API-Tokens verwalten

Übersicht über API-Tokens

Tanium REST API-Authentifizierungs-Token ermöglichen es Benutzern und Dienstkonten, langlebige Sitzungen mit TaaSdem Tanium Server zu etablieren, ohne sich wiederholt für Arbeitsabläufe authentifizieren zu müssen, die langlebig sind, jedoch nicht kontinuierlich ausgeführt werden. Beispielsweise könnte das Dienstkonto für ein Modul regelmäßig auf TaaSden Tanium Server zugreifen, um nach Aktualisierungen für Computergruppen zu suchen, die das Modul für Aktionen anvisiert.

TaaS Der Tanium Server generiert und speichert ein Token als Antwort auf eine API-Anfrage. Das Token ist an den Benutzer und die Persona gebunden, das die Anfrage gesendet hat. Jedem Benutzer können mehrere Tokens zugeordnet sein. Ein Token kann nur den Benutzer authentifizieren, der es angefordert hat, keine anderen Benutzer. Die Zugangsdaten für die Authentifizierung und die Berechtigungen für die Autorisierung eines Tokens sind diejenigen der anfordernden Persona.

Token verfügen über ein konfigurierbares Ablaufintervall. Um Unterbrechungen bei lang andauernden Arbeitsabläufen zu vermeiden, müssen Benutzer Tokens rotieren: Fordern Sie neue Tokens an und widerrufen Sie die aktuellen, bevor diese ablaufen. Tanium Support, um Zugriff auf die REST API-Referenz zu erhalten, die Verfahren zum manuellen oder automatischen Anfordern und Widerrufen von Tokens über die API enthält. Sie können Tokens auch über die Tanium Console anzeigen und manuell widerrufen, wie in den folgenden Abschnitten beschrieben.

Um API-Tokens zu verwalten, benötigen Benutzer eine Rolle mit Micro Admin-Berechtigungen zum Anzeigen, Verwenden und Widerrufen von Tokens. Die reservierte Administratorrolle verfügt über diese Berechtigungen.

Details zum API Token anzeigen

Die Seite API Tokens zeigt die Attribute von gültigen API-Token an. Im Raster API Tokens (API-Tokens) werden Tokens, die Sie widerrufen haben, nicht mehr angezeigt. Das Raster identifiziert jedes Token durch seine ID und zeigt unter User (Benutzer) den Benutzer an, für den das Token gültig ist.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > API Token Administration > Configuration (Konfiguration) > API Token.

    Die Seite zeigt Token-Attribute, aber keine Token-Strings an.

    API-Token

  2. (Optional) Um einen Token-String anzuzeigen, wählen Sie das Token im Raster aus und klicken Sie auf View Token (Token anzeigen).

    Sie können den Token-String in der Tanium Console nicht anzeigen nach:
    • Der Zeitablauf der Visibilität läuft ab (fünf Minuten)
    • Sie aktualisieren die Seite oder das Raster API Tokens
    • Sie navigieren zu einer anderen Seite der Konsole

  3. (Optional) Verwenden Sie die Filter, um bestimmte Token zu finden:
    • Nach Text filtern: Um das Raster nach beliebigen Spaltenwerten zu filtern, geben Sie eine Textzeichenkette in das Feld Filter items (Elemente filtern) ein.
    • Filtern nach Attribut: Filtern Sie das Raster nach einem oder mehreren Attributen, wie z. B. nach dem Benutzer, für den das Token gültig ist. Erweitern Sie den Abschnitt ErweiternFilters (Filter), klicken Sie auf HinzufügenAdd (Hinzufügen), wählen Sie ein Attribut und einen Bediener aus, geben Sie eine Zeichenkette ein, die den gesamten oder einen Teil des Attributwerts enthält, und klicken Sie auf Apply (Anwenden). Wenn Sie mehrere Attributfilter hinzufügen, gilt der Bediener [Boolean AND (boolesches UND)]. Nachdem Sie die Angabe von Attributen abgeschlossen haben, klicken Sie auf Apply All (Alle anwenden), um das Raster zu filtern.

Erstellen eines API Token.

  1. Melden Sie sich bei der Tanium Console als Benutzer und Persona an, für die Sie ein Token erstellen möchten.

    Die Zugangsdaten für die Authentifizierung und die Berechtigungen für die Autorisierung eines Tokens sind diejenigen der anfordernden Persona. Um den Zugriff auf Computergruppen und Inhaltssets zu beschränken, erstellen Sie eine Persona mit den gewünschten Berechtigungen und melden Sie sich dann mit der neuen Persona an.

  2. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > API Token Administration > Configuration (Konfiguration) > API Token.
  3. Klicken Sie auf New API Token (Neues API Token) und konfigurieren Sie die Token-Einstellungen:
    • Hinweise (optional): Geben Sie eine Beschreibung für den Zweck dieses Token ein.
    • Ablauf in Tagen: Geben Sie das Ablaufintervall ein.

