Gestion des rôles

Aperçu des rôles

Dans Tanium™ RBAC, un rôle spécifie les permissions d’attribution pour les activités autorisées ou les permissions de refus pour les activités interdites. Vous affectez des rôles aux utilisateurs, groupes d’utilisateurs et personas pour déterminer ce que les utilisateurs peuvent voir et faire dans Tanium Core Platform.

Si vous prévoyez d’importer des utilisateurs et des groupes d’utilisateurs à partir d’un serveur LDAP ou AD, faites-le avant de configurer ou d’affecter des rôles. Pour plus de détails, reportez-vous à la section Intégration aux serveurs LDAP.

La mise en œuvre de RBAC par Tanium prend en charge deux catégories de rôles, que la page Administration (Administration) >  Permissions (Permissions)> Roles (Rôles) distingue par une icône dans la colonne Role Name (Nom du rôle) :

Personnalisé Rôles personnalisés

Vous pouvez créer, modifier ou supprimer des rôles personnalisés, qui autorisent ou refusent toute combinaison d’administration, de contenu de plateforme et de permissions de module. Consultez la section Configurez un rôle personnalisé.

Système Rôles système

Tanium fournit des rôles système prédéfinis que vous ne pouvez pas modifier ou supprimer. Ces rôles comprennent :

  • Rôles des modules : ces rôles autorisent ou refusent les permissions d’accès aux interfaces, fonctionnalités et Content Sets des modules. Certaines permissions du module permettent d’activer d’autres permissions fournies automatiquement. Par exemple, la permission d’écriture Patch Module (Module de correctifs) accorde automatiquement la permission Ask Dynamic Questions (Poser des questions dynamiques) (module Interact).
  • Rôles réservés : ces rôles attribuent des permissions pour une série de tâches qui, dans de nombreuses organisations, sont généralement exclusives à quelques utilisateurs. Par exemple, les organisations disposent généralement d’un petit ensemble d’utilisateurs qui supervisent toutes les opérations Tanium et nécessitent les autorisations administratives complètes que le rôle réservé Administrator (Administrateur) fournit. Pour plus de détails, consultez la section Rôles réservés.

La figure suivante illustre les composants configurables des différentes catégories de rôles et l’ordre selon lequel vous attribuez les composants :

Figure 1 : Configurations du rôle de l’utilisateur (cliquez sur l’image pour l’agrandir)

Pour découvrir la relation entre les rôles et d’autres objets de configuration RBAC, tels que les Content Sets, les personas, les utilisateurs, les groupes d’utilisateurs et les groupes d’ordinateurs, reportez-vous à la section Mise en œuvre et concepts de RBAC Tanium.

Les rôles ont une relation multivoque avec les utilisateurs et les groupes d’utilisateurs. Par exemple, tous les utilisateurs de Tanium Interact peuvent détenir le rôle du module Interact Show (Afficher Interact) et chacun peut avoir des rôles personnalisés supplémentaires qui donnent accès aux sensors et aux questions qu’ils utilisent dans le module Interact. De même, vous pouvez configurer des permissions pour le même Content Set dans plusieurs rôles et chaque rôle peut spécifier des permissions sur plusieurs Content Sets.

Lors de la configuration des rôles, la meilleure pratique consiste à profiter pleinement de la modularité et de l’effet cumulatif sur les permissions d’utilisateur. Par exemple, au lieu de créer un rôle unique avec toutes les permissions dont un utilisateur particulier a besoin, et de créer un autre rôle avec des permissions légèrement différentes pour un autre utilisateur, créez plusieurs rôles avec des jeux de permissions réduits mais uniques. Vous pouvez ensuite combiner et associer ces rôles minimalistes à plusieurs utilisateurs pour obtenir les mêmes permissions en vigueur que les rôles individuels disposant de permissions complètes. Pour plus de détails, reportez-vous à la section Afficher les permissions de rôle en vigueur.

Certaines permissions que vous attribuez à un rôle fournissent automatiquement des permissions supplémentaires. Par exemple, si vous attribuez une permission d’écriture Package (Package), cela fournit implicitement une permission de lecture Package (Package). Pour plus de détails, reportez-vous à la section Autorisations de rôle fournies.

Les utilisateurs héritent des rôles de la part des groupes d’utilisateurs auxquels ils sont affectés. Pour plus de détails, reportez-vous à la section Rôles hérités.

Pour une session de Tanium Console donnée, seules les permissions du persona en cours de sélection sont disponibles pour un utilisateur, même si plusieurs personas lui sont affectés. Pour plus de détails, reportez-vous à la section Gestion des personas.

Pour ajouter, modifier ou supprimer des rôles, vous devez disposer du rôle réservé Administrator (Administrateur) ou Content Set Administrator (Administrateur de Content Set), ou d’un rôle personnalisé avec la permission Permission Administrator (Administrateur de permissions). Cependant, un Content Set Administrator (Administrateur de Content Set) ne peut pas gérer l’affectation des personas ou des rôles réservés aux utilisateurs et aux groupes d’utilisateurs.

Les rôles ne contrôlent pas l’accès aux groupes de gestion d’ordinateurs (consultez la section Gérer les groupes de gestion d’ordinateurs) ou aux groupes d’actions (consultez la section Gestion des groupes d’actions) que les utilisateurs sélectionnent pour le ciblage lorsqu’ils émettent des questions ou déploient des actions. Toutefois, les rôles contrôlent les permissions requises pour gérer les configurations de groupe d’ordinateurs et de groupe d’actions.

Si la Tanium Console affiche des erreurs de RBAC, comme RBACInsufficientPrivilege (PrivilègeRBACInsuffisant), reportez-vous à la section Résoudre les problèmes de permission.

Autoriser et refuser les rôles

Sur la page Roles (Rôles), la colonne Type (Type) indique si un rôle autorise ou refuse les permissions. Vous pouvez affecter plusieurs rôles d’autorisation ou de refus à un utilisateur ou un groupe d’utilisateurs. Cloud TaniumLe Tanium Server conditionne les permissions en vigueur d’un utilisateur ou d’un groupe d’utilisateurs selon l’effet cumulatif de tous les rôles qui sont affectés à cet utilisateur ou à ce groupe : toutes les permissions d’autorisation attribuées explicitement ou fournies implicitement, moins celles qui sont explicitement refusées.

Vous pouvez Afficher les permissions de rôle en vigueur d’un utilisateur ou d’un groupe d’utilisateurs dans la Tanium Console.

Dans les rôles personnalisés, une permission et un Content Set dans le rôle de refus doivent correspondre à la permission et au Content Set définis dans le rôle d’autorisation pour annuler la permission d’autorisation. Dans l’exemple suivant, la permission de refus d’écriture Package (Package) sur le Content Set A correspond à la permission d’autorisation d’écriture Package (Package) sur le Content Set A, de sorte que la permission d’autorisation est annulée.

Figure 2 : Les rôles d’autorisation et de refus sur les permissions de Content Set (correspondance)

Dans l’exemple suivant, la permission de refus d’écriture Package (Package) sur le Content Set D ne correspond à aucune permission d’autorisation. Par conséquent, la permission de refus n’a aucun impact sur les permissions effectives de l’utilisateur.

Figure 3 : Les rôles d’autorisation et de refus sur les permissions de Content Set (pas de correspondance)

Lorsque vous affectez des Content Sets aux permissions dans des rôles personnalisés, l’option Add all Content Sets that exist or will exist to the permissions (Ajouter tous les Content Sets qui existent ou qui existeront aux permissions) équivaut à répertorier chaque Content Set. La figure suivante illustre un exemple dans lequel la permission de refus d’écriture Package (Package) sur le Content Set D a un effet.

Figure 4 : Option Add All Content Sets (Ajouter tous les Content Sets)

Autoriser et refuser la correspondance s’applique également aux permissions d’administration. Dans l’exemple suivant, l’utilisateur a un rôle d’autorisation et deux rôles de refus qui spécifient les permissions d’administration. Cloud TaniumLe Tanium Server tient compte des correspondances exactes entre autoriser et refuser des permissions. L’utilisateur dispose de toutes les capacités que le rôle d’autorisation spécifie, moins les capacités que les rôles de refus spécifient.

Figure 5 : Rôles d’autorisation et de refus sur les permissions d’administration

Autorisations de rôle fournies

Certaines permissions fournissent automatiquement des permissions supplémentaires en raison des dépendances. Par exemple, la permission d’écriture Package (Package) qui permet de créer des packages dépend de la permission de lecture Package (Package) qui permet d’accéder à la page Packages (Packages). De même, la permission d’action Interact Execute (Exécuter Interact) qui active le déploiement d’action dépend de la permission d’écriture Action (Action) qui active la configuration de l’action.

