RBAC-Übersicht

Tanium-RBAC-Implementierung und Konzepte

Die rollenbasierte Zugangskontrolle (RBAC) ermöglicht es Ihnen, detaillierte Berechtigungen zu konfigurieren, die kontrollieren, was einzelne Benutzer der Tanium Console und API in der Tanium Core Platform anzeigen und tun dürfen und welche Endpunkte sie überwachen und verwalten können. Die Berechtigungen stammen von Personas, Rollen und Computergruppen, die Benutzerkonten zugewiesen sind und die Benutzer von Benutzergruppen übernehmen. Die Tanium-RBAC-Implementierung umfasst die folgenden wichtigen Konzepte und Konfigurationsobjekte.

Berechtigungen

Berechtigungen definieren die Aktivitäten, die ein Benutzer in der Tanium Core Platform durchführen darf.

  • Read (Lese) Berechtigungen ermöglichen es Benutzern, Objekte anzuzeigen. Die Berechtigung Read Package (Lesen von Paketen) ermöglicht es Benutzern beispielsweise, die Seite Administration > Content (Inhalt) > Packages (Paket) anzuzeigen.
  • Write (Schreib) Berechtigungen können Benutzer Objekte erstellen, bearbeiten oder löschen. Die Berechtigung Write Package (Schreiben von Paketen) ermöglicht es Benutzern beispielsweise, Paketkonfigurationen zu erstellen, zu bearbeiten oder zu löschen.
  • Mit den Berechtigungen Execute (Ausführen) können Benutzer Prozesse ausführen (z. B. Initialisieren von Endpunkten für Tanium™ Patch), Dienstkonten verwenden (z. B. das Tanium™ Connect-Dienstkonto) oder API-Operationen durchführen (z. B. über die Tanium™ Detect API).
  • Mit den Berechtigungen Delete (Löschen) können Benutzer Objekte löschen, die über den Umfang der Schreibberechtigungen hinausgehen. Zum Beispiel ist eine Löschberechtigung erforderlich, um Dateien für die Verbindung mit Live-Endpunkten in Tanium Threat Response zu entfernen.
  • Die Berechtigungen Special (Speziell) ermöglichen es Benutzern, Aktivitäten auszuführen, die über den Umfang anderer Berechtigungen hinausgehen. Beispielsweise haben die meisten Module die Berechtigung Show (Anzeigen), mit der Benutzer den Arbeitsplatz des Moduls anzeigen können.

Wenn Sie Rollen anzeigen oder konfigurieren, gruppiert die Tanium Core Platform Berechtigungen basierend auf den folgenden Kategorien:

  • Berechtigungen für Plattforminhalte kontrollieren den Zugriff auf Inhaltstypen, die für alle Tanium-Module gelten und Inhaltsgruppen zugewiesen sind. Sie können beispielsweise Berechtigungen für Sensoren, Pakete und gespeicherte Fragen im Standard-Inhaltssatz zuweisen.
  • Modulberechtigungen steuern den Zugriff auf Modul-Arbeitsbereiche, Funktionen und modulspezifischen Inhalt (wie z. B. Tanium™ Trends-Daten).
  • Administrationsberechtigungen steuern den Zugriff auf die Seiten Administration > Permissions (Berechtigungen) und Administration > Configuration (Konfiguration) der Tanium Console.
  • Globale Berechtigungen kontrollieren den Zugriff auf Aktivitäten, die nur für reservierte Rollen verfügbar sind (z. B. Verwaltung von Inhaltssets).

Berechtigungen definieren die Lese-, Schreib- und Ausführaktivitäten, die ein Benutzer in der Tanium Core Platform durchführen darf.

  • Inhaltsset-Berechtigungen bestimmen den Zugriff auf bestimmte Plugins, Filtergruppen, Sensoren, Pakete, gespeicherte Fragen, Übersichtsseiten und Kategorien.
  • Micro Admin-Berechtigungen bestimmen den Zugriff auf die System-Administrationsseiten der Tanium Console.
  • Modulberechtigungen bestimmen den Zugriff auf die Arbeitsplätze und Funktionen des Tanium-Lösungsmoduls.
  • Globale Berechtigungen bestimmen die Zugriffsrechte für festgelegte Aktivitäten über alle Module hinweg, beispielsweise die Möglichkeit, Inhaltssets zu erstellen und zu verwalten.

Weitere Informationen erhalten Sie unter Implizierte Rollenberechtigungen und Effektive Rollenberechtigungen.

