Persönliche Zugangstoken

Persönliche Zugangstoken (PATs) bieten Ihnen und Ihren Tableau Server-Benutzern die Möglichkeit, langlebige Authentifizierungstoken zu erstellen. Mit PATs können Sie und Ihre Benutzer sich bei der Tableau REST API anmelden, ohne dass vorprogrammierte Anmeldeinformationen (d. h. Benutzername und Kennwort) oder eine interaktive Anmeldung erforderlich sind. Weitere Informationen zur Verwendung von PATs mit der Tableau REST API finden Sie in der Tableau REST API-Hilfe unter Anmelden und Abmelden (Authentifizierung)(Link wird in neuem Fenster geöffnet).

Es wird empfohlen, PATs für automatisierte Skripte und Aufgaben zu generieren, die mit der Tableau REST API erstellt werden:

  • Sicherheit verbessern: Persönliche Zugangstoken verringern das Risiko, wenn Anmeldeinformationen gehackt werden. Wenn für Tableau Server als Identitätsspeicher Active Directory oder LDAP verwendet wird, können Sie die negativen Folgen gehackter Anmeldeinformationen verringern, indem Sie für automatisierte Aufgaben ein persönliches Zugangstoken verwenden. Wird ein Token gehackt oder in einer Automatisierung verwendet, die fehlerhaft ist oder ein Risiko darstellt, können Sie das Token einfach widerrufen. Sie müssen die Anmeldedaten des Benutzers nicht rotieren oder widerrufen.

  • Überwachen und nachverfolgen: Als Administrator können Sie Tableau Server-Protokolle überprüfen, um nachzuverfolgen, wann ein Token verwendet wird, welche Sitzungen aus diesem Token erstellt werden und welche Aktionen in diesen Sitzungen ausgeführt werden. Sie können auch bestimmen, ob eine Sitzung und die zugehörigen Aufgaben aus einer Sitzung ausgeführt wurden, die aus einem Token oder aus einer interaktiven Anmeldung generiert wurde.

  • Automatisierung verwalten: Für jedes ausgeführte Skript und jede Aufgabe kann ein Token erstellt werden. Auf diese Weise können Sie Automatisierungsaufgaben in Ihrer gesamten Organisation gruppieren und überprüfen. Darüber hinaus wird durch die Verwendung von Tokens die Automatisierung durch Kennwortzurücksetzen oder Metadatenänderungen (Benutzername, E-Mail, usw.) an Benutzerkonten nicht in dem Maße gestört, wie es bei vorprogrammierten Anmeldedaten in den Skripts der Fall wäre.

Hinweise: 

  • Um PATs mit tabcmd zu verwenden, installieren Sie die auf https://tableau.github.io/tabcmd/ verfügbare kompatible Version von tabcmd.
  • PATs werden nicht für allgemeine Clientzugriffe auf die Tableau Server-Webbenutzeroberfläche oder auf TSM verwendet.
  • Das Konfigurieren der Ablaufzeit von PATs und das Deaktivieren oder Einschränken des Benutzerzugriffs auf die PAT-Erstellung über die Benutzeroberfläche ist nur in Tableau Cloud verfügbar.

Grundlegendes zu persönlichen Zugangstoken

Wenn ein persönliches Zugangstoken (PAT) erstellt wird, wird es gehasht und dann im Repository gespeichert. Nachdem das PAT gehasht und gespeichert wurde, wird das PAT-Geheimnis dem Benutzer einmal angezeigt und ist nach dem Schließen des Benutzerdialogs nicht mehr zugänglich. Benutzer werden deshalb angewiesen, das PAT an einen sicheren Speicherort zu kopieren und es wie ein Kennwort zu handhaben. Wenn das PAT zur Laufzeit verwendet wird, vergleicht Tableau Server das vom Benutzer bereitgestellte PAT mit dem im Repository gespeicherten Hashwert. Wird eine Übereinstimmung verifiziert, wird eine authentifizierte Sitzung gestartet.

In Bezug auf die Autorisierung verfügt die mit einem PAT authentifizierte Tableau Server-Sitzung über dieselben Zugriffsrechte und Berechtigungen wie der PAT-Eigentümer.

Anmerkung: Benutzer können mit einem PAT keine gleichzeitig ablaufenden Tableau Server-Sitzungen beantragen. Eine erneute Anmeldung mit demselben PAT, egal ob auf derselben oder einer anderen Site, beendet die vorherige Sitzung und führt zu einem Authentifizierungsfehler.

Serveradministrator-Identitätswechsel

Ab Version 2021.1 können Sie den Identitätswechsel mit PAT von Tableau Server aktivieren. In diesem Szenario können bei Verwendung der Tableau REST API die von Serveradministratoren erstellten PATs für den Benutzeridentitätswechsel(Link wird in neuem Fenster geöffnet) verwendet werden. Der Identitätswechsel ist in Szenarien nützlich, in denen Sie endbenutzerspezifische Tableau-Inhalte in Ihre Anwendung einbetten. Insbesondere können Sie mithilfe von Identitätswechsel-PATs Anwendungen erstellen, die als ein bestimmter Benutzer Abfragen ausführen und Inhalte abrufen, für die der Benutzer in Tableau Server autorisiert ist, ohne dass Anmeldeinformationen vorprogrammiert werden müssen.

