ペルソナの管理

ペルソナの概要

ペルソナは、Taniumセッション向けにユーザが選択する一連のロールおよびコンピュータグループです。ユーザアカウントに複数のペルソナを割り当てることにより、ユーザに複数のアカウントを設定することなく、特定のセッションの作業範囲に基づいてTanium Core Platformを表示、実行できる一連のさまざまな制限事項を施行できます。例として、ユーザは、セキュリティクリアランスに基づいて特定のエンドポイントに展開可能なアクションを制限する各国独自のプライバシー法が施行されている複数の国にわたってエンドポイントを管理できます。特定の国のすべてのコンピュータグループにおけるTanium Clientのメンテナンスにのみ関連するアクションを許可するロールを持つ共通のペルソナを設定できます。セキュリティパッチのインストールを許可する別のペルソナを同じユーザに提供できますが、ユーザが直接管理するコンピュータグループのサブセットに対してのみ使用できます。

LDAP またはactive directory(AD) サーバからユーザおよびユーザグループをインポートする計画の場合、ペルソナの設定および割り当て前にそれを行ってください。詳しくはLDAPサーバとの統合を参照してください。

ペルソナのタイプは次のとおりです。

デフォルトペルソナ

ユーザのアクセス権限は、ペルソナに割り当てられたロールおよびコンピュータグループから得られます。また、そのユーザがユーザグループに属する場合、そのユーザグループのデフォルトペルソナに割り当てられているロールとコンピュータグループから得られます。Tanium Consoleにサインインすると自動的にデフォルトのペルソナが適用されます。Tanium Serverはデフォルトペルソナを新規ユーザとユーザグループに自動で割り当て、また、Tanium Server 7.4以降にアップグレードすると、アップグレード前の既存のユーザとグループにも自動で割り当てます。個々のユーザとグループはデフォルトペルソナをひとつのみ持ち、それは一意のものです。複数のユーザとグループはデフォルトペルソナを共有できません。デフォルトペルソナは削除することも、別のユーザやグループに再度割り当てることもできません。

代替ペルソナ

ユーザアクセス権限は、ペルソナに割り当てられたロールおよびコンピュータグループからのみ得られます。ユーザは、ユーザグループから複数の代替ペルソナを継承できますが、ユーザが現在のTaniumセッション向けに選択している単一のペルソナのアクセス権限のみが適用されます。ユーザグループに代替ペルソナを割り当てる場合、ペルソナはそのグループからアクセス権限を継承しないことに注意してください。図1の例では、ペルソナAは、ユーザJohnがメンバーのユーザグループSOCに割り当てられています。JohnがペルソナAに切り替えると、彼のアクセス権限はペルソナAに割り当てられているロールとコンピュータグループに制限されます。ペルソナAを使用する限り、Johnには彼のユーザアカウントのデフォルトのペルソナに割り当てられているアクセス権限や、ユーザ グループSOCのデフォルトのペルソナから彼のアカウントが継承するアクセス権限はありません。Johnは、デフォルトのペルソナに戻ることによってのみ、SOCからロールとコンピュータグループを継承することができます。

代替ペルソナを複数のユーザおよびユーザグループに割り当てることができます。各ユーザおよびグループは、1つ以上の代替ペルソナを所有できます(所有していなくてもかまいません)。

図1:Taniumペルソナ

ペルソナがどのようにユーザ、ユーザグループ、コンピュータグループとやり取りするのか、およびユーザにおける有効なアクセス権限を判断するロールについて詳しくはTanium RBACの実装および概念を参照してください。

ユーザおよびユーザグループ間で代替ペルソナの再割り当てが可能であることから、ベストプラクティスは、デフォルトペルソナではなく代替ペルソナにロールとコンピュータグループを割り当てることです。この実践により、ユーザの組織脱退時、組織参加時、ユーザグループ間での移動時などに、必要に応じてRBAC実装の更新を簡素化できます。

ペルソナに関連するタスクを実行するには、Administrator予約ロール、またはペルソナの読み取りアクセス権限とペルソナの書き込みアクセス権限を持つカスタムロールが必要です。