Rollen

Eine Rolle legt gewährte Berechtigungen für erlaubte Aktivitäten oder abgelehnte Berechtigungen für verbotene Aktivitäten fest. Sie können Benutzern und Benutzergruppen die folgenden Arten von Rollen zuweisen:

  • Benutzerdefinierte Rollen sind Rollen, die Sie erstellen, um eine Kombination aus administrativen Berechtigungen, Berechtigungen für Plattforminhalte, Module und globalen Berechtigungen zuzuordnen.
  • Erweiterte Rollen sind vordefinierte alte Rollen, die Berechtigungen für Plattforminhalte zuweisen, die für alle Tanium-Module anstatt für bestimmte Module gelten.
  • Erweiterte Rollen Berechtigungen, Inhaltsset-Berechtigungen, die für alle Tanium-Module anstatt für bestimmte Module gelten.
  • Modulrollen sind vordefinierte Rollen, die Berechtigungen für modulspezifische Aktivitäten und Inhalte zuweisen.
  • Modulrollen (nur Gewährung) Berechtigungen für modulspezifische Aktivitäten und Inhalte zuweisen.
  • Micro-Admin-Rollen weisen Berechtigungen für administrative Aufgaben in der Tanium Core Platform zu, wie z. B. die Konfiguration isolierter Tanium Client-Subnetze.
  • Reservierte Rollen sind vordefinierte Rollen, die globale Berechtigungen für spezielle Fähigkeiten zuweisen, die über den Umfang anderer Rollen hinausgehen, z. B. die Anpassung der Tanium Console.

Verwandte Aufgaben und Einzelheiten finden Sie unter Verwalten von Rollen.

Inhaltssets

Ein Inhaltsset ist eine Gruppe aus Konfigurationsobjekten (wie Sensoren, Pakete und gespeicherte Fragen), deren Zugriff über Berechtigungen geregelt wird. Berechtigungen für Plattforminhalte regeln den Zugriff auf Inhalte, die für alle Module gelten. Modulberechtigungen steuern den Zugriff auf modulspezifische Inhalte, wie z. B. Tanium Trends-Daten. Aktionen werden nicht explizit als Inhalt angesehen, sondern als Teil des gleichen Inhaltssets behandelt wie die Pakete, die sie verwenden. Tanium enthält im Standard-Inhaltspaket und in den Tanium-Modulen mehrere vordefinierte Inhaltssets. Sie können ein Inhaltsset erstellen, das benutzerdefinierte Inhalte oder Änderungen an der RBAC-Konfiguration Ihrer Tanium-Bereitstellung enthält. Sie können jedes Inhaltsobjekt nur einem Inhaltsset zuweisen. Eine Rolle kann Berechtigungen für mehrere Inhaltssets festlegen. Einzelheiten und verwandte Aufgaben finden Sie unter Verwalten von Inhaltssets.

Benutzer

Eine Tanium-Benutzerkonfiguration verknüpft Personas, Benutzergruppen, Computergruppen und Rollen mit einem Benutzerkonto. Ein Benutzer kann eine oder mehrere Gewährungs- oder Ablehnungsrollen besitzen. Benutzer besitzen keine Berechtigungen außer denen, die ihre Rollen ihnen verleihen. Ein Benutzer ohne Rollen kann sich anmelden, wird aber auf eine Seite weitergeleitet, die auf unzureichende Berechtigungen verweist. Ein Benutzer kann eine oder mehrere Computergruppen sowie keine oder mehrere Benutzergruppen besitzen. Jeder Benutzer besitzt eine Standard-Persona und kann keine oder mehrere alternative Personas besitzen. Um Benutzer zu authentifizieren, wenn sie auf die Tanium Console oder API zugreifen, können Sie einen Remote-Authentifizierungsdienst konfigurieren oder den Authentifizierungsdienst verwenden, der lokal auf dem Tanium Server vorhanden ist. Einzelheiten und verwandte Aufgaben finden Sie unter Verwalten von Benutzern.

Benutzergruppen

Eine Tanium-Benutzergruppen-Konfiguration ordnet Personas, Computergruppen und Rollen einem Satz von Benutzern zu, die alle Berechtigungen der Benutzergruppe übernehmen. Eine Benutzergruppe kann keine oder mehrere Benutzer und eine oder mehrere Rollen und Computergruppen enthalten. Jede Benutzergruppe besitzt eine Standard-Persona und kann keine oder mehrere alternative Personas besitzen. Einzelheiten und verwandte Aufgaben finden Sie unter Verwalten von Benutzergruppen.

