Personliga åtkomsttoken
Med personliga åtkomsttoken kan du och dina Tableau Server-användare skapa långlivade autentiseringstoken. Personliga åtkomsttoken gör det möjligt för dig och dina användare att logga in på Tableau REST API utan att kräva hårdkodade autentiseringsuppgifter (användarnamn och lösenord) eller interaktiv inloggning. Mer information om användning av personliga åtkomsttoken med Tableau REST API finns i Logga in och ut (autentisering)(Länken öppnas i ett nytt fönster) i hjälpen för Tableau REST API.
Vi rekommenderar att du skapar personliga åtkomsttoken för automatiserade skript och uppgifter som skapas med Tableau REST API:
Förbättra säkerheten: Personliga åtkomsttokens minskar riskerna om inloggningsuppgifterna skulle äventyras. Du kan minska den utsträckning i vilken inloggningsuppgifterna äventyras genom att använda en personlig åtkomsttoken för automatiserade uppgifter, om Tableau Server använder Active Directory eller LDAP som identitetsregister. Om en token äventyras eller används för automatisering som misslyckas eller utgör en risk, kan du helt enkelt återkalla den. Du behöver inte rotera eller återkalla användarens autentiseringsuppgifter.
Granska och spåra: Som administratör kan du granska Tableau Server-loggar för att spåra när en token används, vilka sessioner som har skapats från denna token och vilka åtgärder som har utförts i dessa sessioner. Du kan också avgöra om en session och relaterade uppgifter har utförts från en session som genererats från en token eller från en interaktiv inloggning.
Hantera automatisering: En token kan skapas för varje skript eller uppgift som körs. På så sätt kan du lagra och granska automatiseringsuppgifter för hela organisationen. Användning av token och sedan lösenordsåterställningar eller metadataändringar (användarnamn, e-post osv.) på användarkonton kommer dessutom inte att komma i vägen för automatisering som när autentiseringsuppgifterna är hårdkodade i skripten.
Obs!
- Om du vill använda personliga åtkomsttoken med tabcmd installerar du den kompatibla versionen av tabcmd från https://tableau.github.io/tabcmd/.
- Personliga åtkomsttoken används inte för generisk klientåtkomst till Tableau Server webbgränssnitt eller TSM.
- Det är bara i Tableau Cloud som det går att konfigurera utgångsdatum för personliga åtkomsttoken samt inaktivera eller begränsa användarnas möjlighet att skapa personliga åtkomsttoken i gränssnittet.
- Personliga åtkomsttoken återkallas automatiskt när en användares autentiseringsmetod(Länken öppnas i ett nytt fönster) ändras.
Förstå personliga åtkomsttoken
När en personlig åtkomsttoken skapas får den ett hash-värde och lagras sedan på lagringsplatsen. Efter att en personlig åtkomsttoken har fått ett hash-värde och lagrats visas dess hemlighet en gång för användaren och när användaren stängt dialogrutan är den inte längre tillgänglig. Därför bör du som användare kopiera denna personliga åtkomsttoken till en säker plats och hantera den på samma sätt som du hanterar dina lösenord. När den personliga åtkomsttoken används under körningstid jämför Tableau Server användarens personliga åtkomsttoken med det hash-värde som har sparats på lagringsplatsen. Om de stämmer överens startas en autentiserad session.
I samband med auktorisering har en Tableau Server-session som är autentiserad med en personlig åtkomsttoken samma åtkomst och privilegier som ägaren av den personliga åtkomsttoken.
Obs! Användare kan inte begära samtidiga Tableau Server-sessioner med en personlig åtkomsttoken. Om du loggar in igen med samma personliga åtkomsttoken avslutas den föregående sessionen och ett autentiseringsfel uppstår, oavsett om den finns på samma plats eller en annan plats.
Impersonering av serveradministratören
Från och med version 2021.1 kan du aktivera impersonering av personliga åtkomsttoken i Tableau Server. I det här scenariot kan personliga åtkomsttoken som har skapats av serveradministratörer användas för impersonering av användare(Länken öppnas i ett nytt fönster) när du använder Tableau REST API. Impersonering är användbart i scenarier där du bäddar in slutanvändarspecifikt Tableau-innehåll i programmet. Personliga åtkomsttoken för impersonering låter dig dessutom bygga program som ställer frågor som en viss användare, och hämtar innehåll som användaren är behörig för inom Tableau Server, utan att hårdkoda några inloggningsuppgifter.
