Accéder au contenu principal Passer au contenu complémentaire
Ressources Qlik
Chargement de la recherche avec SearchUnify Si vous avez besoin d'aide avec votre produit, contactez le Support Qlik.
Qlik Customer Portal
Chargement de la recherche avec SearchUnify Si vous avez besoin d'aide avec votre produit, contactez le Support Qlik.
Qlik Customer Portal

Définir la liste des utilisateurs et des utilisatrices autorisé·es à exécuter des tâches avec une autre identité

Pour contrôler les utilisateur·trices du système d'exploitation dont l'identité peut être empruntée au cours de l'exécution des Jobs, utilisez le paramètre RUN_AS_ALLOWLIST. Cette liste d'autorisation contraint Talend JobServer à n'emprunter l'identité que des personnes explicitement listées dans la configuration.

Pourquoi et quand exécuter cette tâche

Lorsqu'une requête d'exécution de Job spécifie un·e utilisateur·trice du système d'exploitation dont emprunter l'identité (impersonation) :

  • Si l'utilisateur·trice est dans la liste d'autorisation : Talend JobServer crée un processus au nom de cet·te utilisateur·trice et exécute le Job avec les droits de l'utilisateur·trice du système d'exploitation.
  • Si l'utilisateur·trice n'est pas dans la liste d'autorisation : Talend JobServer rejette la requête d'exécution et échoue avec une erreur d'autorisation.

Ce mécanisme empêche les requêtes non autorisées ou malveillantes d'exécuter des Jobs en tant qu'utilisateur·trices du système d'exploitation (comme root ou d'autres comptes système).

Note InformationsConseil :

Si la liste d'autorisation est vide, seules les exécutions de Jobs sans emprunt d'identité (impersonation) fonctionnent normalement. Toute tentative d'emprunt de l'identité d'un·e utilisateur·trice est rejetée. Si vous configurez RUN_AS_ALLOWLIST=anybody, l'identité de tous·tes les utilisateur·trices du système d'exploitation pourra être empruntée.

Procédure

  1. Ouvrez le fichier <jobserver_path>/conf/TalendJobServer.properties.
  2. Modifiez la valeur du paramètre org.talend.remote.jobserver.server.TalendJobServer.RUN_AS_ALLOWLIST en ajoutant tous·tes les utilisateurs et utilisatrices souhaité·es.

    Les virgules sont des séparateurs valides de noms d'utilisateur·trices. Utilisez le format suivant :

    # Allow specified OS users (comma-separated) to be impersonated during Job execution
# Wildcards are supported (e.g., prod*, staging_user*)
# Example: allow jobuser1, jobuser2, and any user starting with "prod"
org.talend.remote.jobserver.server.TalendJobServer.RUN_AS_ALLOWLIST=jobuser1,jobuser2,this.super-user,prod*
  3. Redémarrez Talend JobServer afin que les changements soient effectifs.

Que faire ensuite

Activez les logs d'audit (consultez Configurer les systèmes de monitoring et d'audit pour Talend JobServer) pour savoir de quel·les utilisateur·trices l'identité est empruntée et par qui. Cela permet d'avoir de la visibilité sur le monitoring et la conformité relatifs à la sécurité.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.

Laissez vos commentaires ici