API-Tokens verwalten

Übersicht über API-Tokens

API-Authentifizierungs-Token ermöglichen es Benutzern und Dienstkonten, für Workflows, die lange andauern, aber nicht kontinuierlich aktiv sind, langlebige Sitzungen mit dem Tanium Server zu etablieren, ohne sich wiederholt authentifizieren zu müssen. Beispielsweise könnte das Dienstkonto für ein Lösungsmodul regelmäßig auf den Tanium Server zugreifen, um nach Aktualisierungen für Computergruppen zu suchen, die das Modul für Aktionen anvisiert. In der Tanium Core Platform 7.3 oder neuer können Sie benutzerdefinierte Module und API-Benutzerkonten konfigurieren, um Tokens zu verwenden, nicht aber den aktuellen Satz der von Tanium bereitgestellten Module. Zukünftige Tanium-Module, die für Version 7.3 oder neuer entwickelt wurden, werden Tokens unterstützen.

Der Tanium Server generiert und speichert ein Token als Antwort auf eine API-Anfrage. Das Token ist an das Benutzerkonto gebunden, das die Anfrage gesendet hat. Jedem Benutzer können mehrere Tokens zugeordnet sein. Ein Token kann nur den Benutzer authentifizieren, der es angefordert hat, keine anderen Benutzer. Die Zugangsdaten für die Authentifizierung und die Berechtigungen für die Autorisierung eines Tokens sind diejenigen des anfordernden Benutzers.

Token verfügen über ein konfigurierbares Ablaufintervall. Um Unterbrechungen bei lang andauernden Arbeitsabläufen zu vermeiden, müssen Benutzer Tokens rotieren: Fordern Sie neue Tokens an und widerrufen Sie die aktuellen, bevor diese ablaufen. Für die Verfahren zum manuellen oder automatischen Anfordern und Widerrufen von Tokens über die Tanium Server-REST -API bitten Sie Ihren technischen Account Manager (TAM) von Tanium um Zugriff auf die REST-API-Referenz für Tanium Server. Sie können Tokens auch über die Tanium Console anzeigen und manuell widerrufen, wie in den folgenden Abschnitten beschrieben.

Um API-Tokens zu verwalten, benötigen Benutzer eine Rolle mit Micro Admin-Berechtigungen zum Anzeigen, Verwenden und Widerrufen von Tokens. Die reservierte Administratorrolle verfügt über diese Berechtigungen.

API-Tokens anzeigen

Gehen Sie zu Configuration (Konfiguration) > Authentication (Authentifizierung) > API Tokens (API-Tokens), um eine Liste der gültigen und abgelaufenen API-Tokens anzuzeigen. Gültige Tokens werden als normaler Text angezeigt, während abgelaufene Token ausgegraut sind. Im Raster API Tokens (API-Tokens) werden Tokens, die Sie widerrufen haben, nicht mehr angezeigt. Das Raster identifiziert jedes Token durch seine ID und zeigt unter User (Benutzer) den Benutzer an, für den das Token gültig ist.

API-Tokens aktivieren

Sie müssen die Systeme, von denen aus Benutzer mit API-Tokens auf den Tanium Server zugreifen, der Whitelist hinzufügen.

Standardmäßig ermöglicht der Tanium Server Token-Anfragen vom Tanium-Modulserver, sodass Sie den Modulserver nicht zur Whitelist hinzufügen müssen.

  1. Gehen Sie zu Administration (Verwaltung) > Global Settings (Globale Einstellungen).
  2. Wählen Sie die Einstellung api_token_trusted_ip_address_list, und klicken Sie im Bereich Selected System Setting (Ausgewählte Systemeinstellung) auf Edit (Bearbeiten).
  3. Geben Sie unter Setting Value (Wert der Einstellung) die IP-Adressen der Hostsysteme ein, von denen aus Benutzer Tokens verwenden werden, um auf den Tanium Server zuzugreifen. Trennen Sie die Einträge mit Kommas, z. B. 192.0.2.1,192.0.2.2.
  4. Speichern Sie Ihre Änderungen.

Ablaufintervall für API-Tokens festlegen

Standardmäßig laufen API-Tokens eine Woche, nachdem sie erstellt wurden, ab. Änderungen am Ablaufintervall gelten nur für Tokens, die erstellt werden, nachdem Sie die Einstellung geändert haben. Sie können das Intervall für bestehende Tokens nicht ändern. Führen Sie die folgenden Schritte aus, um das Ablaufintervall zu ändern:

  1. Gehen Sie zu Administration (Verwaltung) > Global Settings (Globale Einstellungen).
  2. Wählen Sie die Einstellung api_token_expiration_in_days aus, und klicken Sie im Bereich Selected System Setting (Ausgewählte Systemeinstellung) auf Edit (Bearbeiten).
  3. Geben Sie unter Setting Value (Wert der Einstellung) das gewünschte Ablaufintervall in Tagen ein.
  4. Speichern Sie Ihre Änderungen.
  5. Überprüfen Sie Ihre Änderung: Erstellen Sie ein neues Token (fragen Sie Ihren technischen Account Manager nach den Schritten hierfür), gehen Sie zu Configuration (Konfiguration) > Authentication (Authentifizierung) > API Tokens (API-Tokens) und überprüfen Sie, ob die Einstellung Expiration Time (Ablaufzeitpunkt) für das neue Token der geänderten Einstellung entspricht.

API-Tokens widerrufen

Sie möchten eventuell ein API -Token widerrufen, wenn Sie an seiner Sicherheit zweifeln oder wenn der zugehörige Benutzer nicht mehr bei Ihrer Organisation beschäftigt ist.

  1. Gehen Sie zu Configuration (Konfiguration) > Authentication (Authentifizierung) > API Tokens (API-Tokens).
  2. Wählen Sie ein oder mehrere API-Tokens aus, und klicken Sie auf Revoke (Widerrufen).

    Die widerrufenen Tokens werden nicht mehr im Raster API Tokens (API-Tokens) angezeigt.