APIトークンの管理

APIトークンの概要

Tanium REST API認証トークンによって、長期に存在するが継続的に実行されていないワークフローの再認証を繰り返さなくても、ユーザまたはサービスアカウントがTaaSTanium Serverとの長期セッションを確立できるようにできます。たとえば、モジュールのサービスアカウントが、そのモジュールがアクション対象にしているコンピュータグループに対する更新を行うためにTaaSTanium Serverに定期的にアクセスするとします。

TaaS Tanium Serverは、APIリクエストに対してトークンを生成および保存します。このトークンは、そのリクエストを送信したユーザおよびペルソナに紐付けられます。各ユーザは複数のトークンを所有できます。トークンは、他のユーザではなくそのトークンを要求したユーザのみ認証できます。トークンの認証資格情報と承認権限は要求したそのペルソナに属します。

トークンには設定可能な有効期限の間隔があります。長期的なワークフローを遮断しないよう、ユーザはトークンをrotate(ローテーション)させなければなりません。つまり、新しいトークンをリクエストし、現在のトークンを期限切れ前に取り消す必要があります。REST APIリファレンスへのアクセスについては、Taniumサポートに問い合わせるを参照してください。このリファレンスには、APIを使用してトークンを手動または自動で要求したり、取り消したりする手順が記載されています。また、次のセクションで説明するように、Tanium Consoleを介してトークンを確認し、手動で取り消すこともできます。

APIトークンを管理するには、micro adminアクセス権限のView Token (トークンの表示)Use Token (トークンの使用)Revoke Token (トークンの取り消し)を持つロールが必要です。Admin(管理者)予約ロールにはこれらのアクセス権限があります。

APIトークンの詳細を表示する

[API Tokens (APIトークン)] ページには、有効なAPIトークンの各種属性が表示されます。API トークングリッドは、取り消したトークンの表示を停止します。グリッドは個々のトークンをそのID別に識別し、トークンが有効なユーザを示します。

  1. メインメニューから[Administration (運用管理)] > [Permissions (アクセス権限)] > [API Tokens Administration (APIトークン運用管理)] > [Configuration (構成)] > [API Token (APIトークン)] に移動します。

    ページにトークンの属性が表示されます。ただし、トークン文字列は表示されません。

    APIトークン

  2. (任意)トークン文字列を表示するには、グリッドでトークンを選択し、[View Token (トークンの表示)] をクリックします。

    次の場合、Tanium Consoleでトークン文字列を表示することはできません。
    • 可視性タイムアウトが経過した(5分)
    • [API Tokens (APIトークン)] ページまたはグリッドが表示更新された
    • 別のコンソールページに移動した

  3. (任意) 特定のトークンを探すには、フィルタを利用します。
    • Filter by text (テキストでフィルタ): 任意の列の値でグリッドをフィルタリングするには、[Filter items (フィルタ項目)] フィールドにテキスト文字列を入力します。
    • Filter by attribute (属性でフィルタ):トークンが有効なユーザなどの属性でグリッドをフィルタリングします。展開[Filters (フィルタ)] セクションを展開し、追加[Add (追加)] をクリックします。続けて、属性と演算子を選択し、属性値のすべてまたは一部を含むテキスト文字列を入力し、[Apply (適用)] をクリックします。複数の属性フィルタを追加すると、Boolean AND演算子が適用されます。属性の指定を終えたら[Apply All (すべて適用)] をクリックしてグリッドをフィルタリングします。

APIトークンを作成する

  1. トークンの作成対象のユーザまたはペルソナとしてTanium Consoleにサインインします。

    トークンの認証資格情報と承認権限は要求したそのペルソナに属します。コンピュータグループとコンテンツセットへのアクセスを制限するには、目的のアクセス権限を持つペルソナを作成し、新しいペルソナでサインインします。