Dans les rôles d’autorisation, chaque permission d’écriture fournit implicitement la permission de lecture associée. Dans l’exemple suivant, le rôle personnalisé qui est attribué à Eric et Grace dispose de la permission d’écriture Package (Package) sur les Content Sets spécifiés. Par conséquent, la configuration n’a pas besoin de spécifier la permission de lecture Package (Package). Un rôle qui n’a que la permission de lecture Package (Package) sur le même Content Set est créé pour les utilisateurs qui ont besoin de permissions en lecture seule, comme Bob dans cet exemple.

Figure 6 : Eric et Grace ont de fait des permissions de lecture et d’écriture

Refuser les rôles ne fournit pas implicitement les permissions associées. Pour que les rôles de refus aient un effet, ils doivent spécifier explicitement les permissions et ces permissions doivent correspondre exactement aux permissions qu’un rôle d’autorisation spécifie. Par exemple, si un rôle de refus spécifie que la permission d’écriture Package (Package) est refusée sur un Content Set, le rôle ne refuse pas également la permission de lecture Package (Package). Dans l’exemple suivant, les permissions de rôle de refus ne correspondent pas exactement aux permissions de rôle d’autorisation. Par conséquent, le rôle de refus est ignoré et Bob a toujours la permission de lecture Package (Package) sur les Content Sets spécifiés.

Figure 7 : Bob a des permissions de lecture effectives.

Certaines permissions de module et de contenu de plateforme fournissent implicitement des permissions supplémentaires en raison de dépendances qui ne sont pas liées aux associations lecture-écriture. Par exemple, la permission d’action Interact Execute (Exécuter Interact) fournit plusieurs permissions supplémentaires requises pour déployer et configurer des actions.

Figure 8 : Dépendances des permissions

La permission fournie s’applique automatiquement aux affectations de Content Set. Par exemple, si vous attribuez la permission d’écriture Action au Content Set Base (De base), il fournit automatiquement la permission de lecture Package (Package) pour le Content Set Base (De base). Si vous attribuez la permission d’écriture Sensor (Sensor) au Content Set Default (Par défaut), il fournit automatiquement la permission de lecture Sensor (Sensor) pour le Content Set Default (Par défaut).

Les pages de configuration pour les rôles, les utilisateurs, les groupes d’utilisateurs et les personas utilisent différentes icônes pour faire la distinction entre les permissions attribuées explicitement et fournies implicitement. Consultez la section Afficher les permissions de rôle en vigueur.

Rôles hérités

Les utilisateurs héritent des permissions de rôle de leurs groupes d’utilisateurs. Dans l’exemple suivant, Eric hérite des permission des rôles qui sont attribués au groupe d’utilisateurs NOC. Il dispose également de permissions qui sont attribuées directement à son compte d’utilisateur. Cloud TaniumLe Tanium Server applique l’effet net. Dans cet exemple, même si Eric hérite des permissions d’écriture Isolated Subnets (Sous-réseaux isolés) et d’écriture Separated Subnets (Sous-réseaux séparés) du groupe d’utilisateurs, le rôle de refus attribué directement à son compte d’utilisateur annule ces permissions. Étant donné qu’aucun rôle de refus n’est attribué aux comptes de Bob et Grace, ils disposent de toutes les permissions héritées du groupe d’utilisateurs, y compris les permissions d’écriture Isolated Subnets (Sous-réseaux isolés) et Separated Subnets (Sous-réseaux séparés).

Figure 9 : Rôles hérités

Rôles réservés

Les rôles réservés prédéfinis attribuent des permissions pour une série de tâches qui, dans de nombreuses organisations, sont généralement exclusives à quelques utilisateurs. Par exemple, les organisations disposent généralement d’un petit ensemble d’utilisateurs qui supervisent toutes les opérations Tanium et nécessitent les permissions administratives complètes que le rôle réservé Administrator (Administrateur) fournit. Les rôles réservés peuvent inclure des permissions spéciales, telles que la gestion de la licence Tanium, qui ne sont pas disponibles pour les rôles non réservés. RéservésOutre les permissions spéciales, les rôles réservés peuvent avoir une partie ou la totalité des permissions du contenu de la plateforme, de l’administration et des modules qui sont associées à d’autres rôles. Vous ne pouvez pas modifier ou supprimer des rôles réservés. Une logique spéciale s’applique lorsque vous affectez à la fois un rôle réservé et un rôle non réservé à un utilisateur ou à un groupe d’utilisateurs, comme décrit dans les sections suivantes.

Rôle réservé Administrateur

Attribuez le rôle réservé Admin (Admin) aux utilisateurs qui gèrent tous les contenus, modules, services partagés et fonctionnalités d’administration Tanium.

Ce rôle peut effectuer les tâches suivantes :

  • Utiliser tout le contenu et les solutions Tanium

  • Configurer tous les paramètres de Tanium Core Platform (tels que les commandes de bande passante) et personnaliser la Tanium Console

  • Afficher, créer, modifier, supprimer et exporter toutes les configurations RBAC, y compris les utilisateurs, les groupes d’utilisateurs, les personas, les rôles, les groupes d’ordinateurs et les jetons d’API

  • Afficher, créer, modifier, supprimer et exporter toutes les configurations de contenu telles que les sensors, les packages et les actions planifiées

Lorsque vous affectez le rôle Admin (Admin), d’autres rôles d’autorisation sont superflus et les rôles de refus sont sans effet, hormis les exceptions suivantes :

  • Contourner la demande d’approbation : un rôle personnalisé avec la permission Bypass Action Approval (Contourner la demande d’approbation) est effectif lorsqu’il est attribué à un utilisateur avec le rôle réservé Admin (Admin). Le rôle réservé Admin (Admin) ne dispose pas de cette permission par défaut. En raison de la nature sensible du contournement d’approbation, vous devez affecter explicitement cette permission dans tous les cas.
  • Tout refuser : l’option Refuser tous les rôles réservés annule toutes les permissions du rôle réservé Admin (Admin).

Pendant la configuration de votre déploiement Cloud Tanium, un compte administrateur initial est créé avec le rôle Admin (Admin). Vous pouvez utiliser ce compte pour configurer RBAC pour tous les autres utilisateurs, y compris les autres utilisateurs qui peuvent avoir besoin du rôle Admin (Admin).

Figure 10 : Rôle réservé Administrateur

Rôle réservé Administrateur

Attribuez le rôle réservé Administrator (Administrateur) aux utilisateurs qui gèrent tous les contenus, modules, services partagés et fonctionnalités d’administration Tanium.

Ce rôle peut effectuer les tâches suivantes :

  • Importer, exporter, mettre à jour, désinstaller et utiliser tout le contenu et les solutions Tanium

  • Configurer tous les paramètres de Tanium Core Platform (tels que les commandes de bande passante) et personnaliser la Tanium Console

  • Gérer la licence Tanium et gérer l’approbation des composants de la plateforme (tels que les Tanium Servers et Zone Servers)

  • Afficher, créer, modifier, supprimer, importer et exporter toutes les configurations RBAC, y compris les utilisateurs, les groupes d’utilisateurs, les personas, les rôles, les groupes d’ordinateurs, les connexions LDAP, les connexions PDi SAML et les jetons d’API

  • Afficher, créer, modifier, supprimer, importer et exporter toutes les configurations de contenu telles que les sensors, les packages et les actions planifiées

Lorsque vous affectez le rôle Administrator (Administrateur), d’autres rôles d’autorisation sont superflus et les rôles de refus sont sans effet, hormis les exceptions suivantes :

  • Contourner la demande d’approbation : Un rôle personnalisé avec la permission Bypass Action Approval (Contourner la demande d’approbation) est effectif lorsqu’il est attribué à un utilisateur avec le rôle réservé Administrator (Administrateur). Le rôle réservé Administrator (Administrateur) ne dispose pas de cette permission par défaut. En raison de la nature sensible du contournement d’approbation, vous devez affecter explicitement cette permission dans tous les cas.
  • Tout refuser : L’option Refuser tous les rôles réservés annule toutes les permissions du rôle réservé Administrator (Administrateur).
Figure 11 : Rôle réservé Administrateur

Rôle réservé Administrateur de Content Set

Attribuez le rôle réservé Content Set Administrator (Administrateur de Content Set) aux utilisateurs qui gèrent les configurations de Content Set et de rôle.

Ce rôle peut effectuer les tâches suivantes :

  • Afficher, créer, modifie, supprimer, importer ou exporter les configurations du Content Set

  • Gérer les affectations de contenu aux Content Sets

  • Afficher, créer, modifier, supprimer, importer ou exporter les configurations des rôles d’utilisateur

  • Gérer les attributions de rôles aux utilisateurs, groupes d’utilisateurs et personas

Le rôle Content Set Administrator (Administrateur de Content Set) rend superflus tous les autres rôles d’autorisation. L’option Refuser tous les rôles réservés représente le seul rôle qui peut affecter un utilisateur qui a le rôle Content Set Administrator (Administrateur de Content Set) défini.