Weitere Informationen finden Sie in der Tableau REST API-Hilfe unter Identitätswechsel eines Benutzers(Link wird in neuem Fenster geöffnet).

Aktivieren der Akzeptanz persönlicher Zugangstoken bei Anmeldeanforderungen mit Identitätswechsel in Tableau Server

Standardmäßig lässt Tableau Server keine Identitätswechsel für Serveradministratoren-PATs zu. Sie müssen die serverweite Einstellung aktivieren, indem Sie die folgenden Befehle ausführen.

tsm authentication pat-impersonation enable [global options]

tsm pending-changes apply

Wichtig: Nachdem Sie die Befehle ausgeführt haben, können alle PATs, die von Serveradministratoren erstellt wurden (einschließlich bereits vorhandener PATs), für den Identitätswechsel verwendet werden. Um alle vorhandenen Serveradministratoren-PATs gemeinsam zu widerrufen, können Sie den URI DELETE /api/{api-version}/auth/serverAdminAccessTokens veröffentlichen. Weitere Informationen finden Sie in der Tableau REST API-Hilfe unter Identitätswechsel eines Benutzers(Link wird in neuem Fenster geöffnet).

Erstellen persönlicher Zugangstoken

Benutzer müssen ihre eigenen PATs erstellen. Administratoren können keine PATs für Benutzer erstellen.

Benutzer mit Konten in Tableau Server können persönliche Zugangstoken (PATs) auf der Seite Eigene Kontoeinstellungen erstellen, verwalten und widerrufen. Weitere Informationen finden Sie in der Tableau-Benutzerhilfe unter Verwalten Ihrer Kontoeinstellungen(Link wird in neuem Fenster geöffnet).

Hinweis: Ein Benutzer kann bis zu 10 PATs haben.

Ändern der Ablaufzeit des persönlichen Zugangstokens

Persönliche Zugangstoken (PATs) verfallen, wenn sie an 15 aufeinanderfolgenden Tagen nicht verwendet werden. Wenn sie häufiger als alle 15 Tage verwendet werden, laufen PATs nach einem Jahr ab. Nach einem Jahr müssen neue PATs erstellt werden. Abgelaufene PATs werden auf der Seite Eigene Kontoeinstellungen nicht angezeigt.

Sie können die Ablaufzeit von PATs in der Option refresh_token.absolute_expiry_in_seconds mit dem Befehl tsm configuration set ändern.

Widerrufen eines persönlichen Zugangstokens

Als Administrator können Sie das PAT eines Benutzers widerrufen. Ein Benutzer kann auch seine eigenen persönlichen Zugangstoken (PATs) auf der Seite Eigene Kontoeinstellungen widerrufen, indem er der in der Tableau-Benutzerhilfe im Abschnitt Verwalten Ihres Kontos(Link wird in neuem Fenster geöffnet) beschriebenen Vorgehensweise folgt.

  1. Melden Sie sich bei Tableau Server als Server- oder Site-Administrator an.

  2. Suchen Sie den Benutzer, dessen PAT Sie widerrufen möchten. Weitere Informationen zum Navigieren auf Server-Administrator-Seiten und zum Suchen nach Benutzern finden Sie unter Anzeigen, Verwalten oder Entfernen von Benutzern.

  3. Klicken Sie auf den Namen des Benutzers, um die Profilseite zu öffnen.

  4. Klicken Sie auf der Benutzerprofilseite die Registerkarte Einstellungen.

  5. Suchen Sie im Abschnitt Persönliche Zugriffs-Token das PAT, das Sie widerrufen möchten, und klicken Sie dann auf Widerrufen.

  6. Klicken Sie im Dialogfeld auf Löschen.

Verfolgen und Überwachen der Nutzung von persönlichen Zugangstoken

Alle PAT-bezogenen Aktionen werden im (VizPortal)-Dienst Tableau Server Anwendungsserver protokolliert. Um PAT-bezogene Aktivitäten zu finden, filtern Sie Protokolleinträge, die die Zeichenfolge RefreshTokenService enthalten.

Ein PAT wird im Format Token Guid: <TokenID(Guid)> gespeichert, wobei die TokenID eine base64-codierte Zeichenfolge ist. Der Geheimniswert ist nicht in den Protokollen ersichtlich.

Beispiel:

Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700).

Im Folgenden finden Sie einen Beispielausschnitt aus zwei Protokolleinträgen. Der erste Eintrag zeigt, wie ein Benutzer einem PAT zugeordnet ist. Der zweite Eintrag zeigt ein Aktualisierungsereignis für dasselbe PAT:

RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)

Um wichtige Vorgänge zu suchen, filtern Sie Protokolleinträge, die die Zeichenfolge OAuthController enthalten.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.