ペルソナの詳細を表示する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動します。

    ページにペルソナの属性が表示されます。

  2. (任意) ペルソナの識別子を表示するには、[Customize Columns (列のカスタマイズ)]列をカスタマイズする をクリックして、IDを選択します。
  3. (任意) 特定のペルソナを探すには、フィルタを利用します。
    • Filter by text (テキストでフィルタ): 列の値でグリッドをフィルタリングするには、[Filter items (フィルタ項目)] フィールドにテキスト文字列を入力します。
    • Filter by attribute (属性でフィルタ): ペルソナの名前などの属性でグリッドをフィルタリングします。 展開[Filters (フィルタ)] セクションを展開し、追加[Add (追加)] をクリックします。続けて、属性と演算子を選択し、属性値のすべてまたは一部を含むテキスト文字列を入力し、[Apply (適用)] をクリックします。複数の属性フィルタを追加すると、Boolean AND演算子が適用されます。属性の指定を終えたら[Apply All (すべて適用)] をクリックしてグリッドをフィルタリングします。
  4. ペルソナと割り当てられているロール、コンピュータ グループ、ユーザ、ユーザグループの実効アクセス権限を表示するには、ペルソナの名前をクリックし、ペルソナを選択して、[View Persona (ペルソナの表示)] をクリックします

ペルソナを作成する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動し、[New Persona (新規ペルソナ)] をクリックします。
  2. [Persona Name (ペルソナ名)]を入力してペルソナを識別します。
  3. (任意) このペルソナの目的について[Description (説明)]を入力します。[Personas (ペルソナ)]ページの[Display Name (表示名)]列に入力内容が表示されます。ペルソナを切り替える時にも説明が表示されます。
  4. ペルソナを簡単に判別できるようメインメニューに表示されるを選択します。色を使用しない場合は、[Reset Color (色をリセット)]色なし をクリックします。ペルソナの色
  5. 次のタスクでの説明に従ってユーザ、ユーザグループ、コンピュータグループ、ロールの割り当てを設定し、[Save (保存)] をクリックします。[Save (保存)] をクリックして、次のタスクの説明に従ってユーザ、ユーザグループ、コンピュータグループ、ロールの割り当てを設定します。ページの左上にある [All Personas (すべてのペルソナ)] をクリックすると、その新しいペルソナを [Personas (ペルソナ)] ページで確認することができます。

ペルソナを編集する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動し、ペルソナの名前をクリックします。
  2. 名前説明の設定を更新します。
  3. ロール、ユーザグループ、ユーザ、コンピュータグループの割り当てを編集します。
  4. 変更内容を確認して、[Save (保存)] をクリックします。
  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動します。
  2. ペルソナを選択して、[View Persona (ペルソナの表示)] をクリックします。
  3. 名前説明の設定を更新します。
  4. ロール、ユーザグループ、ユーザ、コンピュータグループの割り当てを編集します。
  5. 変更内容を確認して、[Save (保存)] をクリックします。

ペルソナに対するロール割り当てを管理する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動し、ペルソナの名前をクリックします。
  2. [Roles (ロール)] セクションで [Manage Roles (ロールの管理)] をクリックします。
  3. ロールを選択または選択解除して、[Apply (適用)] をクリックします。
  4. 選択したロールに関連付けられているアクセス権限コンテンツセットを確認し、[Save (保存)]をクリックします。
  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動し、[View Persona (ペルソナの表示] をクリックします。
  2. [Roles and Effective Permissions (ロールおよび有効なアクセス権限)]セクションの[Manage (管理)]をクリックします。
  3. [Grant Roles (ロールの付与)] の横の [Edit (編集)] をクリックし、ロールを選択または選択解除して、[Save (保存)] をクリックします。
  4. [Deny Roles (権限拒否ロール)] の横の [Edit (編集)] をクリックし、ロールを選択または選択解除して、[Save (保存)] をクリックします。
  5. [Show Preview to Continue (プレビューを表示して続行)] をクリックし、実効アクセス権限を確認して、[Save (保存)] をクリックします。