Figure 12 : Rôle réservé Administrateur de Content Set

Remarquez le résultat lorsque les rôles Content Set Administrator (Administrateur de Content Set) et Administrator (Administrateur) sont affectés. Seul le rôle Content Set Administrator (Administrateur de Content Set) demeure effectif. Veillez à ne pas affecter le rôle Content Set Administrator (Administrateur de Content Set) aux utilisateurs qui doivent avoir d’autres rôles. Veillez à ne pas affecter (directement ou par héritage de groupe d’utilisateurs) le rôle Content Set Administrator (Administrateur de Content Set) aux utilisateurs auxquels le rôle Administrator (Administrateur) est affecté.

Rôle réservé Administrateur de contenu

Attribuez le rôle réservé Content Administrator (Administrateur de contenu) aux utilisateurs qui gèrent le contenu et les actions.

Ce rôle peut effectuer les tâches suivantes :

  • Afficher, créer, modifier et supprimer toutes les configurations de contenu (telles que les sensors, les packages et les questions enregistrées) dans tous les Content Sets

  • Afficher, créer, modifier, déployer et supprimer des actions

Lorsque le Tanium Server évalue les permissions effectives d’un utilisateur qui a le rôle Content Administrator (Administrateur de contenu), le serveur ignore les permissions de contenu dans d’autres rôles, mais évalue les autres types de permissions.

Figure 13 : Rôle réservé Administrateur de contenu

Refuser tous les rôles réservés

Attribuez le rôle réservé Deny All (Tout refuser) aux comptes d’utilisateur qui doivent être désactivés même s’ils ne sont pas encore supprimés.

Les utilisateurs qui ont le rôle Deny All (Tout refuser) ne peuvent accéder à aucun contenu dans Tanium Core Platform, quel que soit le rôle qui leur a été affecté, y compris le rôle réservé Administrator (Administrateur). Dans l’exemple suivant, le seul rôle attribué à Frank qui a un quelconque effet est Deny All (Tout refuser).

Figure 14 : Tout refuser

Tâches nécessitant des rôles réservés

Pour effectuer les tâches suivantes, un utilisateur doit avoir un rôle réservé car les tâches ne sont pas associées aux permissions d’administration que vous pouvez affecter aux rôles personnalisés.

Tableau 1 : Tâches nécessitant un rôle réservé
Tâche Administrateur Administrateur de contenu Administrateur de content set
Gérer des Content Sets

Créez, modifiez ou supprimez les configurations du Content Set.

Encoche X Encoche
Gérer les configurations et affectations de rôle

Modifiez les rôles et les affectations de rôle des utilisateurs, des groupes d’utilisateurs et des personas.

Encoche X Encoche
Gérer les solutions Tanium

Gérez les Tanium Modules, services partagés et solutions de contenu uniquement sur la page Administration (Administration) > Configuration (Configuration) > Solutions (Solutions).

Encoche X X
Gérer la configuration de Tanium Core Platform

Affichez ou gérez plusieurs pages Administration (Administration) > Configuration (Configuration), y compris celles pour les paramètres proxy, les niveaux de journalisation, les plug-ins, les plannings de plug-ins, les indicateurs de seuil de sensor, le Admin (Admin) de fichier de package, les licences Tanium, les clés racines Tanium, l’authentification des téléchargements, l’approbation entre les Tanium Servers Core Platform, les serveurs LDAP, SAML et les personnalisations de Tanium Console.

Encoche X X

Afficher les détails du rôle

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).

    La page affiche chaque nom et catégorie de rôle, ainsi que le nombre d’utilisateurs, de groupes d’utilisateurs et de personas auxquels chaque rôle est affecté. La colonne Total Users (Nombre total d’utilisateurs) indique la somme de tous les utilisateurs auxquels le rôle est attribué via leurs comptes d’utilisateurs ou qui héritent du rôle des groupes d’utilisateurs.

  2. (Facultatif) Pour afficher les attributs que la grille masque par défaut, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes et sélectionnez les attributs.
  3. (Facultatif) Utilisez les filtres pour trouver des rôles spécifiques :
    • Filtrer par texte : pour filtrer la grille selon les valeurs de la colonne, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filtrer par attribut : filtrez la grille selon un ou plusieurs attributs, tels que Role Name (Nom du rôle). Développez la section DévelopperFilters (Filtres), cliquez sur AjouterAdd (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
    • Filtrer par catégorie : par défaut, la grille affiche les rôles de All (Toutes) les catégories, mais vous pouvez cliquer sur un bouton Category (Catégorie) pour afficher uniquement les Système Rôles système ou les Personnalisé Rôles personnalisés.
    • Filtrer par type : par défaut, la grille affiche les rôles de All (Tous) les types, mais vous pouvez cliquer sur un bouton Type (Type) pour afficher uniquement les rôles Allow (Autoriser) ou Deny (Refuser). Reportez-vous à la section Autoriser et refuser les rôles.
  4. (Facultatif) Affichez les permissions (et les Content Sets associés), les utilisateurs et les groupes d’utilisateurs qui sont attribués à un rôle en cliquant sur le Role Name (Nom du rôle).
    Pour afficher ou modifier la configuration d’un utilisateur ou d’un groupe d’utilisateurs affecté, cliquez sur le nom de l’utilisateur ou du groupe.

    Pour obtenir plus de détails sur les icônes dans les grilles Permissions (Permissions) et Content Sets (Content Sets), reportez-vous à la section Afficher les permissions de rôle en vigueur.

    Pour afficher les rôles qui sont attribués à un persona, reportez-vous à la section Gérer les attributions de rôles pour un persona.

Configurez un rôle personnalisé

Un rôle personnalisé peut inclure n’importe quelle combinaison de permissions d’administration, de contenu de plateforme et de solution Tanium. Lorsque vous configurez un rôle personnalisé avec des permissions de contenu de plateforme ou de solution qui sont associées à du contenu, comme des sensors et des packages, vous sélectionnez également les Content Sets auxquels ces permissions s’appliquent.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Effectuez l’une des étapes suivantes :
    • Pour créer un rôle, cliquez sur New Role (Nouveau rôle).
    • Pour modifier un rôle, cliquez sur un Role Name (Nom du rôle) et cliquez sur Edit Mode (Mode de modification).
  3. Spécifiez un Role Name (Nom du rôle) pour identifier le rôle.
  4. Définissez le Permission Type (Type de permission) sur Allow (Autoriser) ou Deny (Refuser).

    Pour obtenir plus de détails, reportez-vous à la section Autoriser et refuser les rôles.

  5. Configurez les attributions et permissions de RBAC comme décrit dans les tâches suivantes, puis cliquez sur Save (Enregistrer).

    Vous configurez les attributions des personas dans la page de configuration des personas au lieu des pages de configuration des rôles. Reportez-vous à la section Configurer des attributions de rôle pour un persona.

Gérer les attributions de rôle pour un rôle

Ignorez la première étape si vous avez ouvert la page Create Role (Créer un rôle) ou Edit Role (Modifier le rôle) dans une tâche précédente.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles), cliquez sur le Role Name (Nom du rôle), puis cliquez sur Edit Mode (Mode de modification).
  2. Développez Développer la section Users (Utilisateurs), cliquez sur Manage Users (Gérer les utilisateurs), sélectionnez ou désélectionnez les utilisateurs, puis cliquez sur Select (Sélectionner).
    Si vous modifiez un rôle auquel des utilisateurs ont déjà été attribués, cliquez sur le numéro au-dessus du champ Users (Utilisateurs) dans la section Role Details (Détails du rôle) pour faire défiler jusqu’à la section Users (Utilisateurs) et l’agrandir.

    Pour afficher ou modifier la configuration d’un utilisateur en particulier, cliquez sur le Name (Nom) de l’utilisateur dans la section Users (Utilisateurs). La page Edit User (Modifier l’utilisateur) s’ouvre dans un nouvel onglet.

  3. Cliquez sur Save (Enregistrer).

Gérer les attributions de groupe d’utilisateurs pour un rôle

Ignorez la première étape si vous avez ouvert la page Create Role (Créer un rôle) ou Edit Role (Modifier le rôle) dans une tâche précédente.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles), cliquez sur le Role Name (Nom du rôle), puis cliquez sur Edit Mode (Mode de modification).
  2. Développez Développer la section User Groups (Groupes d’utilisateurs), cliquez sur Manage User Groups (Gérer les groupes d’utilisateurs), sélectionnez ou désélectionnez les groupes, puis cliquez sur Select (Sélectionner).
    Si vous modifiez un rôle auquel des groupes d’utilisateurs ont déjà été attribués, cliquez sur le numéro au-dessus du champ Users (Utilisateurs) dans la section Role Details (Détails du rôle) pour faire défiler jusqu’à la section User Groups (Groupes d’utilisateurs) et l’agrandir.

