Gestion des personas

Aperçu des personas

Un persona est un ensemble de rôles et de groupes d’ordinateurs qu’un utilisateur sélectionne pour une session Tanium. L’affectation de plusieurs personas à un compte d’utilisateur vous permet d’appliquer différents ensembles de restrictions sur ce que l’utilisateur peut voir et faire avec Tanium Core Platform, en fonction de la portée des tâches pour une session donnée, sans avoir à configurer plusieurs comptes pour l’utilisateur. Par exemple, les utilisateurs peuvent gérer les endpoints dans plusieurs pays, chacun ayant des lois uniques sur la protection de la vie privée, ce qui limite les actions que les utilisateurs peuvent déployer sur des endpoints spécifiques en fonction des règles de sécurité. Vous pouvez configurer un persona avec un rôle qui permet des actions liées uniquement à la maintenance du client Tanium sur tous les groupes d’ordinateurs d’un pays donné. Vous pouvez donner au même utilisateur un autre persona qui permet des installations de correctifs de sécurité, mais uniquement pour le sous-ensemble de groupes d’ordinateurs géré directement par l’utilisateur.

Si vous prévoyez d’importer des utilisateurs et des groupes d’utilisateurs à partir d’un serveur LDAP ou AD , faites-le avant de configurer et d’affecter des personas. Pour plus de détails, reportez-vous à la section Intégration aux serveurs LDAP.

Les types de persona sont les suivants :

Persona par défaut

Les permissions d’utilisateur dérivent des rôles et des groupes d’ordinateurs affectés au persona et, si l’utilisateur appartient aux groupes d’utilisateurs, des rôles et des groupes d’ordinateurs affectés au persona par défaut de ces groupes d’utilisateurs. Le persona par défaut s’applique automatiquement lorsque les utilisateurs se connectent à Tanium Console. Le Tanium Server attribue automatiquement le persona par défaut aux nouveaux utilisateurs et groupes d’utilisateurs et, après la mise à niveau vers Tanium Server 7.4 ou une version ultérieure, aux utilisateurs et groupes pré-mise à niveau existants. Chaque utilisateur et chaque groupe ne dispose que d’un seul persona unique par défaut. Un persona par défaut ne peut pas être partagé par plusieurs utilisateurs et groupes. Vous ne pouvez pas supprimer les personas par défaut ou les réaffecter à plusieurs utilisateurs ou groupes.

Personas alternatifs

Les permissions d’utilisateur dérivent uniquement des rôles et des groupes d’ordinateurs affectés au persona. Un utilisateur peut hériter de plusieurs personas alternatifs de la part des groupes d’utilisateurs, mais uniquement les permissions du persona unique que l’utilisateur sélectionne pour la session actuelle Tanium. Notez que lorsque vous attribuez d’autres personas à un groupe d’utilisateurs, les personas n’héritent pas des permissions de ce groupe. Dans l’exemple illustré par Figure 1, le persona A est affecté au groupe d’utilisateurs SOC, dans lequel l’utilisateur John est membre. Si John passe au persona A, ses permissions sont limitées aux rôles et groupes d’ordinateurs qui sont affectés au persona A. Tant que John utilise le persona A, il n’a aucune des permissions qui sont attribuées au persona par défaut de son compte utilisateur ou que son compte hérite du persona par défaut du SOC de groupe d’utilisateurs. John peut hériter des rôles et des groupes d’ordinateurs du SOC uniquement en revenant à son persona par défaut.

Vous pouvez affecter un persona alternatif à plusieurs utilisateurs et groupes d’utilisateurs. Chaque utilisateur et groupe peut avoir zéro ou plusieurs personas alternatifs.

Figure 1 : Personas Tanium

Pour plus de détails sur le mode d’interaction des personas avec les utilisateurs, les groupes d’utilisateurs, les groupes d’ordinateurs et les rôles afin de déterminer les permissions en vigueur d’un utilisateur, reportez-vous à la section Mise en œuvre et concepts de RBAC Tanium.

