Gestion des utilisateurs

La configuration d’un utilisateur associe des personas, des groupes d’utilisateurs, des groupes de gestion d’ordinateurs et des rôles à un compte d’utilisateur. Vous pouvez créer des comptes d’utilisateurs localement sur le Tanium Server ou les importer depuis un serveur LDAP (Lightweight Directory Access Protocol) ou Active Directory (AD.

Si votre déploiement nécessite à la fois des utilisateurs locaux et importés, configurez d’abord les importations. Reportez-vous à la section Intégration aux serveurs LDAP.

La figure suivante illustre la relation entre les utilisateurs et d’autres composants RBAC dans Tanium :

Figure 1 : Utilisateurs Tanium
Pour connaître les permissions de rôle d’utilisateur requises pour pouvoir gérer les utilisateurs, reportez-vous à la section Gérer les utilisateurs.

Si vous avez importé des solutions Tanium avec des paramètres par défaut, le compte de service que les solutions utilisent pour exécuter les processus en arrière-plan est le compte d’utilisateur qui a effectué l’importation. Reportez-vous à la section Gérer les comptes de service.

Examinez et, si nécessaire, mettez à jour les comptes d’utilisateur tous les trimestres pour vous assurer que les configurations du compte reflètent les changements de personnel à mesure que des utilisateurs partent, arrivent ou changent de rôle dans votre entreprise. Reportez-vous au Guide d’utilisation de Tanium Maintenance : Examiner et mettre à jour les comptes d’utilisateur de la Console.

Authentification de l’utilisateur

Dans le cadre d’un déploiement Cloud Tanium, tous les utilisateurs s’authentifient via un fournisseur d’identité (PDi) SAML (Security Assertion Markup Language). Contactez l’assistance Tanium pour plus de détails.

Dans le cadre d’un déploiement où les utilisateurs s’authentifient sur la Tanium Console à partir de domaines sur une instance Salesforce Information Technology Service Management (ITSM), vous devez mettre à jour le paramètre de plateforme Trusted Auth Origin (Origine d’authentification approuvée) si les domaines changent. Entrez les domaines sous forme de liste d’URL séparés par des virgules. Reportez-vous à la section Gérer les paramètres de la plateforme.

Vous pouvez configurer les méthodes suivantes pour authentifier les utilisateurs lorsqu’ils accèdent à la Tanium Console ou à l’API :

Pour plus de détails sur les paramètres et les événements qui affectent la durée des sessions de la Tanium Console et la fréquence à laquelle les utilisateurs doivent se réauthentifier, reportez-vous à la section Définir les préférences utilisateur de la console et Se connecter à la console.

Si les utilisateurs rencontrent des problèmes pour se connecter à la Tanium Console, reportez-vous à la section Résoudre les problèmes d’accès à la Console.

Si vous utilisez un service externe pour l’authentification, conservez au moins un compte d’utilisateur qui repose sur l’authentification locale et attribuez-lui le rôle réservé Administrator (Administrateur). Si le service externe devient indisponible (par exemple, la connexion au serveur LDAP ou au PDi SAML tombe en panne), cet utilisateur local peut tout de même accéder à la Tanium Console et reconfigurer la connexion au service externe, le cas échéant. Vous pouvez éventuellement utiliser l’utilisateur par défaut créé pendant l’installation du Tanium Server à cette fin.

Utilisateur par défaut

Pendant la configuration de votre déploiement Cloud Tanium, un compte administrateur est créé que vous pouvez utiliser pour vous connecter à Tanium Console pour la première fois. Cet utilisateur est basé sur un compte PDi que votre organisation sélectionne comme administrateur principal pour votre déploiement Cloud Tanium. L’utilisateur a des droits de gestion illimités du groupe d’ordinateurs. L’utilisateur dispose également du rôle réservé Administrateur, qui permet d’accéder à toutes les fonctionnalités disponibles dans Cloud Tanium, y compris la possibilité de configurer le contrôle d’accès basé sur les rôles (RBAC) pour tous les autres utilisateurs Cloud Tanium.

Le processus d’installation du Tanium Server crée un compte d’utilisateur de la Tanium Console qui dispose de permissions similaires à celles du super-utilisateur racine ou admin dans certains systèmes d’exploitation. Cet utilisateur initial se voit attribuer le groupe d’ordinateurs All Computers (Tous les ordinateurs) et le rôle réservé Administrator (Administrateur), ce qui lui permet d’effectuer n’importe quelle opération sur Tanium Core Platform. Cependant, cet utilisateur n’est pas un utilisateur intégré comme pour l’utilisateur racine ou admin. C’est pourquoi, vous pouvez modifier ou supprimer le compte.