    Pour afficher ou modifier la configuration d’un groupe d’utilisateurs en particulier, cliquez sur le Name (Nom) du groupe dans la section User Groups (Groupes d’utilisateurs). La page Edit User Group (Modifier le groupe d’utilisateurs) s’ouvre dans un nouvel onglet.

  3. Cliquez sur Save (Enregistrer).

Gérer les permissions de rôle

Pour obtenir un aperçu de la manière dont les rôles déterminent les permissions en vigueur des utilisateurs et pour afficher les permissions et les Content Sets associés qui sont attribués à un rôle, reportez-vous à la section Afficher les permissions de rôle en vigueur.

Pour attribuer ou annuler l’attribution de permissions pour un rôle, reportez-vous à la section Configurer des permissions de rôle.

Pour consulter les descriptions des permissions que vous pouvez attribuer aux rôles, reportez-vous aux sections suivantes :

Afficher les permissions de rôle en vigueur

Les permissions en vigueur d’un compte d’utilisateur dépendent de l’effet cumulé de tous les rôles qui sont attribués au compte ou hérités de groupes d’utilisateurs, notamment :

  • Les permissions spécifiées dans les rôles d’autorisation moins les permissions spécifiées dans les rôles de refus
  • Les permissions fournies implicitement dans les rôles d’autorisation
  • Les rôles qui sont attribués au persona qu’un utilisateur sélectionne pour une session de la Tanium Console. Le persona peut être attribué directement au compte d’utilisateur ou hérité d’un groupe d’utilisateurs auquel l’utilisateur appartient.

Procédez comme suit pour afficher les permissions en vigueur pour un rôle :

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles), cliquez sur le Role Name (Nom du rôle), puis cliquez sur Edit Mode (Mode de modification).

  2. Passez en revue les Permissions (Permissions) et les Content Sets (Content Sets). La page affiche des icônes pour indiquer comment les permissions sont dérivées :
  3. Permission super explicite Les permissions d’autorisation que vous attribuez explicitement et qui fournissent automatiquement des permissions supplémentaires en raison de dépendances. Par exemple, lorsque vous attribuez la permission d’écriture Interact Module (Module Interact), celle-ci fournit automatiquement la permission Ask Dynamic Questions (Poser des questions dynamiques). Pour plus de détails, reportez-vous à la section Autorisations de rôle fournies. Les icônes sont grisées pour les permissions qui ne sont pas attribuées.
    Permission explicite Les permissions d’autorisation que vous attribuez explicitement mais qui ne fournissent pas de permissions supplémentaires. Les icônes sont grisées pour les permissions qui ne sont pas attribuées.
    Permission implicite Les permissions d’autorisation qui sont implicitement attribuées car d’autres permissions les fournissent. Vous pouvez passer le curseur de la souris sur l’icône pour afficher une infobulle qui indique comment la permission a été dérivée d’une permission explicite Permission super explicite.
    Permission super explicite Les permissions de refus que vous attribuez explicitement.

    Lorsque vous affichez la page de configuration pour le rôle réservé Admin (Administrateur)les rôles réservés (comme Administrator (Administrateur)), elle affiche une seule permission Special (Spéciale) Permission super explicite sous Global Permissions (Permissions globales). Lorsque vous affichez la page de configuration pour un rôle personnalisé, les Global Permissions (Permissions globales) du rôle réservé Admin (Administrateur)des rôles réservés sont masquées car vous ne pouvez pas les attribuer.

    Vous pouvez étendre les permissions de contenu de chaque solution Développer (comme la permission Trends Administrator (Administrateur du module Trends)) et les Platform Content Permissions (Permissions de contenu de plateforme) (comme la permission de lecture Sensor (Sensor)) pour voir les Content Sets auxquels la permission s’applique. Les icônes suivantes indiquent comment les attributions de Content Sets sont dérivées :

    Permission explicite Content set qui est explicitement attribué à la permission.
    Permission implicite Content Set qui est attribué parce qu’une autre permission le fournit implicitement. Vous pouvez passer le curseur de la souris sur l’icône pour afficher une infobulle qui indique comment l’attribution de Content Set a été dérivée d’une permission explicite Permission super explicite.
    Permission de refus Content Set qui est attribué à une permission de refus.
Figure 15 : Permissions effectives

Pour passer en revue les permissions en vigueur pour un utilisateur, un groupe d’utilisateurs ou un persona, reportez-vous aux sections suivantes :

Configurer des permissions de rôle

Effectuez l’une des tâches suivantes :

Attribuer ou annuler l’attribution des permissions pour un rôle unique

Procédez comme suit pour attribuer ou annuler l’attribution des permissions pour un rôle. Ignorez la première étape si vous avez ouvert la page Create Role (Créer un rôle) ou Edit Role (Modifier le rôle) dans une tâche précédente.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles), cliquez sur le Role Name (Nom du rôle), puis cliquez sur Edit Mode (Mode de modification).
  2. Développez Développer la section qui correspond au type de permissions que vous souhaitez attribuer ou dont vous souhaitez annuler l’attribution :
  3. Attribuez ou annulez l’attribution des permissions en cliquant sur les icônes appropriées dans la colonne Special (Spéciale), Read (Lecture), Write (Écriture), Execute (Exécution) ou Delete (Suppression).

    Pour obtenir plus de détails sur les icônes, reportez-vous à la section Afficher les permissions de rôle en vigueur.

    Cliquez sur une icône dans un en-tête de colonne pour sélectionner toutes les permissions de ce type. Par exemple, dans l’en-tête des permissions Administration (Administration), cliquez sur l’icône Special (Spécial) pour attribuer toutes les autorisations d’administration spéciales disponibles.

  4. (Facultatif) Vérifiez toutes les permissions que vous avez sélectionnées.

    Cliquez sur Preview (Aperçu) en haut à droite de la page pour afficher uniquement les permissions que vous avez sélectionnées. Lorsque vous avez terminé la révision, cliquez sur Edit Mode (Mode de modification) pour poursuivre la configuration du rôle.

  5. Cliquez sur Save (Enregistrer).

Attribuer des permissions et Content Sets à plusieurs rôles

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles) et sélectionnez les rôles à modifier.
  2. Sélectionnez Modifier > Add Permissions (Ajouter des permissions).
  3. Faites défiler l’écran jusqu’à la section Permissions (Permissions) et développez Développer la section qui correspond au type de permissions que vous souhaitez attribuer :
  4. Attribuez des permissions en cliquant sur les icônes appropriées dans la colonne Special (Spéciale), Read (Lecture), Write (Écriture), Execute (Exécution) ou Delete (Suppression), puis cliquez sur Next (Suivant).

    Pour obtenir plus de détails sur les icônes, reportez-vous à la section Afficher les permissions de rôle en vigueur.

    Cliquez sur une icône dans un en-tête de colonne pour sélectionner toutes les permissions de ce type. Par exemple, dans l’en-tête des permissions Administration (Administration), cliquez sur l’icône Special (Spécial) pour attribuer toutes les autorisations d’administration spéciales disponibles.

    Pour afficher uniquement les Permissions (Permissions) que vous avez ajoutées, cliquez sur Preview (Aperçu) en haut à droite de la page. Après avoir passé en revue les permissions, revenez en Edit Mode (Mode de modification) avant de passer à l’étape suivante.

  5. Si des permissions que vous avez attribuées sont associées à du contenu, comme la permission d’écriture Package (Package), cliquez sur Next (Suivant) et effectuez les étapes restantes pour attribuer des Content Sets à ces permissions. Sinon, cliquez sur Apply Permissions (Appliquer les permissions) pour terminer la procédure.
  6. Attribuez des Content Sets à des permissions qui sont associées à du contenu.

    Dans la grille, la première colonne affiche le nom de chaque permission, les Content Sets que vous lui avez attribués (initialement aucun Aucune permission attribuée) et le nombre de rôles (initialement 0) auxquels vous avez attribué la combinaison permission/Content Set. Pour chaque rôle, une colonne supplémentaire affiche le nombre total de combinaisons permission/Content Set que vous avez attribuées (initialement 0) et une icône attribuée Attribuée ou non attribuée Attribution annulée pour chaque combinaison. Le bouton Apply Permissions (Appliquer les permissions) est désactivé jusqu’à ce que vous attribuiez au moins un Content Set à chaque permission qui est associée à du contenu.