ペルソナに対するユーザグループ割り当てを管理する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動し、ペルソナの名前をクリックします。
  2. [User Groups (ユーザグループ)] セクションを展開展開し、[Manage User Groups (ユーザグループの管理)] をクリックします。
  3. ユーザグループを選択または選択解除して、[Select (選択)] をクリックします。
  4. ユーザグループの割り当てを確認し、[Save (保存)] をクリックします。
  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動し、[View Persona (ペルソナの表示] をクリックします。
  2. [Manage Users Groups (ユーザグループの管理)]をクリックし、[Edit (編集)]をクリックします。
  3. ユーザグループを選択または選択解除して、[Save (保存)] をクリックします。
  4. ユーザグループの割り当てを確認し、[Save (保存)] をクリックします。

ペルソナに対するユーザ割り当てを管理する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動し、ペルソナの名前をクリックします。
  2. 展開[Users (ユーザ)] セクションを展開し、[Manage Users (ユーザの管理] をクリックします。
  3. ユーザを選択または選択解除し、[Select (選択)] をクリックします。
  4. ユーザ割り当てを確認し、[Save (保存)]をクリックします。
  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動し、[View Persona (ペルソナの表示] をクリックします。
  2. [Manage Users (ユーザの管理)]をクリックし、[Edit (編集)]をクリックします。
  3. ユーザを選択または選択解除して、[Save (保存)] をクリックします。
  4. [Show Preview to Continue (プレビューを表示して続行)] をクリックし、影響を受けるユーザのリストを確認して、[Save (保存)] をクリックします。

ペルソナに対するコンピュータグループ割り当てを管理する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動し、ペルソナの名前をクリックします。
  2. 展開[Computer Groups (コンピュータグループ)] セクションを展開します。
  3. ペルソナにすべてのエンドポイントに対する管理権限を付与する場合は、[Unrestricted Management Rights (無制限の管理権限)] を選択して、[Save (保存)] をクリックします(以降の手順は省略できます)。

    Taniumでは、セキュリティ上の問題を問わず、そのペルソナを使用するユーザがすべてのコンピュータグループにまたがるすべてのエンドポイントにQuestionを実行できるようにしたいのでなければ、Unrestricted Management Rights (無制限の管理権限)を割り当てないことを強くお勧めます。

  4. [Manage Computer Groups (コンピュータグループの管理)] をクリックし、コンピュータ管理グループを選択または選択解除して、[Select (選択)] をクリックします。

    選択は、論理的に結合されます。たとえば、All ComputersNo Computersを組み合わせると、事実上All Computersになります。

  5. 割り当てたコンピュータグループのリスト、またはユーザグループ割り当てから派生するコンピュータグループのリストを確認し、[Save (保存)] をクリックします。
  1. メインメニューから [Administration (運用管理)] >  [Management (管理)] > [Users (ユーザ)] に移動します。
  2. ペルソナを選択して、[View Persona (ペルソナの表示)] をクリックします。
  3. [Computer Groups (コンピュータグループ)]セクションの[Manage (管理)]をクリックした後、[Edit (編集)]をクリックします。
  4. コンピュータグループを選択または選択解除し、[Save (保存)] をクリックします。
  5. [Show Preview to Continue (プレビューを表示して続行)] をクリックし、影響を受けるエンドポイントのリストを確認して、[Save (保存)] をクリックします。

ペルソナのクローンを作成する

多くの設定が既存のペルソナと共通するペルソナを追加する場合は、たいてい、既存のペルソナのクローンを作成して、そのクローンを変更する方が新しいペルソナを構成するより簡単です。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動します。
  2. ペルソナを選択し、[Clone (クローンの作成)] をクリックします。
  3. 新しい名前説明(任意)、およびを指定します。
  4. RBAC割り当てを編集し、[Save (保存)] をクリックします。

コンソールセッション用のペルソナを選択する

メインメニューのユーザ名の横のフィールドには、現在のペルソナが表示されます。ペルソナ名の横の色付きのディスクは、もう1つの有用なインジケータでもあります。

ペルソナの色

サインインすると、そのユーザアカウント用のデフォルトのペルソナが自動的に適用されます。代替ペルソナに切り替えるか、[Default Persona (デフォルトペルソナ)]へ戻すには次の手順を実行します。

  1. メインメニューで <current persona>> [Change Persona (ペルソナの変更)] を選択します。

    [Select a Persona (ペルソナの選択)] ダイアログが開き、ユーザアカウント、または属するユーザグループに割り当てられているペルソナが一覧表示されます。このダイアログでは、ペルソナは名前と説明(指定されている場合)、色で識別されます。