  2. メインメニューから[Administration (運用管理)] > [Permissions (アクセス権限)] > [API Tokens Administration (APIトークン運用管理)] > [Configuration (構成)] > [API Token (APIトークン)] に移動します。
  3. [New API Token (新規APIトークン)] をクリックし、トークンを構成設定します。
    • メモ(任意): このペルソナの目的の説明を入力します。
    • Expire in days (有効日数): 期限切れ時間を入力します。

      デフォルトの期限切れ時間(7日)を変更する方法については、「APIトークンのデフォルト期限切れ時間を設定する」を参照してください。

    • 信頼関係のあるIPアドレス: TaaSTanium Serverとの認証にこのトークンを使用する各システムのIPアドレスを入力します。複数のエントリを区切るには、コンマまたは改行を使用します。
      システムがトークンを使用できるようにするには、0.0.0.0/0を入力します。ただし、セキュリティ上、すべてのシステムでトークンを有効にするのは非本番環境でのみにしてください。

      トークンを使用できるシステムを指定する方法については、「システムがAPIトークンを使用できるようにする」を参照してください。

  4. [Save (保存)]をクリックして、トークンの詳細を確認します。
  5. (任意) 後の参照用にトークンを記録する場合は、コピートークンをクリップボードにコピーし、[Close (閉じる)]をクリックします。

    可視性のタイムアウト(5分)の時間が経過したり、[API Tokens (APIトークン)] ページまたはグリッドを表示更新したり、あるいは別のコンソールページに移動したりすると、Tanium Consoleでトークンを表示できなくなります。

システムがAPIトークンを使用できるようにする

ユーザがTanium ServerにアクセスするのにAPIトークンを使用することを許可するシステムを指定するには、このタスクを実行します。別のシステムからの特定のAPIトークンの使用を許可するには、トークンの作成時にそのシステムを指定します(「APIトークンを作成する」を参照)。

デフォルトでは、Tanium ServerはTanium Module Serverからのトークンリクエストを許可するため、Module Serverを許可リストに追加する必要はありません。

  1. メインメニューから、Administration (プラットフォーム設定運用管理)] > [Management (管理)] > [Global Settings (グローバル設定)] に移動します。
  2. api_token_trusted_ip_address_list設定を選択し、[Selected System Setting (選択したシステム設定)] パネルで [Edit (編集)] をクリックします。
  3. [SettingValue (設定値)] に、ユーザがTanium Serverへのアクセスにトークンを使用するホストシステムのIPアドレスを指定します。192.0.2.1,192.0.2.2といった具合に、コンマを使用してエントリを区切ります。

    システムがトークンを使用できるようにするには、0.0.0.0/0を入力します。ただし、セキュリティ上、すべてのシステムでトークンを有効にするのは非本番環境でのみにしてください。

  4. [Save (保存)] をクリックします。

APIトークンのデフォルト期限切れ時間を設定する

デフォルトでは、APIトークンは作成後1週間で失効します。デフォルトの期限切れ時間の変更は、設定変更後に作成されたトークンにのみ適用されます。既存のトークンに対する時間は変更できません。有効期限の間隔を変更するには次の手順を実行します。

  1. メインメニューから、Administration (プラットフォーム設定運用管理)] > [Management (管理)] > [Global Settings (グローバル設定)] に移動します。
  2. api_token_expiration_in_days設定を選択し、[Selected System Setting (選択したシステム設定)] パネルで [Edit (編集)] をクリックします。
  3. [Setting Value (設定値)]に期限切れ時間(日単位)を設定して、[Save (保存)] をクリックします。

API トークンを取り消す

API トークンは、そのセキュリティが疑わしい場合、あるいはその関連ユーザが既に組織にいない場合は取り消した方が良いかもしれません。

  1. メインメニューから[Administration (運用管理)] > [Permissions (アクセス権限)] > [API Tokens Administration (APIトークン運用管理)] > [Configuration (構成)] > [API Token (APIトークン)] に移動します。
  2. APIトークンを選択して、[Delete Selected 選択した内容を削除 (選択内容を削除)] を削除をクリックし、操作を[Confirm (確定)] します。

    取り消されたトークンはAPI トークングリッドに表示されなくなります。