    Permissions d’ajouts groupés



    Vous pouvez attribuer des combinaisons permission/Content Set à plusieurs rôles ou à un seul rôle :

    • Plusieurs rôles :
      1. Pour chaque permission, cliquez sur Add Contents Sets (Ajouter des Content Sets), sélectionnez des Content Sets, puis cliquez sur Select (Sélectionner).
      2. Pour chaque combinaison permission/Content Set que vous avez ajoutée, cliquez sur le nom du Content Set, sélectionnez des rôles, puis cliquez sur Select (Sélectionner).
    • Un seul rôle : Pour chaque permission, cliquez sur 0+ dans une colonne de rôle, sélectionnez des Content Sets, puis cliquez sur Select (Sélectionner).
    Après avoir attribué des combinaison permission/Content Set sur la page Bulk Add Permissions (Ajout groupé de permissions), vous pouvez modifier toutes les attributions que vous avez ajoutées pendant le workflow actuel (c’est-à-dire, avant de cliquer sur Apply Permissions (Appliquer les permissions)). Vous ne pouvez pas supprimer les combinaisons permission/Content Set qui ont été attribuées avant de commencer le workflow actuel Bulk Add Permissions (Ajout groupé de permissions). Pour modifier des attributions que vous avez ajoutées pendant le workflow actuel :
    • Une seule attribution : pour chaque combinaison, cliquez sur une icône dans une colonne de rôle pour basculer entre attribuée Permission explicite ou non attribuée Attribution annulée pour ce rôle.
    • Plusieurs attributions : pour chaque permission, cliquez sur un nombre dans une colonne de rôle, puis sélectionnez ou désélectionnez plusieurs Content Sets pour cette permission.

    Pour modifier les attributions de combinaisons permission/Content Set après avoir terminé le workflow Bulk Add Permissions (Ajout groupé de permissions), reportez-vous à la section Annuler l’attribution des permissions et Content Sets pour plusieurs rôles.

  7. Cliquez sur Apply Permissions (Appliquer les permissions).

Annuler l’attribution des permissions et Content Sets pour plusieurs rôles

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles) et sélectionnez les rôles à modifier.
  2. Cliquez sur Modifier > Remove Permissions (Supprimer les permissions).
  3. Faites défiler l’écran jusqu’à la section Permissions (Permissions).

    Les permissions répertoriées sont attribuées à un ou plusieurs des Selected Roles (Rôles sélectionnés). Lorsque vous désélectionnez des permissions dans la liste, leur attribution est annulée pour tous ces rôles.

  4. Désélectionnez des permissions en cliquant sur les icônes Permission qui fournit d’autres permissions ou Permission attribuée dans la colonne Special (Spéciale), Read (Lecture), Write (Écriture), Execute (Exécution) ou Delete (Suppression).

    Pour obtenir plus de détails sur les icônes, reportez-vous à la section Afficher les permissions de rôle en vigueur.

  5. Cliquez sur Apply Changes (Appliquer les modifications).

Permissions d’administration

Le tableau suivant décrit les permissions d’administration.

Pour créer un rôle qui peut effectuer toutes les tâches administratives dans Tanium Console, attribuez la permission Permission Administrator (Administrateur de permissions) et les permissions d’écriture pour User (Utilisateur), User Group (Groupe d’utilisateurs), Computer Group (Groupe d’ordinateurs) et Persona (Persona). Le rôle réservé Admin (Admin) a toutes ces permissions.

Tableau 2 : Permissions d’administration
Permission Description
Administrateur de permissions Fournit les permissions d’administration suivantes sous la forme d’un bundle :
  • Permissions de lecture pour User (Utilisateur), User Group (Groupe d’utilisateurs), Role (Rôle), Persona (Persona) et Content Set (Content Set)
  • Permissions d’écriture pour Role (Rôle) et Content Set (Content Set)
  • Accorder la permission pour Role (Rôle)
Groupe d’actions

La permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations de groupe d’actions dans la page Action Groups (Groupe d’actions).

La permission de lecture Action Group (Groupe d’actions) remplace le paramètre Visibility (Visibilité). Un utilisateur disposant des permissions de déploiement d’actions et de lecture Action Group (Groupe d’actions) peut sélectionner n’importe quel groupe d’actions lors du déploiement d’une action. Un utilisateur disposant des permissions de lecture Action group (Groupe d’actions) et Approve Action (Approuver l’action) peut approuver les actions qui ciblent n’importe quel groupe d’actions. Cependant, les groupes d’ordinateurs qui sont attribués à un utilisateur contrôlent toujours les endpoints qui exécutent une action que l’utilisateur déploie dans le groupe d’actions sélectionné.

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de groupe d’actions. La permission d’écriture fournit la permission de lecture Action Group (Groupe d’actions).

RL autorisées La permission de lecture permet aux utilisateurs d’afficher les configurations d’URL autorisées sur la page Allowed URLs (URL autorisées) et d’exporter les configurations au format CSV. La permission d’administration micro admin Export Content (Exporter le contenu) est requise pour exporter au format JSON.

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations d’URL autorisées. La permission d’écriture fournit la permission de lecture Allowed URLs (URL autorisées).

Audit La permission de lecture permet aux utilisateurs d’afficher :
  • Les informations de Last Sign In (Dernière connexion) sur la page Users (Utilisateurs)
  • Les informations de Last Modified (Dernière modification) sur la page de configuration de l’utilisateur
  • Les informations de Last Modification (Dernière modification) sur la page Settings (Paramètres)
Groupe d’ordinateurs La permission de lecture permet aux utilisateurs d’afficher les groupes de gestion des ordinateurs et de les exporter au format CSV. La permission Export Content (Exporter le contenu) est requise pour exporter au format JSON.

Des permissions supplémentaires sont requises pour afficher les attributions de groupe d’utilisateurs, d’utilisateur et de persona pour les groupes de gestion des ordinateurs : Reportez-vous à la section Gérer les groupes de gestion d’ordinateurs.

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des groupes de gestion des ordinateurs. La permission d’écriture fournit la permission de lecture Computer Group (Groupe d’ordinateurs).

Pour créer un groupe de gestion des ordinateurs dans lequel l’appartenance est basée sur un filtre de sensor, les utilisateurs ont besoin des permissions suivantes en plus de l’option d’écriture Computer Group (Groupe d’ordinateurs) :

  • Sensor (Sensor) (contenu de la plateforme) : permission de lecture sur le Content Set Reserved (Réservé), qui inclut le contenu utilisé pour poser des questions d’aperçu
  • Interact Module (Module Interact) (module) : permission d’écriture

Les groupes d’ordinateurs avec une appartenance définie manuellement n’ont pas besoin des permissions de lecture Sensor (Sensor) ou d’écriture Interact Module (Module Interact).

Exporter le contenu Permet aux utilisateurs d’exporter les types de contenu suivants au format JSON :
  • RL autorisées
  • Groupes de gestion d’ordinateurs
  • Content Sets
  • Groupes de filtres
  • Packages
  • Rôles
  • Questions enregistrées
  • Actions planifiées
  • Sensors 

Seul le rôle réservé Administrator (Administrateur) peut exporter des catégories et des tableaux de bord.

Import Signed Content (Importer le contenu signé) Permet aux utilisateurs d’importer des fichiers de contenu signés numériquement.
Commandes de bande passante globale La permission de lecture permet aux utilisateurs d’afficher les commandes de bande passante globale sur la page Bandwidth Throttles (Commandes de bande passante).

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des commandes de bande passante globale.

Paramètres globaux La permission de lecture permet aux utilisateurs d’afficher les paramètres de la plateforme pour Cloud Taniumles serveurs Tanium Core Platform et les Tanium Clients sur la page Settings (Paramètres).

La permission d’écriture vous permet de modifier, créer ou supprimer les paramètres de la plateforme. La permission d’écriture implique la permission de lecture Global Settings (Paramètres globaux).

Sous-réseaux intentionnels La permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations de sous-réseau client intentionnels sur la page Administration (Administration) > Configuration (Configuration) > Subnets (Sous-réseaux).

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de sous-réseau client intentionnels. La permission d’écriture fournit la permission de lecture Intentional Subnets (Sous-réseaux intentionnels).

Sous-réseaux isolés La permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations de sous-réseau client isolées sur la page Administration (Administration)> Configuration (Configuration) > Subnets (Sous-réseaux).

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de sous-réseau client isolées. La permission d’écriture fournit la permission de lecture Isolated Subnets (Sous-réseaux isolés).

Persona La permission de lecture permet aux utilisateurs d’afficher des configurations de persona. La permission Permission Administrator (Administrateur de permissions) fournit la permission de lecture Persona (Persona).