Computergruppen

Tanium-Benutzer können nur an Endpunkte Fragen ausgeben und Aktionen bereitstellen, die zu einer Computer-Verwaltungsgruppe gehören, die den Benutzern oder ihren Benutzergruppen zugewiesen ist. Tanium-Benutzer verwenden Computer-Filtergruppen als Filter in Fragen und Fragenergebnissen. Benutzer können nur die Filtergruppen verwenden, die einem Inhaltsset zugewiesen sind, das einer Rolle zugeordnet ist, und die Rolle muss den Benutzern oder ihren Benutzergruppen zugewiesen sein. Einzelheiten und verwandte Aufgaben finden Sie unter Verwalten von Computergruppen.

Personas

Alle Benutzerkonten verfügen über eine vordefinierte Standard-Persona. Dabei handelt es sich um die Persona, die gilt, wenn Benutzer sich bei der Tanium Console anmelden. Bei der Verwendung der Standard-Persona besitzt ein Benutzer die Berechtigungen aller Rollen und Computergruppen, die dieser Persona zugewiesen sind. Die Standard-Persona eines Benutzers stellt auch Berechtigungen bereit, die von den Standard-Personas von Benutzergruppen übernommen wurden, denen der Benutzer zugewiesen ist. Nach dem Umschalten auf eine alternative Persona besitzt der Benutzer nur die Berechtigungen der Rollen und Computergruppen, die dieser Persona zugewiesen sind. Einzelheiten und verwandte Aufgaben finden Sie unter Verwalten von Personas.

Die folgende Abbildung veranschaulicht die Beziehungen zwischen diesen RBAC-Komponenten. Die Pfeile zeigen an, wie Sie die Komponenten zuweisen, um Benutzerberechtigungen zu konfigurieren. Die gelbe Markierung zeigt das bewährte Verfahren zur Konfiguration von Berechtigungen an: Weisen Sie Rollen und Computergruppen an alternative Personas und die alternativen Personas an Benutzergruppen zu. Beachten Sie, dass die Rollen und Computergruppen, die Sie direkt an Benutzergruppen und Benutzerkonten zuweisen, effektiv der Standard-Persona dieser Benutzergruppen und Benutzer zugewiesen werden.

Abbildung 1:  Beziehungen und Zuweisungen zwischen RBAC-Komponenten

Übersicht über die RBAC-Konfiguration

Die folgenden Schritte fassen den Arbeitsablauf für die RBAC-Konfiguration zusammen. Die Schritte erklären auch, wie die Komponenten interagieren, um die effektiven Berechtigungen von Benutzern zu definieren, wenn diese mit verschiedenen Personas auf die Tanium Console zugreifen. Die Abbildungen in diesen Schritten zeigen zwei Benutzergruppen, um die unterschiedlichen Auswirkungen der Zuweisung von Rollen und Computergruppen zu alternativen Personas und Standard-Personas zu veranschaulichen.

Bevor Sie diesen Arbeitsablauf beginnen, lesen Sie die wichtigen Details und bewährten Verfahren, die unter Planen Sie Ihre RBAC-Implementierung beschrieben sind.

Wenn Sie planen, Benutzer und Benutzergruppen von einem LDAP- oder AD-Server zu importieren, konfigurieren Sie die Importe, bevor Sie RBAC konfigurieren (siehe Integration mit LDAP-Servern).

  1. Konfigurieren Sie benutzerdefinierte Rollen. Beachten Sie, dass Rollen mit Berechtigungen für Plattforminhalte und Modulberechtigungenerweiterten Rollen und Modulrollen Berechtigungen auf Inhaltssets anwenden. Tanium-Inhaltspakete und -Lösungsmodule enthalten vordefinierte Inhalte und Inhaltssets. Sie können auch benutzerdefinierte Inhalte und Inhaltssets erstellen.

    Die folgende Abbildung zeigt ein Beispiel mit drei benutzerdefinierten Rollen (A, C, D) und einer vordefinierten Modulrolle (B).

    Die folgende Abbildung zeigt ein Beispiel mit zwei erweiterten Rollen (A und D), einer Modulrolle (B) und einer Micro-Admin-Rolle (C).

    Abbildung 2:  Benutzerrollenkonfigurationen

    Die nächste Abbildung veranschaulicht die Beziehungen zwischen Inhalten, Inhaltssets und Berechtigungen in jeder exemplarischen Rollenkonfiguration (Rollen A bis D in Abbildung 2).

