Gérer des groupes d’utilisateurs

Une configuration de groupe d’utilisateurs associe des personas, des utilisateurs, des groupes de gestion d’ordinateurs et des rôles à un groupe d’utilisateurs. Vous pouvez créer des groupes d’utilisateurs localement sur le Tanium Server ou les importer depuis un serveur LDAP (Lightweight Directory Access Protocol) ou Active Directory (AD). Après avoir créé ou importé des groupes d’utilisateurs, vous devez leur attribuer des rôles, des groupes d’ordinateurs et des personas. Pour les groupes d’utilisateurs que vous créez localement, vous devez également affecter des utilisateurs.

Si votre déploiement nécessite à la fois des groupes locaux et importés, configurez d’abord les importations. Reportez-vous à la section Intégration aux serveurs LDAP.

La figure suivante illustre la relation entre les groupes d’utilisateurs et d’autres composants RBAC dans Tanium :

Figure 1 : Groupes d’utilisateurs Tanium
Pour les permissions de rôle d’utilisateur requises pour gérer les groupes d’utilisateurs, reportez-vous à la section Permissions de gestion RBAC.

Si la Tanium Console affiche des erreurs de permission (telles que RBACInsufficientPrivilege) pour les permissions que vous attendiez que votre compte d’utilisateur hérite d’un groupe d’utilisateurs, reportez-vous à la section Résoudre les problèmes de permission

Afficher les détails du groupe d’utilisateurs

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).

    La grille User Groups (Groupes d’utilisateurs) affiche les attributs de base de chaque groupe d’utilisateurs, notamment la valeur Name (Nom) du groupe et le nombre de Computer Groups (Groupes d’ordinateurs) et de Users (Utilisateurs) attribués.

    Une étoile Groupe d’utilisateurs par défaut à côté du nom indique le groupe d’utilisateurs par défaut. Reportez-vous à la section Définir le groupe d’utilisateurs par défaut.

  2. (Facultatif) Utilisez les filtres pour trouver des groupes d’utilisateurs spécifiques :
    • Filter by text (Filtrer par texte) : pour filtrer la grille avec le nom du groupe d’utilisateurs, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filter by attribute (Filtrer par attribut) : filtrez la grille selon un ou plusieurs attributs, tels que le nombre de Computer Groups (Groupes d’ordinateurs) attribués. Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  3. Pour voir les utilisateurs, les groupes d’ordinateurs, les personas, les rôles et les permissions qui sont attribués à un groupe d’utilisateurs, cliquez sur la valeur Name (Nom) du groupe d’utilisateurs. Pour plus de détails sur les permissions, reportez-vous à la section Afficher les autorisations de rôle en vigueur pour un groupe d’utilisateurs.

Créer un groupe d’utilisateurs

Procédez comme suit pour configurer un groupe d’utilisateurs local sur le Tanium Server. Ne créez pas de configurations pour les groupes que vous importez à partir d’un serveur LDAP. Reportez-vous à la section Intégration aux serveurs LDAP.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).
  2. Cliquez sur New User Group (Nouveau groupe d’utilisateurs) et saisissez un User Group Name (Nom de groupe d’utilisateurs).
  3. Attribuez des rôles, des utilisateurs, des groupes d’ordinateurs et des personas au groupe d’utilisateurs :
  4. Passez en revue les attributions et cliquez sur Save (Enregistrer).

Modifier un groupe d’utilisateurs

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).
  2. Cliquez sur le Name (Nom) du groupe d’utilisateurs et cliquez sur Edit Mode (Mode de modification).
  3. (Facultatif) Saisissez un nouveau User Group Name (Nom de groupe d’utilisateurs).
  4. Modifiez les attributions RBAC :
  5. Examinez vos modifications et cliquez sur Save (Enregistrer).

Gérer les attributions de rôles pour un groupe d’utilisateurs

Pour un aperçu de la manière dont les permissions en vigueur sont dérivées pour un groupe d’utilisateurs, et pour afficher les rôles et les Content Sets associés qui sont attribués à un groupe d’utilisateurs, reportez-vous à la section Afficher les autorisations de rôle en vigueur pour un groupe d’utilisateurs.