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des personas lorsqu’elle est combinée avec lapermission Permission Administrator (Administrateur de permissions). La permission d’écriture implique la permission de lecture Persona (Persona).

Les utilisateurs ont besoin de permissions supplémentaires pour modifier l’attribution d’autres objets de RBAC (tels que les utilisateurs) à des personas. Reportez-vous à la section Gérer les personas.

Clé publique La permission de lecture permet aux utilisateurs de l’API REST Tanium de télécharger la clé publique Tanium (tanium.pub) ou le fichier d’initialisation (tanium-init.dat).

Seul le rôle réservé Administrator (Administrateur) peut accéder à la page Infrastructure (Infrastructure) pour télécharger ces fichiers via Tanium Console.

Question History La permission de lecture permet aux utilisateurs d’afficher la page Question History (Historique des questions).

Pour émettre une question à partir de la page Question History (Historique des questions), les utilisateurs doivent également disposer des permissions suivantes :

  • Permissions du module Interact :

    • Afficher Interact (Interact)

    • Lire Interact Module (Module Interact)

  • Platform Content Permissions (Permissions de contenu de plateforme) :

    • La permission de lecture Saved Question (Question enregistrée) sur les Content Sets qui contiennent les questions que l’utilisateur est autorisé à émettre.

    • La permission de lecture Sensor (Sensor) sur les Content Sets qui contiennent les sensors qui sont utilisés dans les questions que l’utilisateur est autorisé à émettre.

Sous-réseaux séparés La permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations de sous-réseau client séparées sur la page Subnets (Sous-réseaux).

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de sous-réseau client isolées. La permission d’écriture fournit la permission de lecture Separated Subnets (Sous-réseaux séparés).

Statut du serveur La permission de lecture permet aux utilisateurs d’afficher la page https://<Tanium_Server>/info. Pour plus de détails, reportez-vous à la section Afficher la page d’informations.
Commandes de bande passante de sous-réseau La permission de lecture permet aux utilisateurs d’afficher les commandes de bande passante spécifique au site sur la page Bandwidth Throttles (Commandes de bande passante).

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des commandes de bande passante spécifique au site.

État du client La permission de lecture permet aux utilisateurs d’afficher la page Client Status (Statut du client).
Jeton - Révoquer Permet aux utilisateurs de créer ou de révoquer des jetons d’API qui sont utilisés pour accéder à Cloud TaniumTanium Server.
Jeton - Utiliser Permet aux utilisateurs d’envoyer des demandes à Cloud TaniumTanium Server pour de nouveaux jetons d’API.
Jeton - Afficher Permet aux utilisateurs d’afficher la page API Tokens (Jetons d’API).
Token - Rotate (Jeton - Rotation) Permet aux utilisateurs de faire tourner des jetons d’API. La rotation supprime le jeton sélectionné et en crée un nouveau. Le délai d’expiration du nouveau jeton est réinitialisé et a le même intervalle que le jeton supprimé.
Utilisateur La permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations d’utilisateur sur la page Users (Utilisateurs).

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations d’utilisateur. La permission d’écriture fournit la permission de lecture User (Utilisateur).

Des permissions supplémentaires sont requises pour afficher et modifier les attributions de rôle, de groupe d’utilisateurs et de persona pour les utilisateurs. Reportez-vous à la section Gérer les utilisateurs.

Groupe d’utilisateurs La permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations de groupe d’utilisateurs sur la page User Groups (Groupes d’utilisateurs).

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de groupe d’utilisateurs. La permission d’écriture fournit la permission de lecture User Group (Groupe d’utilisateurs).

Des permissions supplémentaires sont requises pour afficher et modifier les attributions de rôle, d’utilisateurs et de persona pour les groupes d’utilisateurs. Reportez-vous à la section Gérer les groupes d’utilisateurs.

Droits de gestion La permission de lecture permet aux utilisateurs d’afficher les affectations de groupes de gestion des ordinateurs des utilisateurs, groupes d’utilisateurs et personas lorsqu’elles sont combinées avec la permission Read Computer Group (Lire le groupe d’ordinateurs).

La permission de lecture Management Rights (Droits de gestion) fait partie des permissions requises pour modifier les affectations de groupes de gestion des ordinateurs des utilisateurs, des groupes d’utilisateurs et des personas. Pour les permissions supplémentaires requises, consultez la section Gérer les groupes de gestion d’ordinateurs.

Les permissions de lecture et d’écriture Management Rights (Droits de gestion) ne sont pas des permissions explicites ; la permission Permission Administrator (Administrateur de permissions) les fournit.

Content Set La permission de lecture permet aux utilisateurs d’afficher les configurations du Content Set.

La permission d’écriture permet aux utilisateurs de :

  • Créer, modifier et supprimer des Content Sets
  • Déplacer le contenu entre les Content Sets
  • Exporter des Content Sets au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter au format JSON.

Il ne s’agit pas de permissions explicites ; la permission Permission Administrator (Administrateur de permissions) les fournit.

Rôle La permission de lecture permet aux utilisateurs d’afficher et d’exporter les configurations des rôles au format CSV. La permission Export Content (Exporter le contenu) est requise pour exporter au format JSON.

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer les configurations des rôles.

Accorder la permission fait partie des permissions requises pour modifier les attributions de rôle des utilisateurs, des groupes d’utilisateurs et des personas.

Il ne s’agit pas de permissions explicites ; la permission Permission Administrator (Administrateur de permissions) les fournit.

Les utilisateurs ont besoin des permissions combinées suivantes pour gérer les attributions de rôle :

  • Les permissions d’écriture Permission Administrator (Administrateur de permissions) et User (Utilisateur) sont requises pour modifier les attributions de rôle des utilisateurs.
  • Les permissions d’écriture Permission Administrator (Administrateur de permissions) et User Group (Groupe d’utilisateurs) sont requises pour modifier les attributions de rôle des groupes d’utilisateurs.
  • Les permissions d’écriture Permission Administrator (Administrateur de permissions) et Persona (Persona) sont requises pour modifier les attributions de rôle des personas.

Permissions de solution

Reportez-vous aux guides d’utilisation des solutions Tanium suivantes pour obtenir des informations sur les permissions spécifiques à chaque solution. Certaines de ces permissions nécessitent des attributions de Content Set. Reportez-vous à la section Gérer les permissions de Content Set pour un rôle.

Permissions de contenu de plateforme

Le tableau suivant décrit les permissions pour le contenu de la Tanium Core Platform. Après avoir attribué ces permissions à un rôle, vous devez les appliquer aux Content Sets. Reportez-vous à la section Gérer les permissions de Content Set pour un rôle.

Tableau 3 : Permissions de contenu de plateforme
Permission Description
Action La permission de lecture Action (Action) permet aux utilisateurs d’effectuer les tâches suivantes sur les pages Scheduled Actions (Actions planifiées), All Pending Approvals (Toutes les approbations en attente) et Action History (Historique des actions) :
  • Afficher les actions. La visibilité des actions spécifiques (lignes dans la grille) dépend de la permission de lecture Action (Action) sur le Content Set pour les packages associés.

  • Exporter les actions au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter les actions au format JSON.
  • Copier les actions dans le presse-papiers.
  • Afficher le statut de l’action, lorsqu’il est combiné à d’autres permissions de contenu.

Les permissions de lecture et d’écriture Action (Action) permettent aux utilisateurs d’effectuer les tâches suivantes sur les pages Scheduled Actions (Actions planifiées), All Pending Approvals (Toutes les approbations en attente) et Action History (Historique des actions) :

  • Réémettre ou modifier des actions, lorsqu’elles sont combinées avec les permissions de lecture Sensor (Sensor) sur les Content Set réservés. Le Content Set Reserved (Réservé) inclut le contenu utilisé pour poser des questions de prévisualisation.

  • Afficher le statut des packages associés à des actions et les télécharger à nouveau.
  • Désactiver ou activer les actions.
  • Modifier les groupes d’actions que ciblent les actions.
  • Créer des copies des configurations d’action.
  • Supprimer des actions.
  • Arrêter les actions.

La permission de lecture Action (Action) fournit la permission de lecture Own Action (Sa propre action).

La permission d’écriture Action (Action) fournit les permissions de lecture Own Action (Sa propre action), Package (Package) et Show Preview (Afficher un aperçu).

Action pour la question enregistrée La permission d’écriture permet aux utilisateurs de :
  • Accédez à la page Scheduled Actions( Actions planifiées) et consultez les actions qu’ils ont déployées.
  • Consultez et utilisez le bouton Deploy Action (Déployer une action) sur la grille Question Results (Résultats de la question) pour les questions enregistrées ayant des packages associés. La permission de lecture Package (Package) n’est pas requise pour les packages associés. Si la question enregistrée n’a pas de packages associés, le bouton Deploy Action (Déployer une action) n’apparaît pas.