Pour les autorisations de rôle requises pour pouvoir gérer les personas, reportez-vous à la section Gérer les personas.

Si la Tanium Console affiche des erreurs de RBAC (comme RBACInsufficientPrivilege (PrivilègeRBACInsuffisant)) lorsque vous essayez d’accéder à certaines fonctionnalités après avoir changé de persona, reportez-vous à la section Résoudre les problèmes de permission.

Afficher les détails du persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).

    La page affiche les attributs du persona.

  2. (Facultatif) Pour afficher les identificateurs de persona, cliquez sur Personnaliser les colonnes Personnaliser les colonnes et sélectionnez ID (ID).
  3. (Facultatif) Utilisez les filtres pour trouver des personas spécifiques :
    • Filtrer par texte : pour filtrer la grille selon les valeurs de la colonne, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filtrer par attribut : filtrez la grille selon un ou plusieurs attributs, tels Name (Nom) du persona. Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  4. Affichez les permissions en vigueur d’un persona et les rôles, groupes d’ordinateurs, utilisateurs et groupes d’utilisateurs attribués en cliquant sur le champ Name (Nom) du persona. Pour obtenir plus de détails sur les permissions, reportez-vous à la section Afficher les permissions de rôle en vigueur pour un persona.

Créer un persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas) et cliquez sur New Persona (Nouveau persona).
  2. Saisissez un Persona Name (Nom de persona) pour identifier le persona.
  3. (Facultatif) Saisissez une Description (Description) pour ce persona. La page Personas (Personas) affiche votre saisie dans la colonne Display Name (Nom d’affichage). Les utilisateurs verront également la description lorsqu’ils changent de persona.
  4. Dans Color (Couleur), sélectionnez la valeur que le menu principal affichera pour vous aider à identifier rapidement le persona.Couleur du persona
  5. Configurez les attributions de rôle, de groupe d’utilisateurs, d’utilisateur et de groupe d’ordinateurs :
  6. Passez en revue les attributions et cliquez sur Save (Enregistrer).

Modifier un persona

  1. Dans le menu principal, allez dans Administration (Administration) > Permissions (Permissions) > Personas (Personas).
  2. Cliquez sur le champ Name (Nom) du persona et cliquez sur Edit Mode (Mode de modification).
  3. Mettez à jour les paramètres Name (Nom), Description (Description) et Color (Couleur).
  4. Modifiez les attributions de rôle, de groupe d’utilisateurs, d’utilisateur et de groupe d’ordinateurs :
  5. Examinez vos modifications et cliquez sur Save (Enregistrer).

Gérer les attributions de rôles pour un persona

Pour obtenir un aperçu de la manière dont les permissions en vigueur sont dérivées pour un persona, et pour afficher les rôles et les Content Sets associés qui sont attribués à un persona, reportez-vous à la section Afficher les permissions de rôle en vigueur pour un persona.

Pour attribuer ou annuler l’attribution des rôles et des Content Sets associés pour un persona, reportez-vous à la section Configurer des attributions de rôle pour un persona.

Afficher les permissions de rôle en vigueur pour un persona

Les permissions en vigueur d’un persona dépendent de l’effet cumulé de tous les rôles attribués, notamment :

  • Les permissions spécifiées dans les rôles d’autorisation moins les permissions spécifiées dans les rôles de refus
  • Les permissions fournies implicitement dans les rôles d’autorisation

Procédez comme suit pour afficher les permissions en vigueur pour un persona :

  1. Dans le menu principal, allez dans Administration (Administration) > Permissions (Permissions) > Personas (Personas) et cliquez sur le champ Name (Nom) du persona.

  2. Passez en revue les rôles, permissions et Content Sets attribués et hérités. La page affiche des icônes pour indiquer :

    Permission explicite Les rôles ou permissions d’autorisation

    Permission super explicite Les rôles ou permissions de refus

    Les pages de configuration des rôles indiquent si des permissions sont explicitement attribuées ou implicitement fournies. Consultez la section Afficher les permissions de rôle en vigueur.

