Gérer les utilisateurs de la console d'administration SES Evolution

Les utilisateurs accèdent à la console avec leur compte Microsoft Windows qui doit appartenir au même domaine Active Directory que le composant backend. Sinon une relation de confiance doit exister entre les domaines.

Par défaut, seul le super administrateur spécifié lors de l'installation peut se connecter à la console d'administration. Il peut ensuite ajouter d'autres utilisateurs ou groupes d'utilisateurs qui pourront s'y connecter à leur tour.

NOTE
Si vous renommez le compte Windows de ce super administrateur, assurez-vous d'avoir créé au préalable un utilisateur portant le nouveau nom dans la console d'administration SES Evolution. Sinon vous ne pourrez plus vous connecter à la console. Pour plus d'informations, reportez-vous à la section Ajouter un utilisateur de la console d'administration.

Chaque utilisateur ou groupe se voit attribuer un rôle qui définit son profil et restreint les fonctionnalités disponibles dans la console d’administration. Trois rôles sont disponibles par défaut : Audit, Assistance et Administration. Vous pouvez également en créer de nouveaux et les personnaliser.

EXEMPLE
Vous pouvez créer un groupe Administrateurs SES Evolution dans Active Directory, l'ajouter dans SES Evolution, et lui attribuer le rôle Administration. Dans ce cas, tous les utilisateurs du groupe disposeront automatiquement des droits d'administration dans la console SES Evolution. Vous n'aurez pas besoin de les ajouter individuellement.

Plusieurs utilisateurs peuvent se connecter simultanément à des consoles administrant le même parc.

Seul un utilisateur disposant du rôle Administration est autorisé à ajouter d'autres utilisateurs.

  1. Choisissez le menu Backoffice > Utilisateurs, puis l'onglet Rôles.
  2. Cliquez sur Modifier dans le bandeau supérieur puis cliquez sur Créer un rôle.
  3. Attribuez un nom au rôle et entrez sa description si besoin.
  4. Cliquez sur Valider. Le nouveau rôle s'affiche dans la liste. Par défaut, les droits les plus restrictifs sont appliqués.
  5. Pour chaque droit, choisissez le type d'accès que vous souhaitez attribuer. Chaque droit correspond à un panneau de la console d'administration. Par défaut, seuls les panneaux Déploiement, Tableau de bord et Licences sont accessibles.
    Le droit Verrous permet de débloquer un verrou positionné par un autre utilisateur sur un panneau de la console. Pour plus d'informations sur les verrous, reportez-vous à la section Gérer la connexion simultanée d'utilisateurs à des consoles administrant le même parc.

Seul un utilisateur disposant du rôle Administration est autorisé à ajouter d'autres utilisateurs ou groupes.

  1. Choisissez le menu Backoffice > Utilisateurs, puis l'onglet Utilisateurs et groupes.
  2. Cliquez sur Modifier dans le bandeau supérieur puis sur Ajouter dans la zone Utilisateurs ou Groupes.
    Une ligne vide s'affiche.
  3. Vous pouvez :
    • Cliquer sur l'icône à droite de la ligne pour sélectionner un utilisateur/groupe dans l'annuaire Active Directory.
    • Saisir manuellement un nom d'utilisateur/groupe Active Directory en respectant la syntaxe DomainName\samAccountName pour un utilisateur, et samAccountName pour un groupe.
    • Saisir manuellement un nom d'utilisateur local.

    SES Evolution vérifie la validité de l'utilisateur/groupe et affiche son état à droite. Passez votre souris sur l'icône dans la colonne État pour en savoir plus.

     

  4. Sélectionnez le rôle à attribuer à l'utilisateur/groupe :
    • Audit : Ce rôle permet de visualiser l'ensemble des panneaux de la console et de modifier les paramètres de son compte personnel, mais aucune autre action de modification ou de déploiement n'est possible. Il est dédié à la visualisation des logs et à la surveillance des agents.
    • Assistance : Ce rôle possède les mêmes droits que l'Audit. Il permet en plus de répondre à des challenges et de débloquer les verrous. Il est dédié à la maintenance du parc SES Evolution.
    • Administration : Ce rôle permet d'effectuer sans restriction toutes les opérations accessibles depuis la console d'administration.
    • Rôle personnalisé
  5. Dans la zone Groupe, classez les groupes par ordre de priorité à l'aide des flèches de la colonne Ordre. Si un utilisateur appartient à plusieurs groupes, c'est le rôle du groupe le plus prioritaire qui lui est attribué.

Si un utilisateur est déclaré de manière individuelle ET via un groupe, c'est le rôle de l'utilisateur individuel qui lui est attribué.

Plusieurs utilisateurs peuvent administrer simultanément le même parc depuis des machines différentes.

Lorsqu'un utilisateur est en train de modifier une des ressources suivantes, elle est automatiquement verrouillée et aucun autre utilisateur ne peut la modifier :

  • Un groupe d'agents,
  • Une politique,
  • Un jeu de règles,
  • Une unité d'analyse Yara ou IoC,
  • Un groupe de gestionnaires d'agents.

EXEMPLE


  • Pendant que l'utilisateur 1 modifie la politique A, l'utilisateur 2 ne peut pas la modifier, mais il peut modifier les jeux de règles contenus dans la politique A, et la politique B.
  • Pendant que l'utilisateur 1 modifie le groupe d'agents A, l'utilisateur 2 ne peut pas le modifier, mais il peut ajouter un nouveau groupe d'agents B.

Lorsqu'un utilisateur enregistre ou annule ses modifications, le verrou sur le panneau est automatiquement libéré si aucun objet n'est plus en cours d'édition dans ce panneau.

Aucun utilisateur ne peut modifier un panneau verrouillé par un autre utilisateur. Le bouton Modifier dans le bandeau supérieur est remplacé par un cadenas. Passez le pointeur de la souris sur le cadenas pour savoir qui a verrouillé le panneau et depuis combien de temps. Il existe trois types de cadenas :

Cadenas Description
Vert  Vous êtes en train de modifier la ressource et elle est verrouillée pour les autres utilisateurs de la console. Seuls les utilisateurs disposant du droit Verrous - Débloquer   peuvent débloquer la ressource. Dans ce cas, vous en êtes informé lors de l'enregistrement de vos modifications.
Orange  La ressource est en cours de modification par un autre utilisateur, mais vous disposez du droit Verrous - Débloquer et vous pouvez donc débloquer la ressource pour la modifier. Assurez-vous d'abord que votre action est légitime.
Rouge  La ressource est en cours de modification par un autre utilisateur, et vous ne disposez pas du droit Verrous - Débloquer . Vous ne pouvez donc pas débloquer la ressource.

Débloquer une ressource peut être utile si elle est restée par erreur en cours de modification par exemple.

Cette opération libère le panneau et annule les modifications en cours de l'autre utilisateur. Elle est donc à manier avec précaution. Dans ce cas, l'utilisateur qui détenait le verrou le premier est prévenu au moment où il tente d'enregistrer ses modifications.

Pour débloquer le verrou sur un panneau si vous possédez le droit, i.e., si le cadenas est orange :

  1. Cliquez sur le cadenas dans le bandeau supérieur.
  2. Confirmez l'opération dans la fenêtre qui s'affiche.