Afficher les paramètres de l’utilisateur

  1. Dans le menu principal, accédez à Administration (Administration) >  Permissions (Permissions) >  Users (Utilisateurs).

    La grille Users (Utilisateurs) affiche les attributs de base de chaque utilisateur, notamment la valeur Name (Nom) de l’utilisateur et le nombre de groupes d’ordinateurs attribués. Toutefois, pour voir les groupes d’utilisateurs, groupes d’ordinateurs, personas ou rôles (et permissions) spécifiques qui sont attribués, vous devez afficher la configuration d’un utilisateur en particulier.

  2. (Facultatif) Utilisez les filtres pour trouver des utilisateurs spécifiques :
    • Filter by text (Filtrer par texte) : pour filtrer la grille avec le nom de l’utilisateur, le nom d’affichage ou le nom de domaine, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filter by attribute (Filtrer par attribut) : filtrez la grille selon un ou plusieurs attributs, tels que le nombre de Computer Groups (Groupes d’ordinateurs) attribués. Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
    • Filter by status (Filtrer par statut) :  par défaut, le bouton à bascule User (Utilisateurs) est réglé sur Active (Actif) et la grille n’affiche pas les comptes d’utilisateur qui sont supprimés ou verrouillés. Pour afficher tous les comptes quel que soit leur statut, réglez le bouton à bascule sur All (Tous).

      La colonne Status (Statut) indique les utilisateurs qui sont actifs Actif ou supprimés Supprimé mais la colonne est masquée par défaut. Pour afficher la colonne, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes et sélectionnez Status (Statut).

  3. (Facultatif) Pour voir les groupes d’utilisateurs, les groupes d’ordinateurs, les personas, les rôles et les permissions qui sont attribués à un utilisateur, cliquez sur le Name (Nom) de l’utilisateur. Pour obtenir plus de détails sur les permissions, reportez-vous à la section Afficher les permissions de rôle en vigueur pour un utilisateur.

Créer un utilisateur

Créez des configurations utilisateur sur Cloud Tanium pour tous les utilisateurs qui ont besoin d’accéder à Tanium Console, à l’API REST, aux modules et aux services partagés. Travaillez avec votre administrateur PDi pour vous assurer que les comptes utilisateur sont également configurés dans la bibliothèque d’identités distante.

Tous les utilisateurs qui demandent l’accès à Tanium Console, à l’API REST, aux modules et aux services partagés nécessitent des configurations utilisateur sur le Tanium Server. Créez uniquement les configurations utilisateur que le serveur n’importe pas à parti d’un serveur AD ou LDAP (reportez-vous à la section Intégration aux serveurs LDAP). Si vous créez des utilisateurs qui sont locaux au Tanium Server et qui s’authentifient via un PDi, travaillez avec l’administrateur du PDi pour vous assurer que leurs comptes d’utilisateur sont également configurés dans la bibliothèque d’identités distante (reportez-vous à la section Intégration à un PDi SAML). Pour plus de détails sur les méthodes d’authentification des utilisateurs, reportez-vous à la section Authentification de l’utilisateur.

Lorsque vous créez un utilisateur, l’attribution de rôles, de personas alternatifs et de groupes d’ordinateurs est facultative. Cependant, un utilisateur sans rôle ne peut accéder à rien après s’être connecté à Tanium Console. Vous pouvez attribuer des rôles et des groupes d’ordinateurs directement à l’utilisateur (persona par défaut) ou les attribuer à d’autres personas et groupes d’utilisateurs que vous attribuez à l’utilisateur. Si vous définissez un groupe d’utilisateurs par défaut, tous les nouveaux utilisateurs lui sont automatiquement attribués (reportez-vous à la section Définir le groupe d’utilisateurs par défaut). Sinon, vous devez attribuer manuellement des utilisateurs à des groupes.

La gestion des affectations de rôle d’utilisateur, de groupe d’ordinateurs et de persona par le biais de groupes d’utilisateurs est une bonne pratique. En combinant cette pratique avec un groupe d’utilisateurs par défaut, vous pouvez automatiquement fournir aux nouveaux utilisateurs toutes les permissions RBAC dont ils ont besoin.

Vous pouvez utiliser la méthode automatique ou manuelle pour créer des utilisateurs.

Créer automatiquement des utilisateurs

Vous pouvez configurer Cloud Tanium pour créer automatiquement des utilisateurs lorsqu’ils se connectent à la Tanium Console si leurs noms d’utilisateur correspondent à une expression régulière que vous spécifiez. Ceci est utile pour créer des configurations pour tous les utilisateurs d’un domaine particulier, comme example.com. Généralement, vous configurez la création automatique d’utilisateurs via le Cloud Tanium Management Portal lorsque vous configurez Cloud Tanium pour la première fois. Cependant, vous pouvez également configurer ou modifier la fonction après la configuration initiale.

