Gestion des personas

Aperçu des personas

Un persona est un ensemble de rôles et de groupes d’ordinateurs qu’un utilisateur sélectionne pour une session Tanium. L’affectation de plusieurs personas à un compte d’utilisateur vous permet d’appliquer différents ensembles de restrictions sur ce que l’utilisateur peut voir et faire avec Tanium Core Platform, en fonction de la portée des tâches pour une session donnée, sans avoir à configurer plusieurs comptes pour l’utilisateur. Par exemple, les utilisateurs peuvent gérer les endpoints dans plusieurs pays, chacun ayant des lois uniques sur la protection de la vie privée, ce qui limite les actions que les utilisateurs peuvent déployer sur des endpoints spécifiques en fonction des règles de sécurité. Vous pouvez configurer un persona avec un rôle qui permet des actions liées uniquement à la maintenance du client Tanium sur tous les groupes d’ordinateurs d’un pays donné. Vous pouvez donner au même utilisateur un autre persona qui permet des installations de correctifs de sécurité, mais uniquement pour le sous-ensemble de groupes d’ordinateurs géré directement par l’utilisateur.

Si vous prévoyez d’importer des utilisateurs et des groupes d’utilisateurs à partir d’un serveur LDAP ou AD , faites-le avant de configurer et d’affecter des personas. Pour plus de détails, reportez-vous à la section Intégration aux serveurs LDAP.

Les types de persona sont les suivants :

Persona par défaut

Les permissions d’utilisateur dérivent des rôles et des groupes d’ordinateurs affectés au persona et, si l’utilisateur appartient aux groupes d’utilisateurs, des rôles et des groupes d’ordinateurs affectés au persona par défaut de ces groupes d’utilisateurs. Le persona par défaut s’applique automatiquement lorsque les utilisateurs se connectent à Tanium Console. Le serveur Tanium affecte automatiquement le persona par défaut aux nouveaux utilisateurs et groupes d’utilisateurs, ainsi qu’aux utilisateurs et groupes pré-mise à niveau existants après la mise à niveau vers Tanium Server 7.4 ou version ultérieure. Chaque utilisateur et chaque groupe ne dispose que d’un seul persona unique par défaut. Un persona par défaut ne peut pas être partagé par plusieurs utilisateurs et groupes. Vous ne pouvez pas supprimer les personas par défaut ou les réaffecter à plusieurs utilisateurs ou groupes.

Personas alternatifs

Les permissions d’utilisateur dérivent uniquement des rôles et des groupes d’ordinateurs affectés au persona. Un utilisateur peut hériter de plusieurs personas alternatifs de la part des groupes d’utilisateurs, mais uniquement les permissions du persona unique que l’utilisateur sélectionne pour la session actuelle Tanium. Notez que lorsque vous attribuez d’autres personas à un groupe d’utilisateurs, les personas n’héritent pas des permissions de ce groupe. Dans l’exemple illustré par F : Figure 1, le persona A est affecté au groupe d’utilisateurs SOC, dans lequel l’utilisateur John est membre. Si John passe au persona A, ses permissions sont limitées aux rôles et groupes d’ordinateurs qui sont affectés au persona A. Tant que John utilise le persona A, il n’a aucune des permissions qui sont attribuées au persona par défaut de son compte utilisateur ou que son compte hérite du persona par défaut du SOC de groupe d’utilisateurs. John peut hériter des rôles et des groupes d’ordinateurs du SOC uniquement en revenant à son persona par défaut.

Vous pouvez affecter un persona alternatif à plusieurs utilisateurs et groupes d’utilisateurs. Chaque utilisateur et groupe peut avoir zéro ou plusieurs personas alternatifs.

F : Figure 1 :  Personas Tanium

Pour plus de détails sur le mode d’interaction des personas avec les utilisateurs, les groupes d’utilisateurs, les groupes d’ordinateurs et les rôles afin de déterminer les permissions en vigueur d’un utilisateur, reportez-vous à la section Mise en œuvre et concepts de RBAC Tanium.

Étant donné que vous pouvez réaffecter des personas alternatifs aux utilisateurs et groupes d’utilisateurs, la meilleure pratique consiste à affecter des rôles et des groupes d’ordinateurs aux personas alternatifs au lieu des personas par défaut. Cette pratique simplifie la mise à jour de votre mise en œuvre RBAC, le cas échéant, par exemple lorsque les utilisateurs quittent ou rejoignent votre organisation, ou lorsqu’ils se déplacent entre des groupes d’utilisateurs.