    Abbildung 3:  Rollenberechtigungen und Inhaltssets

    Für Details und Verfahren im Zusammenhang mit Rollen siehe Verwalten von Rollen.

  2. Definieren Sie Computer-Verwaltungsgruppen.

    Abbildung 4:  Konfigurationen für Computer-Verwaltungsgruppen

    Für Details und Verfahren im Zusammenhang mit Computergruppen siehe Verwalten von Computergruppen.

  3. Definieren Sie alternative Personas. Weisen Sie für jede Persona Rollen und Computer-Verwaltungsgruppen zu.

    Abbildung 5:  Konfigurationen für alternative Personas

    Für Einzelheiten und Verfahren im Zusammenhang mit Personas siehe Verwalten von Personas.

  4. Konfigurieren Sie die Benutzergruppen, die Sie von LDAP-Servern importiert haben, oder fügen Sie manuell Gruppen hinzu, die lokal auf dem Tanium Server vorhanden sind. Sie können jeder Benutzergruppe alternative Personas zuweisen und der Standard-Persona jeder Benutzergruppe Rollen und Computer-Verwaltungsgruppen zuweisen.

    Abbildung 6:  Benutzergruppen-Konfigurationen

    Für Details und Verfahren im Zusammenhang mit Benutzergruppen siehe Verwalten von Benutzergruppen.

  5. Konfigurieren Sie die Benutzerkonten, die Sie von LDAP-Servern importiert haben, oder fügen Sie manuell Konten hinzu, die lokal auf dem Tanium Server vorhanden sind. Weisen Sie jedem Benutzer alternative Personas und Benutzergruppen zu. Sie können auch der Standard-Persona jedes Benutzers Rollen und Computergruppen zuweisen.

    Abbildung 7:  Benutzerkonfigurationen

    Für Details und Verfahren im Zusammenhang mit Benutzern siehe Verwalten von Benutzern.

  6. Melden Sie sich in der Tanium Console an. Für jeden Benutzer ist die Standard-Persona standardmäßig aktiv und verfügt über Berechtigungen für alle Rollen und Computer-Verwaltungsgruppen, die direkt dem Benutzerkonto zugewiesen sind oder von Benutzergruppen übernommen werden.

    In diesem Beispiel werden die Rolle RBAC_Administrator und die Computergruppe HQ der Standard-Persona des Benutzers zugewiesen. Der Benutzer übernimmt außerdem Berechtigungen von der Rolle Monitor (Überwacher) und von der Computergruppe Europe_Branch (Niederlassung_Europa), die der Benutzergruppe Europe (Europa) zugewiesen sind.

    Abbildung 8:  Als Standard-Persona anmelden

  7. Wenn der Benutzer für die Tanium Console-Sitzung zu einer alternativen Persona wechselt, verfügt dieser Benutzer nur über die Berechtigungen für die Rollen und Computer-Verwaltungsgruppen, die dieser Persona zugewiesen sind.

    In der folgenden Abbildung wählt der Benutzer die Persona NAM_Monitor aus, die von der Benutzergruppe NAM übernommen wird.

    Abbildung 9:  Eine alternative Persona auswählen (Beispiel 1)

    In der nächsten Abbildung wählt der Benutzer die Persona APAC_Trends aus, die dem Benutzerkonto zugewiesen ist (Standard-Persona).

    Abbildung 10:  Eine alternative Persona auswählen (Beispiel 2)

Die folgende Abbildung zeigt den vollständigen Arbeitsablauf, um die effektiven Berechtigungen aller drei Personas in diesem Beispiel zu konfigurieren.

Abbildung 11:  Arbeitsablauf für die RBAC-Konfiguration

Planen Sie Ihre RBAC-Implementierung

Im Folgenden finden Sie wichtige Punkte und Best Practices, die Sie mit Ihrem Team und dem Tanium-Support (siehe Tanium Support) besprechen können, wenn Sie die RBAC-Implementierung für Ihre Tanium-Verteilung planen.

Falls Sie vorhaben, Benutzer und Benutzergruppen aus einem Lightweight Directory Access Protocol(LDAP)- oder Active Directory(AD) -Server zu importieren, tun Sie dies, bevor Sie RBAC einrichten. Einzelheiten finden Sie unter Integration mit LDAP-Servern.