Pour ajouter automatiquement des utilisateurs et des groupes d’utilisateurs d’un PDi SAML à Cloud Tanium, configurez le SCIM (System for Cross-Domain Identity Management). La synchronisation entre le PDi et Cloud Tanium comprend des attributs tels que les attributions d’utilisateurs à des groupes qui sont configurées dans le PDi. Reportez-vous au Guide de déploiement de Tanium Cloud : Configurer le provisionnement SCIM.

Les étapes suivantes impliquent la configuration d’un paramètre de plateforme, qui nécessite de se connecter à la Console en tant qu’utilisateur disposant de la permission d’écriture Global Settings (Paramètres globaux).

  1. Définir le groupe d’utilisateurs par défaut s’il n’est pas déjà défini. Un groupe par défaut est requis pour la création automatique de l’utilisateur.
  2. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés).
  3. Dans la colonne Name (Nom), cliquez sur user_auto_provision_regex (regex_provision_auto_utilisateur).
  4. Entrez une expression régulière correspondant aux noms d’utilisateur des comptes que vous souhaitez créer et cliquez sur Save (Enregistrer).

    Par exemple, l’expression régulière [email protected] correspond à tous les noms d’utilisateur qui ont le format <user>@example.com, comme [email protected].

Lorsqu’un utilisateur correspondant se connecte à Tanium Console pour la première fois, Cloud Tanium crée une configuration utilisateur qui n’a pas d’affectations RBAC, à l’exception du groupe d’utilisateurs par défaut. Vous pouvez ensuite configurer tous les paramètres dont l’utilisateur a besoin, mais qu’il n’hérite pas du groupe d’utilisateurs par défaut. Si nécessaire, vous pouvez réaffecter l’utilisateur à un groupe d’utilisateurs autre que le groupe par défaut.

Créer manuellement des utilisateurs

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs) et cliquez sur New User (Nouvel utilisateur).
  2. Spécifiez un User Name (Nom d’utilisateur) correspondant à un compte de votre PDi. à l’un des éléments suivants :
    • Compte d’utilisateur défini localement sur le Tanium Server. Si le compte n’existe pas encore sur le serveur, une étape ultérieure de cette procédure décrit comment l’ajouter.
    • (Déploiement Windows uniquement) Un nom de compte AD. Spécifiez uniquement le nom d’utilisateur, et non le nom de domaine. Le Tanium Server utilise l’authentification Windows et il n’assure ni le stockage ni la gestion des informations d’identification pour l’utilisateur.
  3. Configurez tous les paramètres dont l’utilisateur a besoin, mais qu’il n’hérite pas du groupe d’utilisateurs par défaut. Si nécessaire, vous pouvez réaffecter l’utilisateur à un groupe d’utilisateurs autre que le groupe par défaut.
  4. Cliquez sur Save (Enregistrer) pour créer l’utilisateur.
  5. (Déploiement des appliances Tanium uniquement) Ajoutez le compte d’utilisateur sur l’appliance et configurez le service d’authentification local, comme décrit dans le Guide de déploiement des appliances Tanium : Configurer le service d’authentification local.
  6. (Déploiement Windows, compte local uniquement) Ajoutez le compte d’utilisateur sur le Tanium Server s’il n’existe pas encore :
    1. Connectez-vous à l’hôte du Tanium Server en tant qu’utilisateur Administrator (Administrateur).
    2. Dans le menu Windows Windows, ouvrez le Control Panel (Panneau de configuration).
    3. Sélectionnez User Accounts (Comptes d’utilisateur), cliquez sur Manage another account (Gérer un autre compte), puis sur Add a user account (Ajouter un compte d’utilisateur).

    4. Renseignez les champs suivants et cliquez sur Next (Suivant) :

      • Nom d’utilisateur
      • Mot de passe
      • Saisir à nouveau le mot de passe
      • Conseil pour le mot de passe
    5. Cliquez sur Finish (Terminer) et vérifiez que la liste des comptes inclut celui que vous venez d’ajouter.

Configurer le nom d’affichage et les propriétés de l’utilisateur

Pour chaque utilisateur, vous pouvez configurer un nom d’affichage facultatif qui apparaît comme libellé pour la liste déroulante des utilisateurs dans le menu principal :

Nom affiché

Vous pouvez également configurer des propriétés d’utilisateur. Il s’agit de paires nom-valeur qui enregistrent des détails facultatifs sur l’utilisateur, notamment le nom complet, l’entreprise, l’adresse e-mail et le numéro de téléphone.