Pour effectuer des tâches liées aux personas, vous avez besoin du rôle réservé Administrateur ou d’un rôle personnalisé qui dispose des permissions Read Persona (Lire le persona) et Write Persona (Écrire le persona).

Afficher les détails du persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).

    La page affiche les attributs du persona.

  2. (Facultatif) Pour afficher les identificateurs de persona, cliquez sur Personnaliser les colonnes Personnaliser les colonnes et sélectionnez ID (ID).
  3. (Facultatif) Utilisez les filtres pour trouver des personas spécifiques :
    • Filtrer par texte : pour filtrer la grille selon les valeurs de la colonne, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filtrer par attribut : filtrez la grille selon un ou plusieurs attributs, tels Name (Nom) du persona. Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  4. Pour voir les permissions effectives d’un persona et les rôles attribués, groupes d’ordinateurs, utilisateurs et groupes d’utilisateurs, cliquez sur le Name (Nom)sélectionnez le persona et cliquez sur View Persona (Afficher le persona).

Créer un persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas) et cliquez sur New Persona (Nouveau persona).
  2. Saisissez un Persona Name (Nom de persona) pour identifier le persona.
  3. (Facultatif) Saisissez une Description (Description) pour ce persona. La page Personas (Personas) affiche votre saisie dans la colonne Display Name (Nom d’affichage). Les utilisateurs verront également la description lorsqu’ils changent de persona.
  4. Sélectionnez la Color (Couleur) que le menu principal affichera pour vous aider à identifier rapidement le persona. Si vous ne souhaitez pas utiliser de couleur, cliquez sur Reset Color (Réinitialiser la couleur) Aucune couleur. Couleur du persona
  5. Configurez l’utilisateur, le groupe d’utilisateurs, le groupe d’ordinateurs et les attributions de rôles, comme décrit dans les tâches suivantes, puis cliquez sur Save (Enregistrer).Cliquez sur Save (Enregistrer) et configurez l’utilisateur, le groupe d’utilisateurs, le groupe d’ordinateurs et les attributions de rôles comme décrit dans les tâches suivantes. Vous pouvez ensuite cliquer sur All Personas (Tous les personas) en haut à gauche de la page pour voir le nouveau persona répertorié dans la page Personas (Personas).

Modifier un persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas) et cliquez sur le Name (Nom) du persona.
  2. Mettez à jour les paramètres Name (Nom), Description (Description) et Color (Couleur).
  3. Modifier les attributions de rôle, de groupe d’utilisateurs, d’utilisateur et de groupe d’ordinateurs :
  4. Examinez vos modifications et cliquez sur Save (Enregistrer).
  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).
  2. Sélectionnez le persona et cliquez sur View Persona (Afficher le persona).
  3. Mettez à jour les paramètres Name (Nom), Description (Description) et Color (Couleur).
  4. Modifier les attributions de rôle, de groupe d’utilisateurs, d’utilisateur et de groupe d’ordinateurs :
  5. Examinez vos modifications et cliquez sur Save (Enregistrer).

Gérer les attributions de rôles pour un persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas) et cliquez sur le Name (Nom) du persona.
  2. Dans la section Roles (Rôles), cliquez sur Manage Roles (Gérer les rôles).
  3. Sélectionnez ou désélectionnez les rôles et cliquez sur Apply (Appliquer).
  4. Examinez les Permissions (Permissions) et Content Sets (Content Sets) qui sont associés aux rôles sélectionnés, puis cliquez sur Save (Enregistrer).
  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas), sélectionnez le persona et cliquez sur le View Persona (Afficher le persona).
  2. Cliquez sur Manage (Gérer) dans la section Roles and Effective Permissions (Rôles et permissions en vigueur).
  3. En regard de la section Grant Roles (Attribuer des rôles), cliquez sur Edit (Modifier), sélectionnez ou désélectionnez les rôles, puis cliquez sur Save (Enregistrer).
  4. En regard de la section Deny Roles (Refuser des rôles), cliquez sur Edit (Modifier), sélectionnez ou désélectionnez les rôles, puis cliquez sur Save (Enregistrer).
  5. Cliquez sur Show Preview to Continue (Afficher l’aperçu pour continuer), examinez les permissions en vigueur, puis cliquez sur Save (Enregistrer).

