Tokens de acceso personal

Los tokens de acceso personal (PAT) le proporcionan a usted y a sus usuarios de Tableau Server la capacidad de crear tokens de autenticación de larga duración. Los PAT le permiten a usted y a sus usuarios iniciar sesión en la API de REST de Tableau sin necesidad de credenciales codificadas (es decir, nombre de usuario y contraseña) o inicio de sesión interactivo. Para obtener más información sobre el uso de PAT con la API de REST de Tableau, consulte Inicio y cierre de sesión (autenticación)(El enlace se abre en una ventana nueva) en la ayuda de la API de REST de Tableau.

Recomendamos crear PAT para scripts automatizados y tareas que se crean con la API de REST de Tableau:

  • Mejorar la seguridad: los tokens de acceso personal reducen el riesgo en caso de que las credenciales ya no sean seguras. En el caso de que Tableau Server utilice Active Directory o LDAP como almacén de identidades, puede reducir el impacto del riesgo de credenciales con no seguras un token de acceso personal para tareas automatizadas. Si un token se ve afectado o se utiliza en una automatización que está fallando o que representa un riesgo, puede simplemente revocar el token. No es necesario rotar ni revocar las credenciales del usuario.

  • Auditoría y seguimiento: como administrador, puede revisar los registros de Tableau Server para hacer un seguimiento de cuándo se utiliza un token, qué sesiones se crean a partir de ese token y las acciones que se realizan en esas sesiones. También puede determinar si una sesión y las tareas relacionadas se realizaron a partir de una sesión que creada a partir de un token o de un inicio de sesión interactivo.

  • Gestión de la automatización: se puede crear un token para cada script o tarea que se ejecute. Esto permite almacenar y revisar las tareas de automatización en toda la organización. Además, al utilizar tokens, los restablecimientos de contraseñas o los cambios de metadatos (nombre de usuario, correo electrónico, etc.) en las cuentas de usuario no interrumpirán la automatización como ocurriría con las credenciales codificadas en los scripts.

Notas: 

Comprensión de los tokens de acceso personal

Cuando se crea un token de acceso personal (PAT), se protege mediante hash y se almacena en el repositorio. Una vez que el PAT se codifica y se almacena, el secreto de el PAT se muestra una vez al usuario y ya no se puede acceder a él una vez que los usuarios cierran el cuadro de diálogo. Por tanto, se ruega a los usuarios que copien el PAT en un lugar seguro y lo traten como si fuera una contraseña. Cuando el PAT se usa en tiempo de ejecución, Tableau Server compara el PAT presentado por el usuario con el valor protegido mediante hash almacenado en el repositorio. Si coincide, se inicia una sesión autenticada.

En el contexto de la autorización, la sesión de Tableau Server que se autentica con una PAT tiene el mismo acceso y privilegios que el propietario del PAT.

Nota: Los usuarios no pueden solicitar sesiones concurrentes de Tableau Server con un PAT. Iniciar sesión nuevamente con el mismo PAT, ya sea en el mismo sitio o en un sitio diferente, finalizará la sesión anterior y dará como resultado un error de autenticación.

Suplantación del administrador de servidor

A partir de la versión 2021.1, puede habilitar la suplantación del PAT de Tableau Server. En este caso, los PAT creados por los administradores del servidor se pueden usar para la suplantación de usuarios(El enlace se abre en una ventana nueva) al utilizar la API de REST de Tableau. La suplantación es útil en casos en los que está incrustando contenido de Tableau específico del usuario final dentro de la aplicación. En concreto, los PAT de suplantación le permiten crear aplicaciones que consultan como un usuario determinado y recuperan contenido para el que el usuario está autorizado en Tableau Server, sin codificar de forma rígida ninguna credencial.

Para obtener más información, consulte Suplantar un usuario(El enlace se abre en una ventana nueva) en la ayuda de la API de REST de Tableau.

Habilite Tableau Server para aceptar tokens de acceso personal durante las solicitudes de inicio de sesión de suplantación

De forma predeterminada, Tableau Server no permite la suplantación de PAT de administradores del servidor. Debe habilitar la opción para todo el servidor ejecutando los siguientes comandos.

tsm authentication pat-impersonation enable [global options]

tsm pending-changes apply

Importante: Después de ejecutar los comandos, todos los PAT creados por los administradores del servidor (incluidos los PAT predeterminados) se pueden usar para la suplantación. Para revocar de forma masiva todos los PAT de los administradores del servidor existentes, puede publicar la URI DELETE /api/{api-version}/auth/serverAdminAccessTokens. Para obtener más información, consulte Suplantar un usuario(El enlace se abre en una ventana nueva) en la ayuda de la API de REST de Tableau.

Crear un token de acceso personal

Los usuarios deben crear sus propios PAT. Los administradores no pueden crear PAT para los usuarios.

Los usuarios con cuentas en Tableau Server pueden crear, administrar y revocar tokens de acceso personal (PAT) en la página Configuración de mi cuenta. Consulte Administrar la configuración de su cuenta(El enlace se abre en una ventana nueva) en la Ayuda en línea de Tableau Desktop y de la creación web para obtener más información.

Nota: Un usuario puede tener hasta 10 PAT.

Cambiar la caducidad de los tokens de acceso personal

Los tokens de acceso personal (PAT) caducarán si no se utilizan al cabo de 15 días consecutivos. Si se usan con más frecuencia que cada 15 días, los PAT caducarán al cabo de 1 año. Después de un año, se deben crear nuevos PAT. Los PAT caducados no se mostrarán en la página Configuración de mi cuenta.

Puede cambiar el tiempo de caducidad de los PAT mediante la opción refresh_token.absolute_expiry_in_seconds con el comando tsm configuration set.

Revocar un token de acceso personal

Como administrador, puede revocar el PAT de un usuario. Un usuario también puede revocar sus propios tokens de acceso personal (PAT) en la página Configuración de mi cuenta utilizando el procedimiento descrito en el tema Administrar tu cuenta(El enlace se abre en una ventana nueva) en la Ayuda en línea del usuario de Tableau.

  1. Inicie sesión en Tableau Server como administrador del servidor o del sitio.

  2. Localice el usuario cuyo PAT desea revocar. Para obtener más información acerca de la navegación por las páginas de administración del servidor y la ubicación de los usuarios, consulte Ver, administrar o eliminar usuarios.

  3. Haga clic en el nombre del usuario para abrir su página de perfil.

  4. En la página del usuario, haga clic en la pestaña Configuración.

  5. En la sección Tokens de acceso personal, identifique el PAT que desea revocar y, a continuación, haga clic en Revocar.

  6. En el cuadro de diálogo, haga clic en Eliminar.

Rastrear y supervisar el uso del token de acceso personal

Todas las acciones relacionadas con los token de acceso personal (PAT) se registran en el Servidor de aplicaciones de Tableau Server (vizportal). Para localizar actividades relacionadas con los PAT, filtre las entradas del registro que contengan la cadena RefreshTokenService.

Los PAT se almacenan en este formato: Token Guid: <TokenID(Guid)>, donde el TokenID es una cadena codificada base64. El valor secreto no está incluido en los registros.

Por ejemplo:

Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700).

El siguiente ejemplo pertenece a un fragmento de dos entradas de registro. La primera entrada muestra cómo se asigna un usuario a un PAT. La segunda entrada muestra un evento de actualización para el mismo PAT:

RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)

Para localizar las operaciones clave, filtre las entradas de registro que contengan la cadena OAuthController.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!