  1. Dans le menu principal, accédez à Administration (Administration) >  Permissions (Permissions) >  Users (Utilisateurs).
  2. Cliquez sur le Name (Nom) de l’utilisateur et cliquez sur Edit Mode (Mode de modification).
  3. Saisissez un Display Name (Nom d’affichage).
  4. Mettez à jour les propriétés comme suit, puis cliquez sur Save (Enregistrer) :
    • Add (Ajouter) : liquez sur Add properties (Ajouter des propriétés) ou, si l’utilisateur possède déjà des propriétés, cliquez sur Add (Ajouter) Ajouter, puis saisissez une paire nom-valeur dans les champs de texte.
    • Modifier : écrasez les entrées des paires nom-valeur existantes.
    • Delete (Supprimer) : cliquez sur Delete (Supprimer) Supprimer à côté d’une paire nom-valeur.

Gérer les attributions de rôles pour un utilisateur

Pour obtenir un aperçu de la manière dont les permissions en vigueur sont dérivées pour un utilisateur, et pour afficher les rôles et les Content Sets associés qui sont attribués à un utilisateur, reportez-vous à la section Afficher les permissions de rôle en vigueur pour un utilisateur.

Pour attribuer ou annuler l’attribution de rôles et de Content Sets associés pour un utilisateur, reportez-vous à la section Configurer des attributions de rôle pour un utilisateur.

Afficher les permissions de rôle en vigueur pour un utilisateur

Les permissions en vigueur d’un utilisateur dépendent de l’effet cumulé de tous les rôles attribués et hérités, y compris :

  • Les permissions spécifiées dans les rôles d’autorisation moins les permissions spécifiées dans les rôles de refus
  • Les permissions fournies implicitement dans les rôles d’autorisation

Procédez comme suit pour afficher les autorisations en vigueur pour un utilisateur :

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs) et cliquez sur la valeur Name (Nom) de l’utilisateur.
  2. Passez en revue les rôles, permissions et Content Sets attribués et hérités. La page affiche des icônes pour indiquer :

    Permission explicite Les rôles ou permissions d’autorisation

    Permission super explicite Les rôles ou permissions de refus

    Les pages de configuration des rôles indiquent si des permissions sont explicitement attribuées ou implicitement fournies. Consultez la section Afficher les permissions de rôle en vigueur.

    Si vous attribuez le rôle réservé Admin (Administrateur), il apparaîtdes rôles réservés (comme Administrator (Administrateur)), ils apparaissent sous Global Permissions (Permissions globales) avec une seule permission Special (Spéciale) Permission explicite.

  3. (Facultatif) Développez Développer une permission individuelle pour passer en revue les Content Sets qui lui sont attribués. Seules les permissions de contenu de solution (comme la permission Trends Administrator (Administrateur du module Trends)) et les permissions de contenu de plateforme (comme la permission de lecture Sensor (Sensor)) sont associées à des Content Sets. La page affiche des icônes pour indiquer le type de permission auquel les Content Sets sont attribués :

    Permission explicite Permission d’autorisation

    Permission de refus Permission de refus

Figure 2 : Permissions effectives

Configurer des attributions de rôle pour un utilisateur

Procédez comme suit pour mettre à jour les attributions de rôles pour le persona par défaut d’un utilisateur. Pour configurer des rôles via un persona alternatif, modifiez la configuration du persona (reportez-vous à la section Gérer les attributions de rôles pour un persona) et affectez le persona à l’utilisateur (reportez-vous à la section Gérer les attributions de personas pour un utilisateur).

  1. Dans le menu principal, accédez à Administration (Administration) >  Permissions (Permissions) >  Users (Utilisateurs).
  2. Cliquez sur le Name (Nom) de l’utilisateur et cliquez sur Edit Mode (Mode de modification).
  3. Dans la section Roles (Rôles), cliquez sur Manage Roles (Gérer les rôles).
  4. Sélectionnez ou désélectionnez les rôles et cliquez sur Apply (Appliquer).
  5. (Facultatif) Passez en revue les Permissions (Permissions) et les Content Sets (Content Sets) qui sont associés aux rôles sélectionnés. Reportez-vous à la section Afficher les permissions de rôle en vigueur pour un utilisateur.

  6. Cliquez sur Save (Enregistrer).

Gérer les attributions de groupes d’utilisateurs pour un utilisateur

  1. Dans le menu principal, accédez à Administration (Administration) >  Permissions (Permissions) >  Users (Utilisateurs).
  2. Cliquez sur le Name (Nom) de l’utilisateur et cliquez sur Edit Mode (Mode de modification).
  3. Développez Développer la section User Groups (Groupes d’utilisateurs) et cliquez sur Manage User Groups (Gérer les groupes d’utilisateurs).
  4. Sélectionnez ou désélectionnez les groupes d’utilisateurs et cliquez sur Select (Sélectionner).
  5. Passez en revue les Roles (Rôles), Permissions (Permissions), Content Sets (Content Sets) et Computer Groups (Groupes d’ordinateurs) hérités, puis cliquez sur Save (Enregistrer).