    Si vous attribuez le rôle réservé Admin (Administrateur), il apparaîtdes rôles réservés (comme Administrator (Administrateur)), ils apparaissent sous Global Permissions (Permissions globales) avec une seule permission Special (Spéciale) Permission explicite.

  3. (Facultatif) Développez Développer une permission individuelle pour passer en revue les Content Sets qui lui sont attribués. Seules les permissions de contenu de solution (comme la permission Trends Administrator (Administrateur du module Trends)) et les permissions de contenu de plateforme (comme la permission de lecture Sensor (Sensor)) sont associées à des Content Sets. La page affiche des icônes pour indiquer le type de permission auquel les Content Sets sont attribués :

    Permission explicite Permission d’autorisation

    Permission de refus Permission de refus

Figure 2 : Permissions effectives

Configurer des attributions de rôle pour un persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).
  2. Cliquez sur le champ Name (Nom) du persona et cliquez sur Edit Mode (Mode de modification).
  3. Dans la section Roles (Rôles), cliquez sur Manage Roles (Gérer les rôles).
  4. Sélectionnez ou désélectionnez les rôles et cliquez sur Apply (Appliquer).

    Vous ne pouvez pas attribuer le rôle réservé Content Administrator (Administrateur de contenu) ou Content Set Administrator (Administrateur de Content Set) à un persona.

  5. (Facultatif) Passez en revue les Permissions (Permissions) et les Content Sets (Content Sets) qui sont associés aux rôles sélectionnés. Reportez-vous à la section Afficher les permissions de rôle en vigueur pour un persona.

  6. Cliquez sur Save (Enregistrer).

Gérer les affectations de groupe d’utilisateurs pour un persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).
  2. Cliquez sur le champ Name (Nom) du persona et cliquez sur Edit Mode (Mode de modification).
  3. Développez Développer la section User Groups (Groupes d’utilisateurs) et cliquez sur Manage User Groups (Gérer les groupes d’utilisateurs).
  4. Sélectionnez ou désélectionnez les groupes d’utilisateurs et cliquez sur Select (Sélectionner).
  5. Vérifiez les affectations du groupe d’utilisateurs et cliquez sur Save (Enregistrer).

Gérer les affectations d’utilisateurs pour un persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).
  2. Cliquez sur le champ Name (Nom) du persona et cliquez sur Edit Mode (Mode de modification).
  3. Développez Développer la section Users (Utilisateurs) et cliquez sur Manage Users (Gérer les utilisateurs).
  4. Sélectionnez ou désélectionnez les utilisateurs et cliquez sur Select (Sélectionner).
  5. Vérifiez les affectations d’utilisateurs et cliquez sur Save (Enregistrer).

Gérer les affectations de groupe d’ordinateurs pour un persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).
  2. Cliquez sur le champ Name (Nom) du persona et cliquez sur Edit Mode (Mode de modification).
  3. Développez Développer la section Computer Groups (Groupes d’ordinateurs).
  4. Si vous souhaitez que le persona dispose de droits de gestion pour tous les endpoints, sélectionnez Unrestricted Management Rights (Droits de gestion sans restriction) et cliquez sur Save (Enregistrer) (vous pouvez ignorer les étapes restantes).

    Tanium recommande vivement de ne pas affecter l’option Unrestricted Management Rights (Droits de gestion sans restriction) à moins que vous ne souhaitiez que les utilisateurs avec le persona puissent poser des questions sur tous les endpoints dans tous les groupes d’ordinateurs, indépendamment des considérations de sécurité.

  5. Cliquez sur Manage Computer Groups (Gérer les groupes d’ordinateurs), sélectionnez ou désélectionnez les groupes de gestion d’ordinateurs, puis cliquez sur Select (Sélectionner).