Mer information finns i Impersonering av användare(Länken öppnas i ett nytt fönster) i Tableau REST API-hjälpen.
Aktivera Tableau Server för att godkänna personliga åtkomsttokens vid inloggningsbegäran med impersonering
Som standard tillåter Tableau Server inte impersonering för platsadministratörens personliga åtkomsttoken. Du måste aktivera inställningen för hela servern genom att köra följande kommandon.
tsm authentication pat-impersonation enable [global options]
tsm pending-changes apply
Viktigt: Efter att du har kört dessa kommandon kan alla personliga åtkomsttoken som skapats av serveradministratörer (inklusive befintliga personliga åtkomsttoken) användas för impersonering. För att återkalla alla befintliga personliga åtkomsttoken för platsadministratörer på en gång kan du skriva in URI DELETE /api/{api-version}/auth/serverAdminAccessTokens
. Mer information finns i Impersonering av användare(Länken öppnas i ett nytt fönster) i Tableau REST API-hjälpen.
Skapa personliga åtkomsttokens
Användarna måste skapa sina egna personliga åtkomsttoken. Administratörer kan inte skapa personliga åtkomsttoken till användare.
Användare med konton på Tableau Server kan skapa, hantera och återkalla personliga åtkomsttoken på sidan Mina kontoinställningar. Mer information finns i Hantera dina kontoinställningar(Länken öppnas i ett nytt fönster) i Tableau användarhjälp.
Obs! En användare kan ha upp till 10 personliga åtkomsttoken.
Ändra personliga åtkomsttokens giltighetstid
Personliga åtkomsttoken lupphör att gälla om de inte används efter 15 dagar i följd. Giltighetstiden för en personliga åtkomsttoken är 1 år om de används oftare än var 15:e dag. Efter ett år måste nya personliga åtkomsttoken skapas. Personliga åtkomsttoken som gått ut visas inte på sidan Mina kontoinställningar.
Du kan ändra giltighetstiden för en personliga åtkomsttoken med alternativet refresh_token.absolute_expiry_in_seconds och kommandot tsm configuration set
.
Återkalla en personlig åtkomsttoken
Som administratör kan du även återkalla en användares personliga åtkomsttoken. En användare kan också återkalla sina egna personliga åtkomsttoken på sidan Mina kontoinställningar med hjälp av stegen som beskrivs i ämnet Hantera ditt konto(Länken öppnas i ett nytt fönster) i användarhjälpen för Tableau.
Logga in på Tableau Server som en server- eller webbplatsadministratör.
Leta reda på användaren vars personliga åtkomsttoken du vill återkalla. Läs mer om hur du navigerar på serveradministrationssidor och hittar användare i Visa, hantera eller ta bort användare.
Klicka på användarens namn för att öppna deras profilsida.
På användarens profilsida klickar du på fliken Inställningar.
I avsnittet Personliga åtkomsttoken identifierar du den personliga åtkomsttoken som du vill återkalla och klickar sedan på Återkalla.
Klicka på Ta bort i dialogrutan.
Spåra och övervaka användningen av personliga åtkomsttoken
Alla åtgärder relaterade till personlig åtkomsttoken loggas i tjänsten Programserver för Tableau Server (vizportal). Filtrera loggposter som innehåller strängen RefreshTokenService
för att hitta aktiviteter relaterade aktiviteter till den personliga åtkomsttoken.
En personlig åtkomsttoken lagras i detta format: Token Guid: <TokenID(Guid)>
, där TokenID är en base64-kodad sträng. Det hemlig värdet inkluderas inte i loggarna.
Till exempel:
Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
.
Följande är ett exempel på fragment av två loggposter. Den första posten visar hur en användare mappas till en personlig åtkomsttoken. Den andra posten visar en uppdateringshändelse för samma personliga åtkomsttoken:
RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700) RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
Filtrera loggposter som innehåller strängen OAuthController
för att hitta nyckelåtgärder.