Namenskonvention

Bevor Sie benutzerdefinierte Rollen, Inhaltssets, Computergruppen und andere RBAC-Objekte konfigurieren, sollten Sie eine Namenskonvention erstellen, die es Tanium-Benutzern ermöglicht, schnell den Zweck jedes Objekts zu bestimmen und es von ähnlichen, von Tanium bereitgestellten Objekten zu unterscheiden, die über Tanium-Module und Inhaltspakete importiert werden. Die Unterscheidung von benutzerdefinierten Objekten ist wichtig, da es sich um eine Best Practice handelt, um eine Änderung der von Tanium bereitgestellten Objekte zu vermeiden (siehe Tipp 4: Beschränken Sie die Anpassung auf Tanium-Inhalte). Sie können beispielsweise den Namen Ihrer Organisation als Präfix in den Namen von benutzerdefinierten Objekten verwenden.

Computer-Verwaltungsgruppen

Identifizieren Sie die Sätze von Endpunkten, die Sie in Bezug auf Operationen, die Tanium-Benutzer und -Module ausführen, als Gruppe verwalten möchten. Sie können beispielsweise Computergruppen basierend auf der geografischen Organisation Ihres Unternehmens konfigurieren, wobei für jede Region eine Gruppe erstellt wird. Sie können Computergruppen auch nach ihrer Funktion (wie Rechenzentren und Niederlassungen) oder anderen Kriterien richten.

Computergruppen können eine sich überlappende Mitgliedschaft besitzen. Eine Computergruppe für alle Windows-Endpunkte kann beispielsweise Endpunkte beinhalten, die auch Mitglieder von regions- oder funktionsbasierten Computergruppen sind. Denken Sie daran, die Auswirkungen der sich überlappenden Mitgliedschaft bei der Konfiguration und Zuweisung von Computergruppen zu berücksichtigen. Beispielsweise möchten Sie vielleicht Benutzern in einem Security Operations Center Verwaltungsrechte für Windows-Endpunkte verleihen, sodass die Benutzer Sicherheits-Updates verteilen können. Sie möchten jedoch nicht, dass diese Benutzer Verwaltungsrechte für die Untergruppe von Windows-Endpunkten besitzen, die sensible Finanzinformationen speichern.

Die Mitgliedschaft in der Computergruppe auf Grundlage sensorbasierter Filter anstelle von manuell definierten Listen ermöglicht eine klar definierte Kontrolle darüber, welche Endpunkte in die Gruppen eingeschlossen oder aus ihnen ausgeschlossen werden sollen.

Inhaltssets

Legen Sie fest, wie die Inhaltsset-Berechtigungen für die Steuerung des Zugriffs auf bestimmte Daten und der Verteilung von Aktionen an verwaltete Endpunkte organisiert werden soll. Als bewährtes Verfahren sollten Sie sicherstellen, dass sich die Inhalte in einem bestimmten Inhaltsset ähneln, um das Risiko für die Zuweisung unbeabsichtigter Berechtigungen an Benutzerrollen zu minimieren. Sie können Inhaltssets basierend auf Folgendem organisieren:

  • Fähigkeit: Lese- und Schreibberechtigungen
  • Inhaltstyp: beispielsweise gespeicherte Fragen, Sensoren oder Pakete
  • Thematik: zum Beispiel die Tanium Client-Administration oder Windows-Systemadministration

Belassen Sie Inhaltsobjekte für Inhalte, die über Tanium-Module und Inhaltspakete bereitgestellt werden, in ihren ursprünglichen, von Tanium bereitgestellten Inhaltssets. Um diese Praxis aufrechtzuerhalten, wenn Sie Inhalte zwischen Inhaltssets verschieben, erstellen Sie Kopien der von Tanium bereitgestellten Inhalte und verschieben Sie die Kopien anstelle der Originalversionen. Tanium Support, bevor Sie fortfahren, wenn Sie die von Tanium bereitgestellten Inhalte verschieben müssen.

Rollen

Die folgenden Vorgehensweisen sind bewährte Verfahren bei der Verwaltung von Rollen:

  • Konfigurieren Sie benutzerdefinierte Rollen für Modulberechtigungen, bevor Sie Rollen für Plattforminhalte oder Administrationsberechtigungen konfigurieren. Modulberechtigungen gewähren Zugriff auf ein bestimmtes Modul und enthalten häufig zusätzliche Administrationsberechtigungen und Berechtigungen für Plattforminhalte.
  • Konfigurieren Sie die Modulrollen vor den erweiterten oder Micro Admin-Rollen. Modulberechtigungen gewähren Zugriff auf ein bestimmtes Modul und enthalten häufig zusätzliche erweiterte und Micro Admin-Berechtigungen.
  • Wenn Sie Rollen konfigurieren, nutzen Sie deren Modularität und kumulative Auswirkungen auf Benutzerberechtigungen. Anstatt beispielsweise eine Rolle mit allen Berechtigungen zu erstellen, die ein bestimmter Benutzer benötigt, und eine andere Rolle mit nur geringfügig unterschiedlichen Berechtigungen für einen anderen Benutzer, erstellen Sie mehrere Rollen mit weniger, aber einzigartigen Berechtigungen. Sie können dann diese minimalistischen Rollen für verschiedene Benutzer kombinieren, um dieselben effektiven Berechtigungen zu erzielen wie bei einzelnen Rollen, die über umfassende Berechtigungen verfügen. Einzelheiten finden Sie unter Effektive Rollenberechtigungen.