Gérer les affectations de groupe d’ordinateurs pour un utilisateur

Procédez comme suit pour mettre à jour les attributions de groupes de gestion d’ordinateurs pour le persona par défaut d’un utilisateur. Pour configurer les attributions via des personas alternatifs, configurez les personas (reportez-vous à la section Créer un persona) et attribuez le persona à l’utilisateur (reportez-vous à la section Gérer les attributions de personas pour un utilisateur).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs).
  2. Cliquez sur le Name (Nom) de l’utilisateur et cliquez sur Edit Mode (Mode de modification).
  3. Développez Développer la section Computer Groups (Groupes d’ordinateurs).
  4. Si vous souhaitez que l’utilisateur dispose de droits de gestion pour tous les endpoints, sélectionnez Unrestricted Management Rights (Droits de gestion sans restriction) et cliquez sur Save (Enregistrer) (vous pouvez ignorer les étapes restantes).

    Tanium vous recommande vivement de ne pas attribuer l’option Unrestricted Management Rights (Droits de gestion sans restriction) à moins que vous ne souhaitiez que l’utilisateur puisse émettre des questions sur tous les endpoints dans tous les groupes d’ordinateurs, indépendamment des considérations de sécurité.

  5. Cliquez sur Manage Computer Groups (Gérer les groupes d’ordinateurs), sélectionnez ou désélectionnez les groupes de gestion d’ordinateurs, puis cliquez sur Select (Sélectionner).

    Les sélections sont combinées logiquement. Par exemple, l’union de All Computers (Tous les ordinateurs) et No Computers (Aucun ordinateur) est de fait All Computers (Tous les ordinateurs).

  6. Passez en revue la liste des groupes d’ordinateurs que vous avez attribués ou que l’utilisateur hérite des groupes d’utilisateurs, puis cliquez sur Save (Enregistrer).

Gérer les attributions de personas pour un utilisateur

Cloud Tanium Le Tanium Server attribue automatiquement un persona par défaut aux nouveaux comptes d’utilisateurs et, après avoir effectué la mise à niveau vers la version 7.4 ou une version ultérieure de Tanium Core Platform, il l’attribue aux comptes existants avant la mise à niveau. Un utilisateur qui dispose d’un rôle ayant les permissions Permission Administrator (Administrateur de permissions), Write Persona (Écrire le persona) et Write User (Écrire l’utilisateur) avec le rôle réservé Administrator (Administrateur) doit mettre à jour manuellement l’attribution des personas alternatifs comme suit. Le rôle réservé Admin (Admin) comporte toutes ces permissions. Pour plus de détails sur les personas, reportez-vous à la section Gestion des personas.

  1. Dans le menu principal, accédez à Administration (Administration) >  Permissions (Permissions) >  Users (Utilisateurs).
  2. Cliquez sur le Name (Nom) de l’utilisateur et cliquez sur Edit Mode (Mode de modification).
  3. Développez Développer la section Personas (Personas) et cliquez sur Manager Personas (Gérer les personas).
  4. Sélectionnez ou désélectionnez des personas et cliquez sur Select (Sélectionner).
  5. Passez en revue les Personas (Personas) attribués et cliquez sur Save (Enregistrer).

Supprimer, annuler la suppression ou verrouiller un utilisateur

Lorsque les employés quittent votre organisation, les options suivantes sont disponibles pour verrouiller leur accès au système Tanium :

  • Attribuez le rôle Deny All (Tout refuser) à l’utilisateur. L’utilisateur peut toujours se connecter à Tanium Console, mais ne peut accéder à aucune fonctionnalité de la Console.
  • Supprimez la configuration de la Tanium Console pour un utilisateur créé manuellement.
  • Désactivez le compte d’utilisateur AD ou LDAP qui est associé à la configuration d’utilisateur dans Tanium Console, ou modifiez le mot de passe s’il s’agit d’un compte alias d’administrateur. Si le Tanium Server a importé l’utilisateur via un serveur LDAP, il est important de modifier les détails de l’utilisateur sur le serveur LDAP de sorte que le Tanium Server n’importe pas une nouvelle fois l’utilisateur à la prochaine synchronisation. Lorsque vous désactivez un compte d’utilisateur sur le serveur LDAP, le compte a un statut verrouillé sur le Tanium Server. Consultez la section Utilisateurs verrouillés.