  2. 使用するペルソナの横にある [Apply (適用)] をクリックします。



    Tanium Consoleは更新され、選択したペルソナがアクセス権限を持つ機能とモジュールのみを表示します。

ペルソナをエクスポート/インポートする

以下の手順では、特定のペルソナまたはすべてのペルソナの構成をエクスポートおよびインポートする方法を説明しています。

本番環境にコンテンツをインポートする前に、ラボ環境でコンテンツの開発とテストを行ってください。

ペルソナをエクスポートする

CSVファイルの形式でペルソナをエクスポートすることで、その形式をサポートするアプリケーションで設定を表示することができます。Administerator予約ロールを持っている場合は、JSONファイルの形式でペルソナをエクスポートすることで、別のTanium Serverにインポートすることもできます

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Perosonas (ペルソナ)] に移動します。
  2. 特定のペルソナのみをエクスポートするには、グリッドで行を選択します。すべてのペルソナをエクスポートする場合、この手順は省略できます。
  3. エクスポート エクスポートエクスポート をクリックします。
  4. (任意) デフォルトのエクスポートファイル名を編集します。

    ファイルのサフィックス(.csv または .json)は、選択された [形式] に基づいて自動的に変更されます。

  5. [データのエクスポート] オプションを選択します。グリッド内のすべてのペルソナ、または選択したペルソナのみ。
  6. ファイルの形式を選択します。JSON (Administrator予約ロールのみ)またはCSV
  7. [Export (エクスポート)]をクリックします。

    TaaSTanium Serverは、Tanium Consoleへのアクセスに使用されたシステムのDownloadsフォルダにファイルをエクスポートします。

ペルソナをインポートする

JSONまたはXML形式のファイルをインポートすることができます。

  1. コンテンツファイルにデジタル署名して、署名を検証するための公開鍵があることを確認します。コンテンツファイルの認証を参照してください。
  2. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Solutions (ソリューション)] に移動します。
  3. [Content (コンテンツ)] セクションまでスクロールし、インポート [Import Content (コンテンツのインポート)] をクリックします。
  4. [Choose File (ファイルを選択)] をクリックして、コンテンツファイルを選択し、[Open (開く)]をクリックします。
  5. [Import (インポート)]をクリックします。

    ファイル内のオブジェクト名が既存のオブジェクトと同じである場合、Tanium Consoleは競合項目を箇条書きして、各項目の解決オプションを提供します。

  6. 競合項目の解決策を選択する 競合およびベストプラクティスのガイダンスを参照してください。
  7. もう一度[Import (インポート)]をクリックして、インポートが終了したら[Close (閉じる)]をクリックします。

ペルソナの構成詳細をコピーする

[Personas (ペルソナ)] ページの情報をクリップボードにコピーすることで、その情報をメッセージやテキストファイル、スプレッドシートに貼り付けることができます。グリッドの各行は、コンマで区切られた値の文字列です。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Perosonas (ペルソナ)] に移動します。
  2. 次のいずれかの手順を実行します。
    • 行情報をコピー: 行を選択して [Copy (コピー)] をクリックします。
    • セル情報をコピー: セルの上にカーソルを重ねて、[Options (オプション)] オプション をクリックし、[Copy (コピー)] コピー をクリックします。

ペルソナを削除する

代替ペルソナは削除できますが、各ユーザに割り当てられるデフォルトのペルソナは削除できません。ペルソナを削除すると、Tanium Serverは、それを含んでいたユーザまたはユーザグループ設定からペルソナを削除します。

ペルソナを削除する場合は、事前にペルソナの構成からユーザ割り当てとユーザグループ割り当てを削除します。「ペルソナに対するユーザ割り当てを管理する」および「ペルソナに対するユーザグループ割り当てを管理する」を参照してください。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Personas (ペルソナ)] に移動して、削除するペルソナを選択します。
  2. [選択した選択した内容を削除の削除] をクリックして [Confirm (確定)] をクリックします。[Delete (削除)] をクリックして、プロンプトが表示されたら操作を確定します。