Pour attribuer ou annuler l’attribution de rôles et de Content Sets associés à un groupe d’utilisateurs, reportez-vous à la section Configurer les attributions de rôles pour un groupe d’utilisateurs.

Afficher les autorisations de rôle en vigueur pour un groupe d’utilisateurs

Les permissions en vigueur d’un groupe d’utilisateurs dépendent de l’effet cumulé de tous les rôles affectés, notamment :

  • Les permissions spécifiées dans les rôles d’autorisation moins les permissions spécifiées dans les rôles de refus
  • Les permissions fournies implicitement dans les rôles d’autorisation

Procédez comme suit pour afficher les autorisations en vigueur pour un groupe d’utilisateurs :

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs) et cliquez sur la valeur Name (Nom) du groupe d’utilisateurs.
  2. Passez en revue les rôles, permissions et Content Sets attribués et hérités. La page affiche des icônes pour indiquer :

    Permission explicite Les rôles ou permissions d’autorisation

    Permission super explicite Les rôles ou permissions de refus

    Les pages de configuration des rôles indiquent si des permissions sont explicitement attribuées ou implicitement fournies. Consultez la section Afficher les permissions de rôle en vigueur.

    Si vous attribuez le rôle réservé Admin (Administrateur), il apparaîtdes rôles réservés (comme Administrator (Administrateur)), ils apparaissent sous Global Permissions (Permissions globales) avec une seule permission Special (Spéciale) Permission explicite.

  3. (Facultatif) Développez Développer une permission individuelle pour passer en revue les Content Sets qui lui sont attribués. Seules les permissions de contenu de solution (comme la permission Trends Administrator (Administrateur du module Trends)) et les permissions de contenu de plateforme (comme la permission de lecture Sensor (Sensor)) sont associées à des Content Sets. La page affiche des icônes pour indiquer le type de permission auquel les Content Sets sont attribués :

    Permission explicite Permission d’autorisation

    Permission de refus Permission de refus

Figure 2 : Permissions effectives

Configurer les attributions de rôles pour un groupe d’utilisateurs

Procédez comme suit pour mettre à jour les attributions de rôles pour le persona par défaut d’un groupe d’utilisateurs. Pour configurer des rôles via un persona alternatif, modifiez la configuration du persona (reportez-vous à la section Gérer les attributions de rôles pour un persona) et affectez le persona au groupe d’utilisateurs (reportez-vous à la section Gérer les attributions de personas pour un groupe d’utilisateurs).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).
  2. Cliquez sur le Name (Nom) du groupe d’utilisateurs et cliquez sur Edit Mode (Mode de modification).
  3. Dans la section Roles (Rôles), cliquez sur Manage Roles (Gérer les rôles), sélectionnez ou désélectionnez des rôles, puis cliquez sur Apply (Appliquer).
  4. (Facultatif) Passez en revue les Permissions (Permissions) et les Content Sets (Content Sets) qui sont associés aux rôles sélectionnés. Reportez-vous à la section Afficher les autorisations de rôle en vigueur pour un groupe d’utilisateurs.

  5. Cliquez sur Save (Enregistrer).

Gérer les attributions d’utilisateurs pour un groupe d’utilisateurs

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).
  2. Cliquez sur le Name (Nom) du groupe d’utilisateurs et cliquez sur Edit Mode (Mode de modification).
  3. Développez Développer la section Users (Utilisateurs) et cliquez sur Manage Users (Gérer les utilisateurs).
  4. Sélectionnez ou désélectionnez des utilisateurs et cliquez sur Select (Sélectionner).
  5. Passez en revue les Users (Utilisateurs) attribués et cliquez sur Save (Enregistrer).

