Jetons d’accès personnels
Les jetons d’accès personnels (PAT) vous permettent, ainsi qu’à vos utilisateurs Tableau Server, de créer des jetons d’authentification de longue durée. Les PAT vous permettent, ainsi qu’à vos utilisateurs, de vous connecter à l’API REST de Tableau sans avoir besoin d’identifiants codés en dur (nom d’utilisateur et mot de passe) ou d’une connexion interactive. Pour plus d’information sur l’utilisation des PAT avec l’API REST de Tableau, consultez Se connecter et Se déconnecter (authentification)(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau.
Nous recommandons de créer des PAT pour les scripts et tâches automatisés créés avec l’API REST de Tableau :
Amélioration de la sécurité : les jetons d’accès personnels réduisent les risques dans le cas où les informations d’identification sont compromises. Si Tableau Server utilise Active Directory ou LDAP comme magasin d’identités, vous pouvez réduire le risque de compromission des identifiants en utilisant un jeton d’accès personnel pour les tâches automatisées. Si un jeton est compromis ou est utilisé dans une automatisation défaillante ou présentant un risque, vous pouvez simplement révoquer le jeton. Vous n’avez pas besoin de modifier ou de révoquer les informations d’identification de l’utilisateur.
Audit et suivi : En tant qu’administrateur, vous pouvez consulter les fichiers journaux de Tableau Server pour savoir quand un jeton est utilisé, quelles sessions sont créées à partir de ce jeton et quelles actions sont effectuées dans ces sessions. Vous pouvez également déterminer si une session et les tâches associées ont été exécutées depuis une session générée à partir d’un jeton ou d’une connexion interactive.
Gestion de l’automatisation : un jeton peut être créé pour chaque script ou tâche exécutée. Cela vous permet de cloisonner et de passer en revue les tâches d’automatisation au sein de votre entreprise. De plus, en utilisant des jetons, la réinitialisation des mots de passe ou les modifications de métadonnées (nom d’utilisateur, courriel, etc.) sur les comptes utilisateur ne perturberont pas l’automatisation comme ce serait le cas lorsque les informations d’identification étaient codées en dur dans les scripts.
Remarques :
- Pour utiliser des PAT avec tabcmd, installez une version compatible de tabcmd à partir de https://tableau.github.io/tabcmd/.
- Les PAT ne sont pas utilisés pour l’accès client générique à l’ UI Web de Tableau Server ou à TSM.
- La configuration de l’expiration des PAT et la désactivation ou la limitation de l’accès des utilisateurs à la création de PAT à partir de l’interface utilisateur ne sont disponibles que dans Tableau Cloud.
- Les jetos d’accès personnels sont automatiquement révoqués lorsque la méthode d’authentification de l’utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) est changé.
Comprendre les jetons d’accès personnels
Lorsqu’un jeton d’accès personnel est créé, il est haché puis stocké dans le référentiel. Une fois le PAT haché et stocké, le secret du PAT apparaît une seule fois à l’utilisateur, et ne sera plus accessible une fois que l’utilisateur a fermé la boîte de dialogue. Par conséquent, les utilisateurs sont invités à copier le PAT dans un endroit sûr et à le manipuler comme s’il s’agissait d’un mot de passe. Lorsque le PAT est utilisé au moment de l’exécution, Tableau Server compare le PAT présenté par l’utilisateur à la valeur de hachage stockée dans le référentiel. Si une correspondance est établie, une session authentifiée est lancée.
Dans le cadre de l’autorisation, la session Tableau Server authentifiée par un PAT a le même accès et les mêmes privilèges que le propriétaire du PAT.
Remarque : Les utilisateurs ne peuvent pas demander des sessions Tableau Server simultanées avec un PAT. Se reconnecter avec le même PAT, que ce soit sur le même site ou sur un site différent, mettra fin à la session précédente et entraînera une erreur d’authentification.
Emprunt d’identité de l’administrateur de serveur
Depuis la version 2021.1, vous pouvez activer l’emprunt d’identité des PAT de Tableau Server. Dans ce scénario, les PAT créés par les administrateurs de serveur peuvent être utilisés pour l’emprunt d’identité des utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre) lors de l’utilisation de l’API REST de Tableau. L’emprunt d’identité est utile dans les scénarios où vous intégrez le contenu Tableau spécifique à l’utilisateur final dans votre application. Plus précisément, les PAT d’emprunt d’identité vous permettent de créer des applications qui interrogent en tant qu’utilisateur donné et de récupérer le contenu auquel l’utilisateur est autorisé à accéder dans Tableau Server, sans codage dur des identifiants.