    Les sélections sont combinées logiquement. Par exemple, l’union de All Computers (Tous les ordinateurs) et No Computers (Aucun ordinateur) est de fait All Computers (Tous les ordinateurs).

  6. Examinez la liste des groupes d’ordinateurs que vous avez affectés ou qui dérivent des affectations de groupes d’utilisateurs, puis cliquez sur Save (Enregistrer).

Cloner un persona

Pour ajouter un persona comportant de nombreux paramètres en commun avec un persona existant, cloner le persona existant avant de le modifier est souvent une méthode plus rapide que la configuration d’un nouveau persona.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).
  2. Sélectionnez un persona, puis cliquez sur Clone (Cloner).
  3. Spécifiez de nouveaux Name (Nom), Description (Description) (facultative) et Color (Couleur).
  4. Modifiez les attributions de RBAC et cliquez sur Save (Enregistrer) :
  5. Examinez vos modifications et cliquez sur Save (Enregistrer).

Sélectionner un persona pour la session de la console

Dans le menu principal, un anneau coloré autour de l’icône de l’utilisateur Persona sélectionné indique qu’un autre persona est sélectionné pour la session de la Tanium Console. L’anneau est assorti à la couleur qui est attribuée dans la configuration du persona. Si vous sélectionnez le persona par défaut, l’icône n’a pas d’anneau coloré. Lors de votre connexion, le Default Persona (Persona par défaut) pour votre compte d’utilisateur s’applique automatiquement. Pour passer à un autre persona ou revenir au Default Persona (Persona par défaut), procédez comme suit.

Survolez l’icône de l’utilisateur Persona sélectionné pour ouvrir un menu qui affiche le nom du persona actuel.

  1. Dans le menu principal, survolez l’icône de l’utilisateur Utilisateur et cliquez sur Persona (Persona) : Utilisateur <current persona>.

    La boîte de dialogue Select a Persona (Sélectionner un persona) répertorie alors les personas qui sont attribués à votre compte d’utilisateur ou aux groupes d’utilisateurs auxquels vous appartenez. La boîte de dialogue identifie les personas par leur nom, leur description (le cas échéant) et leur couleur.

  2. Cliquez sur Apply (Appliquer) à côté du persona que vous souhaitez utiliser.

    Sélectionner un persona

    La Console s’actualise pour afficher uniquement les fonctionnalités et les solutions pour lesquelles le persona sélectionné bénéficie de permissions d’accès.

Copier les détails de configuration du persona

Copiez les informations de la page Personas (Personas) dans votre presse-papiers pour coller les informations dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options puis cliquez sur Copy (Copier) Copier.

Supprimer un persona

Vous pouvez supprimer les personas alternatifs mais pas le persona par défaut qui est affecté à chaque utilisateur. Lorsque vous supprimez un persona, Cloud Taniumle Tanium Server supprime le persona de toutes les configurations d’utilisateurs ou de groupes d’utilisateurs qui l’incluaient. Dans une version de Tanium Core Platform antérieure à la version 7.5.2.2554, si vous supprimez une configuration de persona au lieu de supprimer l’utilisateur auquel le persona est attribué, vous pouvez supprimer ou transférer le contenu que le persona possédait (reportez-vous à la section Supprimer ou transférer le contenu d’un utilisateur non actif). Dans la version 7.5.2554 ou une version ultérieure, vVous ne pouvez pas supprimer un persona qui possède du contenu.

Avant de supprimer un persona, supprimez les attributions d’utilisateur et de groupe d’utilisateurs dans la configuration du persona. Reportez-vous à la section Gérer les affectations d’utilisateurs pour un persona et Gérer les affectations de groupe d’utilisateurs pour un persona.

  1. Dans le menu principal, accédez à la page Administration (Administration) > Permissions (Permissions) > Personas (Personas) et sélectionnez le persona que vous souhaitez supprimer.
  2. Cliquez sur Delete Selected (Supprimer la sélection) Supprimer la sélection puis sur Confirm (Confirmer).