Gérer les affectations de groupe d’utilisateurs pour un persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas) et cliquez sur le Name (Nom) du persona.
  2. Développez Développer la section User Groups (Groupes d’utilisateurs) et cliquez sur Manage User Groups (Gérer les groupes d’utilisateurs).
  3. Sélectionnez ou désélectionnez les groupes d’utilisateurs et cliquez sur Select (Sélectionner).
  4. Vérifiez les affectations du groupe d’utilisateurs et cliquez sur Save (Enregistrer).
  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas), sélectionnez le persona et cliquez sur le View Persona (Afficher le persona).
  2. Cliquez sur Manage User Groups (Gérer les groupes d’utilisateurs) et sur Edit (Modifier).
  3. Sélectionnez ou désélectionnez les groupes d’utilisateurs et cliquez sur Save (Enregistrer).
  4. Vérifiez les affectations du groupe d’utilisateurs et cliquez sur Save (Enregistrer).

Gérer les affectations d’utilisateurs pour un persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas) et cliquez sur le Name (Nom) du persona.
  2. Développez Développer la section Users (Utilisateurs) et cliquez sur Manage Users (Gérer les utilisateurs).
  3. Sélectionnez ou désélectionnez les utilisateurs et cliquez sur Select (Sélectionner).
  4. Vérifiez les affectations d’utilisateurs et cliquez sur Save (Enregistrer).
  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas), sélectionnez le persona et cliquez sur le View Persona (Afficher le persona).
  2. Cliquez sur Manage Users (Gérer les utilisateurs) et sur Edit (Modifier).
  3. Sélectionnez ou désélectionnez les utilisateurs et cliquez sur Save (Enregistrer).
  4. Cliquez sur Show Preview to Continue (Afficher l’aperçu pour continuer), examinez la liste des utilisateurs affectés et cliquez sur Save (Enregistrer).

Gérer les affectations de groupe d’ordinateurs pour un persona

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas) et cliquez sur le Name (Nom) du persona.
  2. Développez Développer la section Computer Groups (Groupes d’ordinateurs).
  3. Si vous souhaitez que le persona dispose de droits de gestion pour tous les endpoints, sélectionnez Unrestricted Management Rights (Droits de gestion sans restriction) et cliquez sur Save (Enregistrer) (vous pouvez ignorer les étapes restantes).

    Tanium recommande vivement de ne pas affecter l’option Unrestricted Management Rights (Droits de gestion sans restriction) à moins que vous ne souhaitiez que les utilisateurs avec le persona puissent poser des questions sur tous les endpoints dans tous les groupes d’ordinateurs, indépendamment des considérations de sécurité.

  4. Cliquez sur Manage Computer Groups (Gérer les groupes d’ordinateurs), sélectionnez ou désélectionnez les groupes de gestion d’ordinateurs, puis cliquez sur Select (Sélectionner).

    Les sélections sont combinées logiquement. Par exemple, l’union de All Computers (Tous les ordinateurs) et No Computers (Aucun ordinateur) est de fait All Computers (Tous les ordinateurs).

  5. Examinez la liste des groupes d’ordinateurs que vous avez affectés ou qui dérivent des affectations de groupes d’utilisateurs, puis cliquez sur Save (Enregistrer).
  1. Dans le menu principal, accédez à Administration (Administration) >  Management (Gestion) > Users (Utilisateurs).
  2. Sélectionnez le persona et cliquez sur View Persona (Afficher le persona).
  3. Cliquez sur Manage (Gérer) dans la section Computer Groups (Groupes d’ordinateurs), puis sur Edit (Modifier).
  4. Sélectionnez ou désélectionnez les groupes d’ordinateurs et cliquez sur Save (Enregistrer).
  5. Cliquez sur Show Preview to Continue (Afficher l’aperçu pour continuer), examinez la liste des endpoints affectés et cliquez sur Save (Enregistrer).