Considérations concernant la suppression d’utilisateurs

Lorsque vous supprimez un utilisateur ou un persona, l’exécution du contenu planifié que l’utilisateur ou le persona possède cesse, notamment :

Utilisateurs verrouillés

Le Tanium Server désigne les utilisateurs, qu’il a importés à partir d’un serveur LDAP, comme verrouillés lorsque les données de synchronisation LDAP indiquent que le compte LDAP associé est désactivé ou lorsque les données sont manquantes. Lorsque l’utilisateur a le statut Locked out (Verrouillé), il ne peut pas se connecter, mais l’exécution du contenu planifié que l’utilisateur possède continue de s’effectuer.

La page Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs) affiche le statut Locked out (Verrouillé) des utilisateurs :

  • Locked out - Disabled (Verrouillé - Désactivé) : les données renvoyées lors la dernière synchronisation LDAP indiquent que le compte d’utilisateur est désactivé.

    Lorsque des employés sont sur le départ, désactivez les comptes LDAP plutôt que de les supprimer pour éviter de supprimer les enregistrements associés.

  • Locked out - Missing (Verrouillé - Manquant) : aucune donnée n’a été renvoyée lors de la dernière synchronisation LDAP pour l’utilisateur. Des données peuvent être manquantes si l’utilisateur a été supprimé du serveur  LDA, ou si elles ne correspondent plus à l’expression de filtre utilisée par le serveur LDAP.

Vérifiez la politique de votre entreprise quant à la gestion des utilisateurs verrouillés. Une option consiste à les supprimer et à transférer le contenu qu’ils possèdent à un autre utilisateur. Reportez-vous à la section Gestion des utilisateurs.

Supprimer un utilisateur

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs) et sélectionnez l’utilisateur.
  2. Cliquez sur Delete (Supprimer) Supprimer et Confirm (Confirmer).

    Pour afficher les utilisateurs supprimés, réglez le bouton à bascule Users (Utilisateurs) sur All (Tous) (par défaut, les utilisateurs à l’état Active (Actif) uniquement). La colonne Status (Statut) indique les utilisateurs qui sont actifs Actif ou supprimés Supprimé.

Pour transférer ou supprimer du contenu qui appartenait à l’utilisateur supprimé, reportez-vous à la section Supprimer ou transférer le contenu d’un utilisateur non actif.

Annuler la suppression d’un utilisateur

Par défaut, le persona qu’un utilisateur sélectionne pour une session Tanium est le propriétaire de tout contenu que l’utilisateur crée pendant la session. Lorsque vous annulez la suppression des utilisateurs qui possèdent du contenu, vous pouvez supprimer ou transférer la propriété de ce contenu.

Annulez la suppression d’un seul utilisateur à la fois :

  1. Dans le menu principal, accédez à Administration (Administration) >  Permissions (Permissions) >  Users (Utilisateurs).
  2. Réglez le bouton à bascule Users (Utilisateurs) sur All (Tous) (par défaut, les utilisateurs à l’état Active (Actif) uniquement).

    La colonne Status (Statut) indique les utilisateurs qui sont actifs Actif ou supprimés Supprimé.

  3. Sélectionnez la ligne de l’utilisateur supprimé, cliquez sur Undelete User (Annuler la suppression de l’utilisateur) Rétablir l’utilisateur, puis cliquez sur Confirm (Confirmer).

Supprimer ou transférer le contenu d’un utilisateur non actif

La page Deleted User Content (Contenu de l’utilisateur supprimé) répertorie les comptes d’utilisateur qui sont supprimés ou verrouillés et ce propre contenu. Vous pouvez utiliser la page pour supprimer ou transférer la propriété de ce contenu. Le persona par défaut ou alternatif qu’un utilisateur sélectionne pour une session Tanium est le propriétaire de tout contenu que l’utilisateur crée pendant la session. Vous pouvez transférer la propriété des personas d’un utilisateur non actif aux personas d’un ou de plusieurs utilisateurs actifs.

Vous pouvez transférer la propriété du contenu uniquement vers un compte d’utilisateur actif ou  persona qui dispose des mêmes attributions de rôles et de groupes de gestion d’ordinateurs que celles de l’utilisateur non actif ou persona. Pour revoir les attributions de rôles et de groupes de gestion d’ordinateurs des utilisateurs ou des personas, reportez-vous à la section Afficher les paramètres de l’utilisateur ou Afficher les détails du persona.

Dans une version de Tanium Core Platform antérieure à la version 7.5.2.2554, si vous supprimez une configuration de persona au lieu de supprimer l’utilisateur auquel le persona est attribué, vous pouvez supprimer ou transférer le contenu que ce persona possédait. Dans la version 7.5.2554 ou une version ultérieure, vVous ne pouvez pas supprimer un persona qui possède du contenu.