La permission d’écriture fournit les permissions de lecture Own Action (Sa propre action) et Show Preview (Afficher un aperçu).

Utilisez la permission de lecture Action for Saved Question (Action pour la question enregistrée) au lieu de la permission d’écriture Action (Action) afin de limiter l’utilisation par les utilisateurs d’actions qui utilisent des produits Tanium pour exécuter des procédures opérationnelles standard créées par d’autres.

Approuver les actions

Permet aux utilisateurs d’effectuer les tâches suivantes sur la page Actions I Can Approve (Actions que je peux approuver) :

  • Afficher les actions qui nécessitent une approbation. Les utilisateurs ne peuvent pas afficher leurs propres actions sur cette page.

  • Approuver les actions que les autres utilisateurs possèdent, lorsqu’elles sont combinées avec la permission de lecture Sensor (Sensor). Les utilisateurs ne peuvent pas approuver leurs propres actions.
  • Exporter les actions au format CSV. La permission Export Content (Exporter le contenu) (administration) est requise pour exporter les actions au format JSON.
  • Copier les actions dans le presse-papiers.
Contourner la demande d’approbation Les actions créées par un utilisateur avec cette permission ne sont pas soumises aux exigences d’approbation.

Aucun rôle, y compris le rôle réservé Administrator (Administrateur), n’inclut cette permission par défaut.

Il s’agit d’une permission de contenu de plateforme qui est effective lorsqu’elle est accordée à un utilisateur avec le rôle Administrateur.

Tableau de bord La permission de lecture permet aux utilisateurs d’afficher les tableaux de bord dans la page Content (Contenu) du module Interact, si ces utilisateurs ont également la permission d’afficher Interact (Interact). Les utilisateurs ont également besoin des permissions de lecture pour Saved Question (Question enregistrée) et Sensor (Sensor) sur le contenu associé pour utiliser le tableau de bord.

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer les configurations des tableaux de bord. La permission d’écriture fournit la permission de lecture Dashboard (Tableau de bord).

Groupe de tableaux de bord La permission de lecture permet aux utilisateurs d’afficher les catégories dans la page Content (Contenu) du module Interact, si ces utilisateurs ont également la permission d’afficher Interact (Interact). Les utilisateurs ont également besoin des permissions de lecture pour Dashboard (Tableau de bord), Saved Question (Question enregistrée) et Sensor (Sensor) sur le contenu associé pour utiliser la catégorie.

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer les configurations des catégories. La permission d’écriture fournit la permission de lecture Category (Catégorie).

Groupe de filtres La permission de lecture permet aux utilisateurs de :
  • Afficher la page Filter Groups (Groupes de filtres)
  • Utiliser les groupes de filtres pour filtrer des questions, des résultats de questions et diverses listes dans Tanium Console
  • Exporter les groupes de filtres au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter au format JSON.

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de groupes de filtres. La permission d’écriture fournit la permission de lecture Filter Group (Groupe de filtres).

Sa propre action Permet aux utilisateurs d’effectuer les tâches suivantes sur leurs propres actions (et non sur celles d’autres utilisateurs) sur les pages Scheduled Actions (Actions planifiées), All Pending Approvals (Toutes les approbations en attente) et Action History (Historique des actions) :
  • Afficher les actions.

  • Exporter les actions au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter les actions au format JSON.
  • Copier les actions dans le presse-papiers.
  • Afficher le statut de l’action, lorsqu’il est combiné à d’autres permissions de contenu.

Les permissions suivantes fournissent une permission de lecture Own Action (Sa propre action) :

  • Lecture Action (Action)

  • Écriture Action (Action)
  • Écriture Action for Saved Question (Action pour la question enregistrée)

L’utilisateur ne peut pas créer ses propres actions s’il ne dispose pas des permissions d’écriture Action (Action) et Interact Module (Module Interact).

Package La permission de lecture permet aux utilisateurs de :
  • Affichez les packages dans la liste Deployment Package (Package de déploiement) de la page Action Deployment (Déploiement des actions).
  • Afficher les packages dans la page Packages (Packages).
  • Exporter les packages au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter au format JSON.

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer les configurations des packages. La permission d’écriture fournit les permissions de lecture Package (Package) et Show Preview (Afficher un aperçu).

Packages associés La permission de lecture Associated Packages (Packages associés) n’est pas explicite ; la permission d’écriture Action for Saved Question (Action pour la question enregistrée) fournit la permission de lecture Associated Packages (Packages associés).
Plug-in Réservé à une utilisation ultérieure.
Question enregistrée La permission de lecture permet aux utilisateurs de :
  • Affichez les questions enregistrées dans l’analyse par sous-questions de la grille Question Results (Résultats de la question) et les interfaces utilisateur similaires.
  • Affichez les questions enregistrées sur la page Overview (Vue d’ensemble) du module Interact, si l’utilisateur dispose également de la permission d’afficher Interact (Interact).
  • Posez des questions enregistrées, si l’utilisateur dispose également d’une permission de lecture Sensor (Sensor) sur les Content Sets qui contiennent les sensors dans ces questions.
  • Affichez la page Saved Questions (Questions enregistrées).
  • Exportez les questions enregistrées au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter au format JSON.

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer les configurations des questions enregistrées. La permission d’écriture fournit la permission de lecture Saved Question (Question enregistrée), mais pas la permission Ask Dynamic Questions (Poser des questions dynamiques).

Sensor La permission de lecture permet aux utilisateurs de :
  • Afficher les configurations de sensors.
  • Affichez les sensors dans le Question Builder (Question Builder) et les interfaces utilisateur similaires de Tanium Console.
  • Utilisez les sensors si l’utilisateur a également la possibilité de poser des questions.

La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de sensor. La permission d’écriture fournit les permissions de lecture Sensor (Sensor) et Show Preview (Afficher un aperçu).

Show Preview Show Preview (Afficher un aperçu) n’est pas une permission explicite. Les permissions d’écriture pour Action (Action), Action for Saved Question (Action pour la question enregistrée), Sensor (Sensor) et Package (Package) fournissent la permission Show Preview (Afficher un aperçu). La permission Show Preview (Afficher un aperçu) permet aux utilisateurs de poser des questions qui sont nécessaires pour afficher un aperçu de l’impact des nouvelles configurations d’action, de sensor et de package ainsi que les configurations modifiées. Pour poser des questions d’aperçu, l’utilisateur a également besoin de la permission de lecture Sensor (Sensor) sur le Content Set réservé, qui inclut le contenu utilisé pour poser les questions d’aperçu.

Gérer les permissions de Content Set pour un rôle

Lorsque vous configurez un rôle ayant des permissions pour le contenu des solutions Tanium (comme la permission Trends Administrator (Administrateur du module Trends) ou le contenu de la plateforme (comme la permission de lecture Sensor (Sensor)), vous devez attribuer des Content Sets (Content Sets) aux permissions pertinentes.

Gérer les permissions de Content Set pour plusieurs rôles

Vous pouvez ajouter ou supprimer des attributions de Content Set pour plusieurs rôles lorsque vous configurez des permissions de rôle :

Gérer les permissions de Content Set pour un seul rôle

Ignorez la première étape de cette procédure si vous avez ouvert la page Create Role (Créer un rôle) ou Edit Role (Modifier le rôle) dans une tâche précédente.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles), cliquez sur le Role Name (Nom du rôle), puis cliquez sur Edit Mode (Mode de modification).
  2. Effectuez l’une des sous-étapes suivantes :
    • Pour attribuer tous les Content Sets existants et futurs à toutes les permissions de contenu pertinentes que vous avez sélectionnées, sélectionnez Add all Content Sets that exist or will exist to the permissions selected above (Ajouter tous les Content Sets qui existent ou existeront aux permissions sélectionnées ci-dessus). Cette option est utile, par exemple, lorsque vous voulez que l’utilisateur puisse toujours lire des sensors ou ne puisse jamais écrire d’actions, quelles que soient les affectations du Content Set.

    • Pour attribuer des Content Sets spécifiques à toutes les permissions de contenu pertinentes que vous avez sélectionnées, cliquez sur Apply Content Sets (Appliquer les Content Sets), sélectionnez les ensembles et cliquez sur Select (Sélectionner). La boîte de dialogue de sélection Content Sets (Content Sets) affiche une coche Coche pour tous les Content Sets qui sont déjà attribués à toutes les permissions sélectionnées et affiche un tiret — pour les Content Sets qui sont appliqués à certaines (mais pas à toutes) des permissions sélectionnées.