Cloner un persona

Pour ajouter un persona comportant de nombreux paramètres en commun avec un persona existant, cloner le persona existant avant de le modifier est souvent une méthode plus rapide que la configuration d’un nouveau persona.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).
  2. Sélectionnez un persona, puis cliquez sur Clone (Cloner).
  3. Spécifiez de nouveaux Name (Nom), Description (Description) (facultative) et Color (Couleur).
  4. Modifiez l’affectation RBAC et cliquez sur Save (Enregistrer) :

Sélectionner un persona pour la session de la console

Dans le menu principal, le champ à côté de votre nom d’utilisateur indique votre persona actuel. Le disque coloré à côté du nom du persona est un autre indicateur utile :

Couleur du persona

Lors de votre connexion, le Default Persona (Persona par défaut) pour votre compte d’utilisateur s’applique automatiquement. Pour passer à un persona alternatif ou revenir au persona par défaut, procédez comme suit :

  1. Dans le menu principal, sélectionnez <current persona> > Change Persona (Changer le persona).

    La boîte de dialogue Select a Persona (Sélectionner un persona) s’ouvre et répertorie les personas qui sont affectés à votre compte d’utilisateur ou aux groupes d’utilisateurs auxquels vous appartenez. La boîte de dialogue identifie les personas par leur nom, leur description (le cas échéant) et leur couleur.

  2. Cliquez sur Apply (Appliquer) à côté du persona que vous souhaitez utiliser.



    La console Tanium est actualisée pour afficher uniquement les fonctions et modules pour lesquels le persona sélectionné bénéficie des droits d’accès.

Exporter et importer des personas

Les procédures suivantes décrivent comment exporter et importer les configurations de persona spécifiques ou de tous les personas.

Développez et testez le contenu dans l’environnement de votre laboratoire avant d’importer ce contenu dans votre environnement de production.

Exporter des personas

Exportez des personas sous forme de fichier CSV pour consulter leurs paramètres dans une application qui prend en charge ce format. Si vous disposez du rôle réservé Administrateur, vous pouvez également exporter des personas sous forme de fichier JSON pour les importer dans un autre serveur Tanium.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).
  2. Sélectionnez des lignes dans la grille pour exporter uniquement des personas spécifiques. Si vous souhaitez exporter tous les personas, ignorez cette étape.
  3. Cliquez sur Export (Exporter) ExportExport.
  4. (Facultatif) Modifiez le File Name (Nom de fichier) d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  5. Sélectionnez une option pour Export Data (Exporter les données) : All (Tous) les personas dans la grille ou seulement les personas Selected (Sélectionnés).
  6. Sélectionnez le Format (Format) du fichier : JSON (rôle réservé Administrateur uniquement) ou CSV.
  7. Cliquez sur Export (Exporter).

    TaaSLe serveur Tanium exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Importer des personas

Vous pouvez importer des fichiers de contenu au format JSON ou XML.

  1. Signez numériquement le fichier de contenu et assurez-vous qu’une clé publique est en place pour valider la signature. Reportez-vous à la section Authentification des fichiers de contenu.
  2. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Solutions (Solutions).
  3. Faites défiler jusqu’à la section Content (Contenu) et cliquez sur Import Import Content (Importer le contenu).
  4. Cliquez sur Choose File (Choisir un fichier), sélectionnez le fichier de contenu et cliquez sur Open (Ouvrir).
  5. Cliquez sur Import (Importer).

    Si les noms d’objet dans le fichier sont les mêmes que pour les objets existants, la console Tanium détaille les conflits et fournit des options de résolution pour chacun d’eux.

  6. Sélectionnez les résolutions pour tout conflit. Pour obtenir des conseils, reportez-vous aux sections Conflits et Best practices.
  7. Cliquez sur Import (Importer) et cliquez sur Close (Fermer) lorsque l’importation est terminée.

Copier les détails de configuration du persona

Copiez les informations de la page Personas (Personas) dans votre presse-papiers pour coller les informations dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Personas (Personas).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options, puis cliquez sur Copy (Copier) Copier.

Supprimer un persona

Vous pouvez supprimer les personas alternatifs mais pas le persona par défaut qui est affecté à chaque utilisateur. Lorsque vous supprimez un persona, le serveur Tanium supprime le persona des configurations d’utilisateurs ou des groupes d’utilisateurs.

Avant de supprimer un persona, supprimez les affectations d’utilisateurs et des groupes d’utilisateurs dans la configuration des personas : reportez-vous à la section Gérer les affectations d’utilisateurs pour un persona et Gérer les affectations de groupe d’utilisateurs pour un persona.

  1. Dans le menu principal, accédez à la page Administration (Administration) > Permissions (Permissions) > Personas (Personas) et sélectionnez le persona que vous souhaitez supprimer.
  2. Cliquez sur Supprimer la sélection Supprimer la sélection et cliquez sur Confirm (Confirmer)., cliquez sur Delete (Supprimer), et confirmez l’opération lorsque vous y êtes invité(e).