Vous avez besoin d’un rôle avec la permission Permission Administrator (Administrateur de permissions) pour gérer le contenu des utilisateurs non actifs.

Supprimer le contenu ou transférer sa propriété pour un utilisateur à la fois :

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Deleted User Content (Contenu de l’utilisateur supprimé).
  2. Cliquez sur Manage Content (Gérer le contenu) sur la ligne correspond au compte d’utilisateur (persona) pour lequel vous souhaitez transférer du contenu.

  3. Sélectionnez le contenu qui nécessite la même action. Par exemple, sélectionnez toutes les actions et questions que vous souhaitez transférer au même utilisateur. Pour transférer du contenu à plusieurs utilisateurs, vous devez recommencer cette étape pour chaque utilisateur.

    Pour réattribuer du contenu à un Content Set différent avant le transfert, cliquez sur le nom dans la colonne Content Set (Content Set) pour ouvrir la page de configuration de ce Content Set. Reportez-vous à la section Afficher les détails du Content Set.

  4. Cliquez sur un bouton d’action :
    • Delete (Supprimer : supprimez le contenu appartenant à l’utilisateur non actif et dont aucun autre utilisateur n’a besoin. Dans la boîte de dialogue de confirmation, passez en revue le contenu que vous avez sélectionné et cliquez sur Delete (Supprimer) pour continuer.
    • Transfer (Transférer) : sélectionnez le nom d’utilisateur (persona) du nouveau propriétaire et cliquez sur Transfer (Transférer) pour continuer.

Activer ou désactiver l’accès aux utilisateurs locaux

Par défaut, les utilisateurs dont les comptes sont locaux au Tanium Server peuvent accéder à la Tanium Console. Cependant, si vous effectuez une transition vers un service d’authentification externe, comme un serveur LDAP ou un PDi SAML et si vous voulez garantir que tous les accès utilisateur sont effectués via ce service, désactivez l’authentification locale.

Conservez au moins un compte d’utilisateur qui repose sur l’authentification locale et attribuez-lui le rôle réservé Administrator (Administrateur). Si le service d’authentification externe devient indisponible (par exemple, la connexion au serveur LDAP ou au PDi SAML tombe en panne), cet utilisateur local peut tout de même accéder à la Tanium Console et reconfigurer la connexion au service externe, le cas échéant. Vous pouvez éventuellement utiliser l’utilisateur par défaut créé pendant l’installation du Tanium Server à cette fin.

Utilisateurs locaux sur un appliance Tanium

Pour désactiver ou réactiver l’accès à la Tanium Console pour les comptes d’utilisateur qui sont locaux sur un appliance Tanium, reportez-vous au Guide de déploiement des appliances Tanium : Configurer le service d’authentification local.

Utilisateurs locaux sur un serveur Windows

Procédez comme suit pour désactiver ou réactiver l’accès à la Tanium Console pour les comptes d’utilisateur qui sont locaux sur un Tanium Server installé sur un serveur Windows.

Si vous désactivez les connexions de comptes locaux et que le service d’authentification distant cesse plus tard de fonctionner (par exemple, la connexion au serveur LDAP ou au PDi SAML tombe en panne), aucun utilisateur ne peut accéder à Tanium Console, y compris l’utilisateur par défaut. Dans ces conditions, vous devez réactiver l’authentification locale via la CLI en exécutant la commande suivante dans le dossier d’installation du Tanium Server :
TaniumReceiver global-settings set soap_enable_local_auth 1

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Settings (Paramètres) > Advanced Settings (Paramètres avancés).
  2. Dans la colonne Name (Nom), cliquez sur soap_enable_local_auth (soap_activer_authentification_locale).
  3. Dans le champ Value (Valeur), saisissez 0 pour désactiver ou 1 pour activer l’authentification locale, puis cliquez sur Save (Enregistrer).

Exporter ou importer des configurations d’utilisateurs

Les procédures suivantes décrivent comment exporter et importer des utilisateurs spécifiques ou tous les utilisateurs.

Développez et testez le contenu dans l’environnement de votre laboratoire avant d’importer ce contenu dans votre environnement de production.

Exporter des configurations d’utilisateurs

Exportez les utilisateurs sous forme de fichier dans l’un des formats suivants :

  • CSV : Lorsque vous ouvrez le fichier dans une application prenant en charge le format CSV, cette option répertorie les utilisateurs qui ont les mêmes attributs (colonnes) lorsque la page Users (Utilisateurs) s’affiche et (accessoirement) répertorie les affectations RBAC de chaque utilisateur.

  • JSON : Si le rôle réservé Administrator (Administrateur) vous a été attribué, vous pouvez exporter des configurations d’utilisateurs sous forme de fichier JSON pour les importer dans un autre Tanium Server.