      Um das Standard-Ablaufintervall (sieben Tage) zu ändern, siehe Standard-Ablaufintervall für API-Tokens festlegen.

    • Vertrauenswürdige IP Adressen: Geben Sie die IP-Adressen der Systeme ein, von denen Sie dieses Token zur Authentifizierung mit TaaSdem Tanium Server verwenden. Verwenden Sie Kommas oder Zeilenumbrüche, um mehrere Einträge zu trennen.
      Um jedem System die Verwendung des Tokens zu ermöglichen, geben Sie 0.0.0.0/0 ein. Aus Sicherheitsgründen aktivieren Sie das Token jedoch nur für alle Systeme in einer Nicht-Produktionsumgebung.

      Um Systeme anzugeben, von denen Sie ein beliebiges Token verwenden können, siehe Aktivieren von Systemen zur Verwendung von API-Token.

  4. Klicken Sie auf Save (Speichern) und überprüfen Sie die Token-Details.
  5. (Optional) Kopieren Sie Copy das Token in Ihre Zwischenablage, wenn Sie es zur späteren Bezugnahme aufzeichnen möchten, und klicken Sie dann auf Close (Schließen).

    Sie können das Token nicht in der Tanium Console anzeigen, nachdem der Zeitablauf für die Visibilität (fünf Minuten) abgelaufen ist, oder Sie aktualisieren die Seite oder das Raster für API-Token oder navigieren zu einer anderen Konsolenseite.

Aktivieren von Systemen zur Verwendung von API-Token

Führen Sie diese Aufgabe aus, um anzugeben, von welchem System aus Benutzer API Token für den Zugriff auf den Tanium Server verwenden dürfen. Um die Verwendung bestimmter API-Token von zusätzlichen Systemen zu ermöglichen, geben Sie diese Systeme an, wenn Sie die Token erstellen (siehe Erstellen eines API Token.).

Standardmäßig ermöglicht der Tanium Server Token-Anfragen vom Tanium-Modulserver, sodass Sie den Modulserver nicht zur Erlaubnisliste hinzufügen müssen.

  1. Gehen Sie im Hauptmenü zu Administration > Management > Global Settings (Globale Einstellungen).
  2. Wählen Sie die Einstellung api_token_trusted_ip_address_list und klicken Sie im Bereich Ausgewählte Systemeinstellung auf Edit (Bearbeiten).
  3. Geben Sie unter Setting Value (Wert der Einstellung) die IP-Adressen der Hostsysteme ein, von denen aus Benutzer Tokens verwenden werden, um auf den Tanium Server zuzugreifen. Trennen Sie die Einträge mit Kommas, z. B. 192.0.2.1,192.0.2.2.

    Um jedem System die Verwendung von Token zu ermöglichen, geben Sie 0.0.0.0/0 ein. Aus Sicherheitsgründen aktivieren Sie das Token jedoch nur für alle Systeme in einer Nicht-Produktionsumgebung.

  4. Klicken Sie auf Save (Speichern).

Standard-Ablaufintervall für API-Tokens festlegen

Standardmäßig laufen API-Tokens eine Woche, nachdem sie erstellt wurden, ab. Änderungen am Standard-Ablaufintervall gelten nur für Tokens, die erstellt werden, nachdem Sie die Einstellung geändert haben. Sie können das Intervall für bestehende Tokens nicht ändern. Führen Sie die folgenden Schritte aus, um das Ablaufintervall zu ändern:

  1. Gehen Sie im Hauptmenü zu Administration > Management > Global Settings (Globale Einstellungen).
  2. Wählen Sie die Einstellung api_token_expiration_in_days und klicken Sie im Bereich Selected System Setting (Ausgewählte Systemeinstellungen) auf Edit (Bearbeiten).
  3. Geben Sie unter Setting Value (Wert der Einstellung) das gewünschte Ablaufintervall in Tagen ein und klicken Sie auf Save (Speichern).

API-Tokens widerrufen

Sie möchten eventuell ein API -Token widerrufen, wenn Sie an seiner Sicherheit zweifeln oder wenn der zugehörige Benutzer nicht mehr bei Ihrer Organisation beschäftigt ist.

  1. Gehen Sie im Hauptmenü zu Administration > Permissions (Berechtigungen) > API Token Administration > Configuration (Konfiguration) > API Token.
  2. Wählen Sie ein oder mehrere API-Token aus, klicken Sie auf [Delete Selected (Ausgewählte löschen)] und Ausgewählte löschen Confirm (bestätigen) Sie den Vorgang.

    Die widerrufenen Tokens werden nicht mehr im Raster API Tokens (API-Tokens) angezeigt.