Los tokens de acceso personal (PAT) proporcionan a los usuarios de Tableau Server la capacidad de crear tokens de autenticación de larga duración. Los tokens permiten a los usuarios ejecutar la automatización con las API REST de Tableau sin necesidad de disponer de credenciales de codificación rígida o de un inicio de sesión interactivo. Para obtener más información sobre el uso de tokens de acceso personal con las API REST de Tableau, visite la sección Iniciar y cerrar sesión (autenticación)(El enlace se abre en una ventana nueva).

Los tokens de acceso personal no se utilizan para el acceso genérico del cliente a la interfaz web de Tableau Server o TSM. Para usar tokens de acceso personal con tabcmd, instale la nueva versión de tabcmd desde https://tableau.github.io/tabcmd/.

Recomendamos crear tokens de acceso personal para scripts automatizados y tareas que se crean con la API REST de Tableau:

• Mejorar la seguridad: los tokens de acceso personal reducen el riesgo en caso de que las credenciales ya no sean seguras. En el caso de que Tableau Server utilice Active Directory o LDAP como almacén de identidades, puede reducir el alcance del riesgo de credenciales con no seguras un token de acceso personal para tareas automatizadas. En este caso, el uso de un token específico de la aplicación no expone el sistema más amplio en el caso de que la automatización o los archivos de script se vean afectados. Si un token se ve afectado o se utiliza en una automatización que está fallando o que representa un riesgo, puede simplemente revocar el token. No es necesario rotar ni revocar las credenciales del usuario.
• Auditoría y seguimiento: como administrador, puede revisar los registros de Tableau Server para hacer un seguimiento de cuándo se utiliza un token, qué sesiones se crean a partir de ese token y las acciones que se realizan en esas sesiones. También puede determinar si una sesión y las tareas relacionadas se realizaron a partir de una sesión que creada a partir de un token o de un inicio de sesión interactivo.
• Gestión de la automatización: se puede crear un token para cada script o tarea que se ejecute. Esto permite almacenar y revisar las tareas de automatización en toda la organización. Además, al utilizar tokens, los restablecimientos de contraseñas o los cambios de metadatos (nombre de usuario, correo electrónico, etc.) en las cuentas de usuario no interrumpirán la automatización como ocurriría con las credenciales codificadas en los scripts.

Comprensión de los tokens de acceso personal

Cuando se crea un token, se protege mediante hash y se almacena en el repositorio. Después de proteger mediante hash y almacenar el token, el original se borra. Se ruega a los usuarios que copien el token en un lugar seguro y lo traten como si fuera una contraseña. Cuando el token se usa en tiempo de ejecución, Tableau Server protege mediante hash el token presentado por el usuario y lo compara con el valor protegido mediante hash almacenado en el repositorio. Si coincide, se inicia una sesión autenticada.

Nota: Se requiere un token de acceso personal por solicitud simultánea. Iniciar sesión nuevamente con el mismo token de acceso, ya sea en el mismo sitio o en un sitio diferente, finalizará la sesión anterior y dará como resultado un error de autenticación.

En el contexto de la autorización, Tableau Server maneja la sesión autenticada con los mismos permisos y derechos que el usuario tiene como usuario interactivo.

Suplantación del administrador de servidor

A partir de la versión 2021.1, puede habilitar la suplantación del token de acceso personal de Tableau Server. En este caso, los tokens de acceso creados por los administradores del servidor se pueden usar para la suplantación de usuarios(El enlace se abre en una ventana nueva) al utilizar la API de REST de Tableau Server. La suplantación es útil en casos en los que está incrustando contenido de Tableau específico del usuario final dentro de la aplicación. En concreto, los tokens de acceso de suplantación le permiten crear aplicaciones que consultan como un usuario determinado y recuperan contenido para el que el usuario está autorizado en Tableau Server, sin codificar de forma rígida ninguna credencial.

Para obtener más información, consulte la sección de ayuda de la API de REST de Tableau, Suplantación de un usuario(El enlace se abre en una ventana nueva).

Habilite Tableau Server para aceptar tokens de acceso personal durante las solicitudes de inicio de sesión de suplantación

De forma predeterminada, Tableau Server no permite la suplantación de tokens de acceso personal de administradores del servidor. Debe habilitar la opción para todo el servidor ejecutando los siguientes comandos.

tsm authentication pat-impersonation enable [global options]

tsm pending-changes apply

Importante: Después de ejecutar los comandos, todos los tokens de acceso personal creados por los administradores del servidor (incluidos los tokens predeterminados) se pueden usar para la suplantación. Para revocar de forma masiva todos los tokens de acceso personal de los administradores del servidor existentes, puede publicar la URI DELETE /api/{api-version}/auth/serverAdminAccessTokens. Consulte la sección de ayuda de la API de REST de Tableau, Suplantación de un usuario(El enlace se abre en una ventana nueva).

Creación de tokens

Los usuarios con cuentas en Tableau Server pueden crear, administrar y revocar tokens de acceso personal en la página Configuración de mi cuenta. Consulte Administrar la configuración de su cuenta(El enlace se abre en una ventana nueva) en la Ayuda de Tableau Desktop y de la creación web para obtener más información.

Los usuarios deben crear sus propios tokens de acceso personal. Los administradores no pueden crear tokens para los usuarios.

Caducidad de tokens

Los tokens de acceso personal caducarán si no se utilizan al de 15 días consecutivos. Si se usan con más frecuencia que cada 15 días, los token de acceso caducarán al de 1 año. Pasado un año, deberá crear un nuevo token. Los tokens de acceso personal caducados no se mostrarán en la página Configuración de mi cuenta.

Puede cambiar el intervalo de tiempo de caducidad del token de actualización mediante la opción refresh_token.absolute_expiry_in_seconds con el comando tsm configuration set.

Revocación de los tokens de los usuarios

Los usuarios pueden revocar sus propios tokens en la página Mi cuenta. Como administrador, también puede revocar los tokens de acceso personal.

1. Iniciar sesión en el área de administración de Tableau Server como administrador de sitio o de servidor.
2. Localice el usuario cuyo token desea revocar. Para obtener más información acerca de la navegación por las páginas de administración del servidor y la ubicación de los usuarios, consulte Ver, administrar o eliminar usuarios.
3. Haga clic en el nombre del usuario para abrir su página de perfil.
4. En la página del usuario, haga clic en la pestaña Configuración.
5. En la sección Tokens de acceso personal, identifique el token que desea revocar y, a continuación, haga clic en Revocar.
6. En la ventana emergente de verificación, haga clic en Eliminar.

Seguimiento y supervisión del uso

Todas las acciones relacionadas con los tokens se registran en el Servidor de aplicaciones de Tableau Server (vizportal).

Para localizar actividades relacionadas con los tokens, filtre las entradas del registro que contengan la cadena RefreshTokenService.

Los tokens se almacenan en este formato: Token Guid: <TokenID(Guid)>, donde el TokenID es una cadena codificada base64. El secreto del token no está incluido en los registros. Por ejemplo:

Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700).

El siguiente ejemplo pertenece a un fragmento de dos entradas de registro. La primera muestra cómo se asigna un usuario a un token y la segunda muestra un evento de actualización para el mismo token:

RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)

Para localizar las operaciones clave, filtre las entradas de registro que contengan la cadena OAuthController.