Ändern Sie keine von Tanium bereitgestellten Modulrollen. Der Prozess der Aktualisierung oder des erneuten Imports eines Moduls überschreibt die Modul-Rollenkonfigurationen sowie alle daran vorgenommenen Änderungen.

Personas

Sie können alternative Personas mehreren Benutzern und Benutzergruppen zuweisen, wohingegen jede Standard-Persona nur für einen einzelnen Benutzer oder eine einzelne Gruppe gilt, Sie können diese auch nicht neu zuweisen. Daher besteht das bewährte Verfahren für die Modularisierung von Berechtigungen darin, Rollen und Computergruppen alternativen Personas anstelle von Standard-Personas zuzuweisen. Diese Praktik vereinfacht die Aktualisierung Ihrer RBAC-Implementierung, wenn dies erforderlich ist, z. B. wenn Benutzer Ihre Organisation verlassen oder ihr beitreten oder wenn sie zwischen Benutzergruppen wechseln.

Benutzer und Benutzergruppen

LDAP-Unterstützung

Falls Sie vorhaben, Benutzer und Benutzergruppen aus einem Lightweight Directory Access Protocol(LDAP)- oder Active Directory(AD) -Server zu importieren, richten Sie die Importe ein, bevor Sie andere RBAC-Aufgaben erledigen. Der Tanium Server synchronisiert sich automatisch alle fünf Minuten mit dem LDAP-Server und Sie können die Synchronisierung jederzeit manuell durchführen. Die Synchronisierung aktualisiert den Tanium Server mit allen Änderungen, die auf dem LDAP-Server stattgefunden haben, einschließlich neuer oder gelöschter Benutzer, neuer oder gelöschter Benutzergruppen und Änderungen an Gruppenmitgliedschaften. Optional können Sie einen LDAP -Server zur Authentifizierung der importierten Benutzer verwenden. Einzelheiten und verwandte Aufgaben finden Sie unter Integration mit LDAP-Servern.

Berechtigungen für Benutzergruppen

Steuern Sie Berechtigungen so weit wie möglich auf Benutzergruppenebene anstatt auf Benutzerebene. Die Zuweisung von Computergruppen, Rollen, Personas und Benutzern an Benutzergruppen minimiert die administrativen Anstrengungen, die erforderlich sind, um Ihre RBAC-Konfiguration zu aktualisieren. Anstatt beispielsweise die Rollenzuweisungen der Personas jedes Benutzers zu verändern, die Ihrer Organisation beitritt oder sie verlässt oder dessen Verantwortlichkeiten sich verändern, können Sie Benutzergruppen konfigurieren, die sensorbasierte Filter verwenden, um die Gruppenmitgliedschaft dynamisch anzupassen, wenn solche Änderungen auftreten.

Benutzerberechtigungen

Um zu ermitteln, welche Berechtigungen benötigt werden, überlegen Sie, was jedes Team in Ihrer Organisation mithilfe des Tanium-Systems erreichen muss. Beachten Sie insbesondere Folgendes:

  • Welche Benutzer benötigen Zugriff auf welche Tanium-Modularbeitsplätze und -Modulinhalte?
  • Möchten Sie die Berechtigungsadministrator Berechtigung reservierte Administratorrolle verwenden, um einigen Benutzern die vollständigen Administratorberechtigungen oder detaillierte Administratorberechtigungen zuzuweisen, die den seitenspezifischen Lese- und Schreibzugriff auf die Seiten Administration > Configuration (Konfiguration) gewähren oder ablehnen?

SAML-Authentifizierung

Sie können einen SAML-Identitätsanbieter (IdP) verwenden,  um eine SSO-Authentifizierung für Benutzer der Tanium Console bereitzustellen. Einzelheiten und verwandte Aufgaben finden Sie unter Integration mit einem SAML-IdP.