Procédez comme suit pour exporter des utilisateurs :

  1. Dans le menu principal, accédez à Administration (Administration) >  Permissions (Permissions) >  Users (Utilisateurs).
  2. (Facultatif, exportations de fichiers CSV uniquement) Pour ajouter ou supprimer des attributs (colonnes) pour le fichier CSV, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes dans la grille et sélectionnez les attributs.
  3. Sélectionnez des lignes dans la grille pour exporter uniquement des utilisateurs spécifiques. Si vous souhaitez exporter tous les utilisateurs, ignorez cette étape.
  4. Cliquez sur Export (Exporter) Exporter.
  5. (Facultatif) Modifiez le File Name (Nom de fichier) d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  6. Sélectionnez une option pour Export Data (Exporter les données) : L’option All (Tous) pour tous les utilisateurs de la grille, ou Selected (Sélectionnés) pour les utilisateurs sélectionnés uniquement.
  7. Sélectionnez le format du fichier :

    • List of Users - CSV (Liste d’utilisateurs - CSV). Vous pouvez également sélectionner With RBAC Details (Avec détails du RBAC) pour inclure les noms des groupes d’utilisateurs, des rôles, des personas et des groupes d’ordinateurs qui sont affectés aux utilisateurs. Pour les utilisateurs qui sont membres de groupes d’utilisateurs, les données exportées comprennent les noms des rôles, des personas et des groupes d’ordinateurs que les utilisateurs héritent.
    • User Definitions - JSON (Définitions d’utilisateurs - JSON) (rôle réservé Administrator (Administrateur) uniquement)

  8. Cliquez sur Export (Exporter).

    Cloud TaniumLe Tanium Server exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Importer des configurations d’utilisateurs

Les utilisateurs qui se voient attribuer un rôle avec la permission Import Signed Content (Importer le contenu signé) peuvent importer des fichiers de contenu au format JSON ou XML. Le rôle réservé Administrator (Administrateur) dispose de cette permission.

  1. (Contenu non fourni par Tanium uniquement) Signez numériquement le fichier de contenu et assurez-vous qu’une clé publique est en place pour valider la signature. Reportez-vous à la section Authentification des fichiers de contenu.

    Vous n’avez pas besoin de générer des clés ou des signatures pour les solutions fournies par Tanium. Tanium signe ce contenu avant de le rendre disponible et la clé publique associée est distribuée à la base de stockage de clés du Tanium Server pendant le processus d’installation du serveur.

  2. Dans le menu principal, accédez à l’une des pages Administration (Administration) suivantes :
    • Configuration (Configuration) > Solutions (Solutions)
    • Permissions (Permissions) > Filter Groups (Groupes de filtres)
    • Sous Content (Contenu), sélectionnez Sensors (Sensors), Packages (Packages) ou Saved Questions (Questions enregistrées)
    • Sous Actions (Actions), sélectionnez Scheduled Actions (Actions planifiées), All Pending Approvals (Toutes les approbations en attente) ou Actions I Can Approve (Actions que je peux approuver)
  3. Sélectionnez une option Import (Importer) en fonction de la source du contenu :
    • Import (Importer) > Import Files (Importer des fichiers) : effectuez l’une des étapes suivantes pour sélectionner un ou plusieurs fichiers :
      • Faites glisser et déposez les fichiers de votre explorateur de fichiers.
      • Cliquez sur Browse for File (Rechercher un fichier), sélectionnez les fichiers et cliquez sur Open (Ouvrir).
    • Import (Importer) > Import URL (Importer URL) : saisissez l’URL dans le champ Import URL (Importer URL), puis cliquez sur Import (Importer).
  4. Pour chaque fichier, développez Développer le File name (Nom de fichier), examinez le contenu à importer et sélectionnez des résolutions pour tout conflit avec le contenu existant (reportez-vous à la section Résoudre les conflits lors de l’importation de mises à jour).
  5. Si vous souhaitez écraser les affectations existantes de Content Set pour tous les objets importés avec les affectations définies par défaut dans Tanium, sélectionnez l’option Include content set overwrite (Inclure le remplacement du Content Set). La case Include content set overwrite (Inclure le remplacement du Content Set) est désélectionnée par défaut et le Tanium Server conserve les affectations existantes de Content Sets.
  6. Cliquez sur Begin Install (Commencer l’installation).

Copier les détails de la configuration de l’utilisateur

Copiez les détails de la configuration dans la grille sur la page Users (Utilisateurs) dans votre presse-papiers pour les coller dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) >  Permissions (Permissions) >  Users (Utilisateurs).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options puis cliquez sur Copy (Copier) Copier.