Gérer les attributions de groupes d’ordinateurs pour un groupe d’utilisateurs

Procédez comme suit pour configurer des attributions de groupes de gestion d’ordinateurs pour le persona par défaut d’un groupe d’utilisateurs. Pour configurer les attributions via des personas alternatifs, configurez les personas (reportez-vous à la section Créer un persona) et attribuez le persona au groupe d’utilisateurs (reportez-vous à la section Gérer les attributions de personas pour un groupe d’utilisateurs).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).
  2. Cliquez sur le Name (Nom) du groupe d’utilisateurs et cliquez sur Edit Mode (Mode de modification).
  3. Développez Développer la section Computer Groups (Groupes d’ordinateurs).

    Par défaut, l’option No Management Rights Assigned (Aucun droit de gestion attribué) est sélectionnée.

  4. Si vous ne souhaitez pas que les utilisateurs héritent des groupes d’ordinateurs de ce groupe d’utilisateurs, laissez l’option No Management Rights Assigned (Aucun droit de gestion attribué) sélectionnée et cliquez sur Save (Enregistrer) (ignorez les étapes restantes).
  5. Désélectionnez l’option No Management Rights Assigned (Aucun droit de gestion attribué), cliquez sur Manage Computer Groups (Gérer les groupes d’ordinateurs), sélectionnez ou désélectionnez des groupes de gestion d’ordinateurs, puis cliquez sur Select (Sélectionner).

    Les sélections sont combinées logiquement. Par exemple, l’union de All Computers (Tous les ordinateurs) et No Computers (Aucun ordinateur) est de fait All Computers (Tous les ordinateurs).

  6. Passez en revue les groupe d’ordinateurs attribués et cliquez sur Save (Enregistrer).

Gérer les attributions de personas pour un groupe d’utilisateurs

Cloud Tanium  Le Tanium Server attribue automatiquement un persona par défaut aux nouveaux groupes d’utilisateurs et, si vous effectuez une mise à niveau vers la version 7.4 ou une version ultérieure, il les attribue aux groupes existants avant la mise à niveau. Un utilisateur qui dispose d’un rôle ayant la permission Permission Administrator (Administrateur de permissions), la permission d’écriture Persona (Persona) et la permission d’écriture User Group (Groupe d’utilisateurs) avec le rôle réservé Administrator (Administrateur) doit mettre à jour manuellement l’attribution des personas alternatifs comme suit. Le rôle réservé Admin (Admin) comporte toutes ces permissions.

Les personas alternatifs n’héritent pas des permissions des groupes d’utilisateurs auxquels ils sont attribués. Pour en savoir plus, reportez-vous à la section Aperçu des personas.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).
  2. Cliquez sur le Name (Nom) du groupe d’utilisateurs et cliquez sur Edit Mode (Mode de modification).
  3. Développez Développer la section Personas (Personas) et cliquez sur Manager Personas (Gérer les personas).
  4. Sélectionnez ou désélectionnez des personas et cliquez sur Select (Sélectionner).
  5. Passez en revue les Personas (Personas) attribués et cliquez sur Save (Enregistrer).

Cloner un groupe d’utilisateurs

Pour ajouter un groupe d’utilisateurs comportant de nombreux paramètres en commun avec un groupe existant, cloner le groupe existant avant de le modifier est souvent une méthode plus rapide que la configuration d’un nouveau groupe.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).
  2. Sélectionnez le groupe d’utilisateurs et cliquez sur Clone (Cloner).
  3. Saisissez un nouveau User Group Name (Nom de groupe d’utilisateurs).
  4. Modifiez les attributions RBAC :
  5. Examinez vos modifications et cliquez sur Save (Enregistrer).

Supprimer un groupe d’utilisateurs

Lorsque vous supprimez une configuration de groupe d’utilisateurs, les utilisateurs cessent d’hériter des personas, des groupes de gestion d’ordinateurs et des rôles.

Avant de supprimer un groupe d’utilisateurs :
  1. Supprimez les personas et les affectations d’utilisateurs du groupe d’utilisateurs. Pour connaître les étapes, reportez-vous aux sections Gérer les attributions d’utilisateurs pour un groupe d’utilisateurs et Gérer les attributions de personas pour un groupe d’utilisateurs.
  2. Vérifiez l’impact que la suppression des attributions de personas et d’utilisateurs au niveau du groupe d’utilisateurs a sur les permissions en vigueur des utilisateurs. Pour connaître les étapes, reportez-vous à la section Afficher les autorisations de rôle en vigueur pour un groupe d’utilisateurs.

