Os tokens de acesso pessoal (PATs) fornecem aos usuários do Tableau Server a capacidade de criar tokens de autenticação de longa duração. Os tokens permitem que os usuários executem a automação com APIs REST do Tableau sem precisar de credenciais inseridas em código ou logon interativo. Mais informações sobre o uso de tokens de acesso pessoal com APIs REST do Tableau estão em Entrar e sair (Autenticação)(O link abre em nova janela).

Os tokens de acesso pessoal não são usados para acesso de cliente genérico à interface na Web do Tableau Server, TSM ou às interfaces tabcmd.

Recomendamos a criar tokens de acesso pessoal para scripts e tarefas automatizados criados com a API REST do Tableau:

  • Melhorando a segurança: os tokens de acesso pessoal reduzem os riscos caso as credenciais sejam comprometidas. No caso em que o Tableau Server usa o Active Directory ou o LDAP como um repositório de identidade, você pode reduzir o escopo de comprometimento das credenciais usando um token de acesso pessoal para tarefas automatizadas. Nesse caso, usar um token específico do aplicativo não expõe o sistema mais amplo caso os arquivos de automação ou de script sejam comprometidos. Se um token for comprometido ou usado na automação com falha ou causar risco, você poderá revogar o token. Não é necessário girar ou revogar as credenciais do usuário.
  • Auditoria e rastreamento: como administrador, você pode consultar os registros do Tableau Server para rastrear quando um token é usado, quais sessões são criadas desse token e as ações executadas nessas sessões. Além disso, você pode determinar se uma sessão e as tarefas relacionadas foram executadas a partir de uma sessão gerada com um token ou de um logon interativo.
  • Gerenciar automação: um token pode ser criado para cada script ou tarefa executada. Isso permite que você crie silos e analise tarefas de automação em toda a organização. Além disso, usar tokens e as alterações de senha ou alterações de metadados (nome de usuário, e-mail etc.) em contas de usuário não prejudicará a automação como faria quando as credenciais são inseridas em código nos scripts.

Noções básicas sobre tokens de acesso pessoal

Quando um token é criado, ele é ocultado e armazenado no repositório. Depois que o token é ocultado e armazenado, o token original é excluído. Os usuários são instruídos a copiar o token em um local seguro e lidar com ele como lidam com uma senha. Quando o token é usado no tempo de execução, o Tableau Server oculta o token apresentado pelo usuário e o compara com o valor de hash armazenado no repositório. Se houver uma correspondência, uma sessão autenticada será iniciada.

Observação: é necessário um token de acesso pessoal por solicitação simultânea. Entrar novamente com o mesmo token de acesso, seja no mesmo site ou em um site diferente, encerrará a sessão anterior e resultará em um erro de autenticação.

No contexto de autorização, o Tableau Server manipula a sessão autenticada com as mesmas permissões e direitos que o usuário possui como um usuário interativo.

Representação do administrador de servidor

Começando pela versão 2021.1, você pode ativar a representação de token de acesso pessoal do Tableau Server. Neste cenário, os tokens de acesso criados pelos administradores do servidor podem ser usados para a representação do usuário (O link abre em nova janela)ao usar REST API Tableau Server. A representação é útil em cenários onde você está inserindo conteúdo do Tableau específico para o usuário final dentro de seu aplicativo. Especificamente, os tokens de acesso à representação permitem que você crie aplicativos que consultam como um determinado usuário e recuperem conteúdo para o que o usuário esteja autorizado dentro do Tableau Server, sem codificar quaisquer credenciais.

Para obter mais informações, consulte a seção de ajuda da REST API do Tableau, Representação de um usuário(O link abre em nova janela).

Habilite o Tableau Server a aceitar tokens de acesso pessoal durante solicitações de logon de representação

Por padrão, o Tableau Server não permite a representação de tokens de acesso pessoal do administrador do servidor. Você deve ativar a configuração em todo o servidor executando os seguintes comandos.

tsm authentication pat-impersonation enable [global options]

tsm pending-changes apply

Importante: depois de executar os comandos, todos os tokens de acesso pessoal criados pelos administradores de servidores (incluindo tokens preexistentes) podem ser usados para representação. Para revogar em massa todos os tokens de acesso pessoal do administrador de servidor existentes, você pode publicar o URI DELETE /api/{api-version}/auth/serverAdminAccessTokens. Consulte a seção de ajuda da REST API do Tableau, Representação de um usuário(O link abre em nova janela).

Criar tokens

Os usuários com contas no Tableau Server podem criar, gerenciar e revogar tokens de acesso pessoal na página Minhas configurações de conta. Consulte Gerenciar configurações de conta(O link abre em nova janela) na Ajuda do Tableau Desktop de da Criação na Web para obter mais informações.

Os usuários devem criar seus próprios tokens de acesso pessoal. Os administradores não podem criar tokens para usuários.

Expiração do token

Os tokens de acesso pessoal expirarão se não forem usados após 15 dias consecutivos. Se eles forem usados com mais frequência do que a cada 15 dias, um token de acesso expirará após 1 ano. Depois de um ano, você deve criar um novo token. Os tokens de acesso pessoal expirados não serão exibidos na página Configurações da minha conta.

Você pode alterar o intervalo de validade do token de atualização usando a refresh_token.absolute_expiry_in_seconds opção com o comando tsm configuration set.

Revogar tokens de usuários

Os usuários podem revogar seus próprios tokens na página Minhas configurações de conta. Como administrador, você também pode revogar tokens de acesso pessoal.

  1. Fazer logon na área de administração do Tableau Server como administrador de site ou de servidor.
  2. Localize o usuário cujo token você deseja revogar. Para obter mais informações sobre como navegar nas páginas de administração do servidor e localizar usuários, consulte Exibir, gerenciar ou remover usuários.
  3. Clique no nome do usuário para abrir sua página de perfil.
  4. Na página de perfil do usuário, clique na guia Configurações.
  5. Na seção Tokens de acesso Pessoal, identifique o token que deseja revogar e clique em Revogar.
  6. No pop-up de verificação, clique em Excluir.

Rastrear e monitorar o uso

Todas as ações relacionadas ao token são registradas no serviço do Servidor de aplicativos do Tableau Server (vizportal).

Para localizar atividades relacionadas ao token, filtre as entradas de registro que contêm a cadeia de caracteres, RefreshTokenService.

Os tokens são armazenados neste formato:Token Guid: <TokenID(Guid)>, onde TokenID é uma cadeia de caracteres codificada base64. O segredo do token não está incluído nos registros. Por exemplo:

Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700).

Veja a seguir um trecho de exemplo de duas entradas de registro. O primeiro mostra como um usuário é mapeado a um token.O segundo mostra um evento de atualização do mesmo token:

RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)

Para localizar as operações principais, filtre as entradas de registro que contêm a cadeia de caracteres, OAuthController.

Agradecemos seu feedback!