Pour plus d’information, consultez Emprunt d’identité d’un utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau.
Permettre à Tableau Server d’accepter des jetons d’accès personnels lors des demandes de connexion avec emprunt d’identité
Par défaut, Tableau Server n’autorise pas l’emprunt d’identité pour les PAT de l’administrateur de serveur. Vous devez activer le paramètre à l’échelle du serveur en exécutant les commandes suivantes.
tsm authentication pat-impersonation enable [global options]
tsm pending-changes apply
Important : Une fois que vous avez exécuté les commandes, tous les PAT créés par les administrateurs de serveur (y compris les PAT préexistants) peuvent être utilisés pour l’emprunt d’identité. Pour révoquer en bloc tous les PAT de l’administrateur de serveur existant, vous pouvez publier l’URI DELETE /api/{api-version}/auth/serverAdminAccessTokens. Pour plus d’information, consultez Emprunt d’identité d’un utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau.
Créer des jetons d’accès personnels
Les utilisateurs doivent créer leurs propres PAT. Les administrateurs ne peuvent pas créer de PAT pour les utilisateurs.
Les utilisateurs ayant des comptes sur Tableau Server peuvent créer, gérer et révoquer des jetons d’accès personnels sur la page Paramètres de Mon compte. Pour plus d’information, consultez la section Gérer les paramètres de votre compte(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’utilisateur Tableau.
Remarque : un utilisateur peut avoir jusqu’à 10 PAT.
Modifier l’expiration des jetons d’accès personnels
Les jetons d’accès personnel expirent s’ils ne sont pas utilisés après 15 jours consécutifs. S’ils sont utilisés plus souvent que tous les 15 jours, les PAT expireront après un an. Au bout d’un an, de nouveaux PAT doivent être créés. Les PAT expirés ne s’affichent pas dans la page Paramètres de Mon compte.
Vous pouvez modifier la période d’expiration du PAT à l’aide de l’option refresh_token.absolute_expiry_in_seconds avec la commande tsm configuration set.
Révoquer un jeton d’accès personnel
En tant qu’administrateur, vous pouvez révoquer le PAT d’un utilisateur. Un utilisateur peut également révoquer ses propres jetons d’accès personnels sur la page Paramètres de Mon compte en suivant la procédure décrite dans la rubrique Gérer votre compte(Le lien s’ouvre dans une nouvelle fenêtre) de l’aide utilisateur de Tableau.
Connectez-vous à Tableau Server en tant qu’administrateur de serveur ou de site.
Localisez l’utilisateur dont vous souhaitez révoquer le PAT. Pour plus d’information sur la navigation dans les pages d’administration du serveur et la localisation des utilisateurs, consultez Afficher, gérer ou supprimer des utilisateurs.
Cliquez sur le nom de l’utilisateur pour ouvrir sa page de profil.
Dans la page de profil de l’utilisateur, sélectionnez l’onglet Paramètres.
Dans la section Jetons d’accès personnels, identifiez le PAT que vous voulez révoquer, puis cliquez sur Révoquer.
Dans la boîte de dialogue, cliquez sur Supprimer.
Suivre et surveiller l’utilisation des jetons d’accès personnels
Toutes les actions liées aux jetons d’accès personnels sont enregistrées dans le service Serveur d’applications Tableau Server (vizportal). Pour localiser les activités liées aux PAT, filtrez les entrées du fichier journal contenant la chaîne RefreshTokenService.
Un PAT est stocké dans ce format :Token Guid: <TokenID(Guid)> où TokenID est une chaîne codée base64. La valeur du secret n’est pas incluse dans les fichiers journaux.
Par exemple :
Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700).
Ce qui suit est un exemple d’extrait de deux entrées de fichier journal. La première entrée indique comment un utilisateur est associé à un PAT. La deuxième entrée affiche un événement d’actualisation pour le même PAT :
RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700) RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
Pour localiser les opérations clés, filtrez les entrées du fichier journal contenant la chaîne OAuthController.