tanium pour accéder à la référence API REST qui contient les procédures pour demander et révoquer manuellement ou automatiquement des jetons via l’API. Vous pouvez également voir et révoquer manuellement les jetons par le biais de la console Tanium, comme décrit dans les sections suivantes.

Pour gérer les jetons d’API, les utilisateurs doivent disposer d’un rôle avec les permissions micro admin View Token (Afficher le jeton), Use Token (Utiliser le jeton) et Revoke Token (Révoquer le jeton). Le rôle réservé Administrateur comporte toutes ces permissions.

Afficher les détails du jeton d’API

La page API Tokens (Jetons d’API) affiche les attributs des jetons d’API valides. La grille API Tokens (Jetons d’API) arrête d’afficher les jetons que vous révoquez. Elle identifie chaque jeton par son ID et indique l’utilisateur pour lequel le jeton est valide.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > API Tokens (Jetons d’API) Administration (Administration) > Configuration (Configuration) > API Token (Jeton d’API).

    La page affiche les attributs de jeton, mais pas les chaînes de jeton.

    Jetons d’API

  2. (Facultatif) Pour afficher une chaîne de jeton, sélectionnez le jeton dans la grille et cliquez sur View Token (Afficher le jeton).

    Vous ne pouvez pas afficher la chaîne de jeton dans Tanium Console après :
    • L’écoulement du délai d’expiration de visibilité (cinq minutes)
    • Avoir actualisé la page ou la grille API Tokens (Jetons d’API)
    • Avoir accédé à une autre page de la console

  3. (Facultatif) Utilisez les filtres pour trouver des jetons spécifiques :
    • Filter by text (Filtrer par texte) : pour filtrer la grille avec des valeurs de colonne, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filter by attribute (Filtrer par attribut) : filtrez la grille selon un ou plusieurs attributs, tels que l’utilisateur pour lequel le jeton est valable. Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.

Créer un jeton d’API

  1. Connectez-vous à Tanium Console en tant qu’utilisateur et persona pour lesquels vous souhaitez créer un jeton.

    Les informations d’authentification et les permissions d’autorisation d’un jeton sont ceux du persona demandeur. Pour limiter l’accès aux groupes d’ordinateurs et aux Content Sets, créez un persona avec les permissions souhaitées, puis connectez-vous avec le nouveau persona.

  2. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > API Tokens (Jetons d’API) Administration (Administration) > Configuration (Configuration) > API Token (Jeton d’API).
  3. Cliquez sur New API Token (Nouveau jeton d’API) et configurez les paramètres du jeton :
    • Notes (Remarques) (facultatif) : saisissez une description de l’objectif de ce jeton.
    • Expire in days (Délai d’expiration en jours) : saisissez l’intervalle d’expiration.

      Pour modifier l’intervalle d’expiration par défaut (sept jours), reportez-vous à la section Définir l’intervalle d’expiration par défaut pour les jetons d’API.

    • Trusted IP addresses (Adresses IP approuvées) : saisissez les adresses IP des systèmes à partir desquels vous utiliserez ce jeton pour vous authentifier auprès du serveur TaniumTaaS. Utilisez des virgules ou des sauts de ligne pour séparer plusieurs entrées.
      Pour permettre à n’importe quel système d’utiliser le jeton, saisissez 0.0.0.0/0. Toutefois, pour des raisons de sécurité, activez le jeton pour tous les systèmes uniquement dans un environnement de non-production.

      Pour spécifier les systèmes à partir desquels vous pouvez utiliser un jeton, reportez-vous à la section Permettre aux systèmes d’utiliser des jetons d’API.

  4. Cliquez sur Save (Enregistrer) et passez en revue les détails du jeton.
  5. (Facultatif) Copiez Copier le jeton dans votre presse-papiers si vous souhaitez l’enregistrer pour référence ultérieure, puis cliquez sur Close (Fermer).

    Vous ne pouvez pas afficher le jeton dans Tanium Console après l’écoulement du délai d’expiration de visibilité (cinq minutes), ou après avoir actualisé la page ou la grille API Tokens (Jetons d’API), ou encore après avoir accéder à une autre page de la console.

Permettre aux systèmes d’utiliser des jetons d’API

Effectuez cette tâche pour spécifier à partir de quels systèmes les utilisateurs sont autorisés à utiliser des jetons d’API pour accéder au serveur Tanium. Pour autoriser l’utilisation de jetons d’API spécifiques à partir de systèmes supplémentaires, spécifiez ces systèmes lorsque vous créez les jetons (reportez-vous à la section Créer un jeton d’API).

Par défaut, le serveur Tanium autorise les demandes de jetons provenant du serveur de module Tanium. Ainsi, vous n’avez pas à ajouter le serveur du module à la liste d’autorisations.

  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux).
  2. Sélectionnez le paramètre api_token_trusted_address_list (liste_adresses_approuvées_jeton_api) et, dans le volet Selected System Setting (Paramètre système sélectionné), cliquez sur Edit (Modifier).
  3. Renseignez la valeur du paramètre avec les adresses IP des systèmes hôtes à partir desquels les utilisateurs utiliseront des jetons pour accéder au serveur Tanium. Utilisez des virgules pour séparer les entrées telles que 192.0.2.1,192.0.2.2.

    Pour permettre à n’importe quel système d’utiliser des jetons, saisissez 0.0.0.0/0. Toutefois, pour des raisons de sécurité, autorisez tous les systèmes à utiliser des jetons uniquement dans un environnement de non-production.

  4. Cliquez sur Save (Enregistrer).

Définir l’intervalle d’expiration par défaut pour les jetons d’API

Les jetons d’API expirent par défaut une semaine après leur création. Les modifications apportées à l’intervalle d’expiration par défaut ne s’appliquent qu’aux jetons créés après la modification du paramètre ; vous ne pouvez pas modifier l’intervalle pour les jetons existants. Procédez comme suit pour modifier l’intervalle d’expiration :

  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux).
  2. Sélectionnez le paramètre api_token_expiration_in_days (expiration_jeton_api_en_jours) et, dans le volet Selected System Setting (Paramètre système sélectionné), cliquez sur Edit (Modifier).
  3. Réglez la valeur du paramètre sur l’intervalle d’expiration souhaité en jours et cliquez sur Save (Enregistrer).

Révoquer les jetons d’API

Vous pouvez révoquer un jeton d’API si vous avez des doutes sur sa sécurité ou si son utilisateur associé n’est plus dans votre organisation.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > API Tokens (Jetons d’API) Administration (Administration) > Configuration (Configuration) > API Token (Jeton d’API).
  2. Sélectionnez un ou plusieurs jetons d’API, cliquez sur Deleted Selected (Supprimer la sélection) Supprimer la sélection puis sur Confirm (Confirmer) pour confirmer l’opération.

    Les jetons révoqués n’apparaissent plus dans la grille API Tokens (Jetons d’API).