      Les Content Sets que vous attribuez via la boîte de dialogue de sélection Content Sets) (Content Sets remplacent les affectations de Content Set pour les permissions individuelles. Par exemple, si vous avez précédemment attribué le Content Set Interact (Interact) spécifiquement à l’autorisation de lecture Sensor (Sensor), puis désélectionnez ce Content Set pendant le workflow Apply Content Sets (Appliquer les Content Sets), la permission de lecture Sensor (Sensor) ne s’applique pas au Content Set Interact (Interact).

    • Pour attribuer des Content Sets spécifiques à une permission spécifique :
      1. Faites défiler jusqu’à la section Permissions (Permissions) et cliquez sur le numéro à côté de l’icône de la permission, par exemple :

        Attributions du Content Set

      2. Sélectionnez les Content Sets et cliquez sur Select (Sélectionner).

        Les Content Sets que vous attribuez à des permissions spécifiques sont ajoutés à toutes les affectations précédentes. Par exemple, si vous avez attribué le Content Set Base (De base) à toutes les permissions de contenu pertinentes (workflow Apply Content Sets (Appliquer les Content Sets)) et que vous avez ensuite attribué le Content Set Interact (Interact) spécifiquement à la permission de lecture Sensor (Sensor), alors les Content Sets de Base (De base) et Interact (Interact) sont attribués à la permission de lecture Sensor (Sensor).

    • Pour créer un Content Set personnalisé sans quitter la page de configuration des rôles, cliquez sur New Content Set (Nouveau Content Set), saisissez un Name (Nom) pour identifier le jeu, puis cliquez sur Save (Enregistrer). Vous pouvez ensuite attribuer le nouveau Content Set à des permissions.

  3. (Facultatif) Passez en revue les attributions de Content Set.

    Les pages de configuration des rôles utilisent des icônes pour indiquer comment les attributions de permission et de Content Set sont dérivées. Pour obtenir plus de détails, reportez-vous à la section Afficher les permissions de rôle en vigueur.

    • Pour passer en revue les attributions de Content Set pour une permission spécifique, développez-la Développer dans la section Permissions (Permissions).

    • Pour vérifier les attributions de Content Set pour toutes les permissions, consultez la grille Content Sets (Content Sets).

  4. Cliquez sur Save (Enregistrer).

Cloner un rôle

Pour ajouter un rôle comportant de nombreux paramètres en commun avec un rôle existant, cloner le rôle existant avant de le modifier est souvent une méthode plus rapide que la configuration d’un nouveau rôle. Vous pouvez cloner n’importe quel rôle, sauf les rôles réservés.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Sélectionnez un rôle et cliquez sur Clone (Cloner).
  3. Saisissez un Role Name (Nom de rôle) pour identifier le rôle.
  4. Mettez à jour les attributions d’utilisateur, de groupe d’utilisateurs, de rôle et de Content Set si nécessaire :
  5. Cliquez sur Save (Enregistrer).

Exporter et importer des rôles

Les procédures suivantes décrivent comment exporter et importer des rôles spécifiques ou tous les rôles.

Développez et testez le contenu dans l’environnement de votre laboratoire avant d’importer ce contenu dans votre environnement de production.

Exporter les rôles

Exportez les rôles sous forme de fichier dans l’un des formats suivants :

  • CSV : Lorsque vous ouvrez le fichier dans une application prenant en charge le format CSV, cette option répertorie les rôles qui ont les mêmes attributs (colonnes) lorsque la page Roles (Rôles) s’affiche et (accessoirement) répertorie les attributions de RBAC de chaque utilisateur.

  • JSON : Si le rôle réservé Administrator (Administrateur) vous a été attribué, vous pouvez exporter des configurations de rôle sous forme de fichier JSON pour les importer dans un autre Tanium Server.

Procédez comme suit pour exporter des rôles :

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. (Facultatif, exportations de fichiers CSV uniquement) Pour ajouter ou supprimer des attributs (colonnes) pour le fichier CSV, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes dans la grille et sélectionnez les attributs.
  3. Sélectionnez des lignes dans la grille pour exporter uniquement des rôles spécifiques. Si vous souhaitez exporter tous les rôles, ignorez cette étape.
  4. Cliquez sur Export (Exporter) Exporter.
  5. (Facultatif) Modifiez le nom de fichier d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  6. Sélectionnez une option pour Export Data (Exporter les données) : All (Tous) les rôles dans la grille ou seulement les rôles Selected (Sélectionnés).
  7. Sélectionnez le format du fichier :

    • Liste de rôles - CSV

      Facultativement, vous pouvez aussi sélectionner With RBAC Details (Avec les détails de RBAC) pour inclure le nombre d’utilisateurs, de groupes d’utilisateurs et de personas auxquels les rôles sont attribués, ainsi que les permissions qui sont attribuées aux rôles. Le rapport comprend une colonne Total Users (Nombre total d’utilisateurs) qui affiche le nombre total d’utilisateurs auxquels chaque rôle est attribué, soit par attribution directe à des comptes d’utilisateur, soit par des attributions héritées de groupes d’utilisateurs.

    • Role Definitions - JSON (Définitions de rôles - JSON) (rôle réservé Administrator (Administrateur) uniquement)

  8. Cliquez sur Export (Exporter).

    Cloud TaniumLe Tanium Server exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Importer des rôles

Les utilisateurs qui se voient attribuer un rôle avec la permission Import Signed Content (Importer le contenu signé) peuvent importer des fichiers de contenu au format JSON ou XML. Le rôle réservé Administrator (Administrateur) dispose de cette permission.

  1. (Contenu non fourni par Tanium uniquement) Signez numériquement le fichier de contenu et assurez-vous qu’une clé publique est en place pour valider la signature. Reportez-vous à la section Authentification des fichiers de contenu.

    Vous n’avez pas besoin de générer des clés ou des signatures pour les solutions fournies par Tanium. Tanium signe ce contenu avant de le rendre disponible et la clé publique associée est distribuée à la base de stockage de clés du Tanium Server pendant le processus d’installation du serveur.

  2. Dans le menu principal, accédez à l’une des pages Administration (Administration) suivantes :
    • Configuration (Configuration) > Solutions (Solutions)
    • Permissions (Permissions) > Filter Groups (Groupes de filtres)
    • Sous Content (Contenu), sélectionnez Sensors (Sensors), Packages (Packages) ou Saved Questions (Questions enregistrées)
    • Sous Actions (Actions), sélectionnez Scheduled Actions (Actions planifiées), All Pending Approvals (Toutes les approbations en attente) ou Actions I Can Approve (Actions que je peux approuver)
  3. Sélectionnez une option Import (Importer) en fonction de la source du contenu :
    • Import (Importer) > Import Files (Importer des fichiers) : effectuez l’une des étapes suivantes pour sélectionner un ou plusieurs fichiers :
      • Faites glisser et déposez les fichiers de votre explorateur de fichiers.
      • Cliquez sur Browse for File (Rechercher un fichier), sélectionnez les fichiers et cliquez sur Open (Ouvrir).
    • Import (Importer) > Import URL (Importer URL) : saisissez l’URL dans le champ Import URL (Importer URL), puis cliquez sur Import (Importer).
  4. Pour chaque fichier, développez Développer le File name (Nom de fichier), examinez le contenu à importer et sélectionnez des résolutions pour tout conflit avec le contenu existant (reportez-vous à la section Résoudre les conflits lors de l’importation de mises à jour).
  5. Si vous souhaitez écraser les affectations existantes de Content Set pour tous les objets importés avec les affectations définies par défaut dans Tanium, sélectionnez l’option Include content set overwrite (Inclure le remplacement du Content Set). La case Include content set overwrite (Inclure le remplacement du Content Set) est désélectionnée par défaut et le Tanium Server conserve les affectations existantes de Content Sets.
  6. Cliquez sur Begin Install (Commencer l’installation).

Copier les détails de configuration du rôle

Copiez les informations de la page Roles (Rôles) dans votre presse-papiers pour coller les informations dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options puis cliquez sur Copy (Copier) Copier.

Supprimer un rôle

La suppression d’un rôle le supprime de n’importe quel utilisateur, groupe d’utilisateurs et persona auquel il a été attribué.

Effectuez les tâches suivantes avant de supprimer un rôle :
  1. Supprimez les attributions d’utilisateurs dans la configuration des rôles : Gérer les attributions de rôle pour un rôle.
  2. Supprimez les attributions de groupe d’utilisateurs dans la configuration des rôles : Gérer les attributions de groupe d’utilisateurs pour un rôle.
  3. Accédez à la page des permissions effectives pour vos utilisateurs, et examinez l’impact résultant sur les permissions effectives : Afficher les permissions de rôle en vigueur pour un utilisateur.

Pour supprimer un rôle :

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Sélectionnez le rôle et cliquez sur Delete (Supprimer) Supprimer.