Supprimez un groupe d’utilisateurs en procédant comme suit :

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).
  2. Sélectionnez le groupe, cliquez sur Delete Selected (Supprimer la sélection) Supprimer la sélection, puis cliquez sur Confirm (Confirmer).

Définir le groupe d’utilisateurs par défaut

La configuration d’un groupe d’utilisateurs par défaut est utile dans le cadre de déploiements où vous prévoyez que de nombreux nouveaux utilisateurs appartiendront au même groupe. Après avoir défini un groupe d’utilisateurs par défaut, Cloud Taniumle Tanium Server l’attribue automatiquement aux comptes d’utilisateur qui sont ensuite ajoutés à votre bibliothèque d’identités distante. Le groupe par défaut a une étoile Groupe d’utilisateurs par défaut à côté de son nom dans la grille User Groups (Groupes d’utilisateurs.

Indicateur de groupe d’utilisateurs par défaut

Les permissions d’écriture pour User Group (Groupe d’utilisateurs) et Global Settings (Paramètres globaux) sont requises pour définir le groupe d’utilisateurs par défaut.

Le groupe d’utilisateurs par défaut s’applique uniquement aux utilisateurs qui s’authentifient via SAML et ne sont pas synchronisés avec un serveur LDAP. Reportez-vous à la section Intégration à un PDi SAML.

Si aucun groupe d’utilisateurs n’est défini, la page User Groups (Groupes d’utilisateurs) n’affiche pas les paramètres Paramètres de configuration d’un groupe par défaut.

Vous pouvez également afficher et modifier le groupe d’utilisateurs par défaut sur la page Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Platform Settings (Paramètres de la plateforme) via le paramètre Default User Group (Groupe d’utilisateurs par défaut). Reportez-vous à la section Gérer les paramètres de la plateforme.

Effectuez les étapes suivantes pour définir le groupe d’utilisateurs par défaut. Sélectionnez l’option No Default Selected (Aucune valeur par défaut sélectionnée) si vous ne souhaitez aucun groupe d’utilisateurs par défaut. Cependant, notez qu’un groupe par défaut est requis pour la création automatique d’utilisateurs si vous avez configuré cette fonctionnalité (reportez-vous à la section Créer automatiquement des utilisateurs).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).
  2. Cliquez sur Settings (Paramètres) Paramètres, sélectionnez un Default User Group (Groupe d’utilisateurs par défaut) et cliquez sur Save (Enregistrer).Sélection du groupe d’utilisateurs par défaut

Exporter ou importer des groupes d’utilisateurs

Les procédures suivantes décrivent comment exporter et importer des groupes d’utilisateurs spécifiques ou tous les groupes d’utilisateurs.

Développez et testez le contenu dans l’environnement de votre laboratoire avant d’importer ce contenu dans votre environnement de production.

Exporter des configurations de groupes d’utilisateurs

Exporter les groupes d’utilisateurs sous forme de fichier dans l’un des formats suivants :

  • CSV : Lorsque vous ouvrez le fichier dans une application prenant en charge le format CSV, cette option répertorie les groupes d’utilisateurs qui ont les mêmes attributs (colonnes) lorsque la page User Groups (Groupes d’utilisateurs) s’affiche et (accessoirement) répertorie les affectations RBAC de chaque groupe d’utilisateurs.

  • JSON : Si le rôle réservé Administrator (Administrateur) vous a été attribué, vous pouvez exporter des configurations de groupes d’utilisateurs sous forme de fichier JSON pour les importer dans un autre Tanium Server.

Procédez comme suit pour exporter des groupes d’utilisateurs :

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).
  2. (Facultatif, exportations de fichiers CSV uniquement) Pour ajouter ou supprimer des attributs (colonnes) pour le fichier CSV, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes dans la grille et sélectionnez les attributs.
  3. Sélectionnez des lignes dans la grille pour exporter uniquement des groupes d’utilisateurs spécifiques. Si vous souhaitez exporter tous les groupes d’utilisateurs, ignorez cette étape.
  4. Cliquez sur Export (Exporter) Exporter.
  5. (Facultatif) Modifiez le File Name (Nom de fichier) d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  6. Sélectionnez une option pour Export Data (Exporter les données) : L’option All (Tous) pour tous les groupes d’utilisateurs de la grille, ou Selected (Sélectionnés) pour les groupes d’utilisateurs sélectionnés uniquement.
  7. Sélectionnez le format du fichier :

    • List of User Groups - CSV (Liste de groupes d’utilisateurs - CSV). Vous pouvez également sélectionner With RBAC Details (Avec détails du RBAC) pour inclure les noms des utilisateurs, des rôles, des groupes d’ordinateurs et des personas qui sont affectés aux groupes d’utilisateurs.
    • User Group Definitions - JSON (Définitions de groupes d’utilisateurs - JSON) (rôle réservé Administrator (Administrateur) uniquement)

  8. Cliquez sur Export (Exporter).

    Cloud TaniumLe Tanium Server exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Importer des configurations de groupes d’utilisateurs

Les utilisateurs qui se voient attribuer un rôle avec la permission Import Signed Content (Importer le contenu signé) peuvent importer des fichiers de contenu au format JSON ou XML. Le rôle réservé Administrator (Administrateur) dispose de cette permission.

  1. (Contenu non fourni par Tanium uniquement) Signez numériquement le fichier de contenu et assurez-vous qu’une clé publique est en place pour valider la signature. Reportez-vous à la section Authentification des fichiers de contenu.

    Vous n’avez pas besoin de générer des clés ou des signatures pour les solutions fournies par Tanium. Tanium signe ce contenu avant de le rendre disponible et la clé publique associée est distribuée à la base de stockage de clés du Tanium Server pendant le processus d’installation du serveur.

  2. Dans le menu principal, accédez à l’une des pages Administration (Administration) suivantes :
    • Configuration (Configuration) > Solutions (Solutions)
    • Permissions (Permissions) > Filter Groups (Groupes de filtres)
    • Sous Content (Contenu), sélectionnez Sensors (Sensors), Packages (Packages) ou Saved Questions (Questions enregistrées)
    • Sous Actions (Actions), sélectionnez Scheduled Actions (Actions planifiées), All Pending Approvals (Toutes les approbations en attente) ou Actions I Can Approve (Actions que je peux approuver)
  3. Sélectionnez une option Import (Importer) en fonction de la source du contenu :
    • Import (Importer) > Import Files (Importer des fichiers) : effectuez l’une des étapes suivantes pour sélectionner un ou plusieurs fichiers :
      • Faites glisser et déposez les fichiers de votre explorateur de fichiers.
      • Cliquez sur Browse for File (Rechercher un fichier), sélectionnez les fichiers et cliquez sur Open (Ouvrir).
    • Import (Importer) > Import URL (Importer URL) : saisissez l’URL dans le champ Import URL (Importer URL), puis cliquez sur Import (Importer).
  4. Pour chaque fichier, développez Développer le File name (Nom de fichier), examinez le contenu à importer et sélectionnez des résolutions pour tout conflit avec le contenu existant (reportez-vous à la section Résoudre les conflits lors de l’importation de mises à jour).
  5. Si vous souhaitez écraser les affectations existantes de Content Set pour tous les objets importés avec les affectations définies par défaut dans Tanium, sélectionnez l’option Include content set overwrite (Inclure le remplacement du Content Set). La case Include content set overwrite (Inclure le remplacement du Content Set) est désélectionnée par défaut et le Tanium Server conserve les affectations existantes de Content Sets.
  6. Cliquez sur Begin Install (Commencer l’installation).

Copier les détails de la configuration de groupe d’utilisateurs

Copiez les détails de la configuration dans la grille sur la page User Groups (Groupes d’utilisateurs) dans votre presse-papiers pour les coller dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > User Groups (Groupes d’utilisateurs).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options puis cliquez sur Copy (Copier) Copier.