Jetons d’accès personnels
Les jetons d’accès personnels (PAT) vous permettent, à vous et à vos utilisateurs de Tableau Server, de créer des jetons d’authentification de longue durée. Vous-même et vos utilisateurs pourrez ainsi vous connecter à l’API REST de Tableau sans avoir besoin d’informations d’identification codées en dur (c’est-à-dire, nom d’utilisateur et mot de passe) ou de connexion interactive. Pour plus d’informations sur l’utilisation des PAT avec l’API REST de Tableau, consultez Connexion et déconnexion (authentification)(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau.
Nous recommandons de créer des PAT pour les scripts et tâches automatisés créés avec l’API REST de Tableau :
Amélioration de la sécurité : les jetons d’accès personnels réduisent les risques dans le cas où les informations d’identification sont compromises. Si Tableau Server utilise Active Directory ou LDAP comme magasin d’identités, vous pouvez réduire l’impact pour les informations d’identification en utilisant un jeton d’accès personnel pour les tâches automatisées. Si un jeton est compromis ou est utilisé dans une automatisation défaillante ou présentant un risque, vous pouvez simplement révoquer le jeton. Vous n’avez pas besoin de modifier ou de révoquer les informations d’identification de l’utilisateur.
Audit et suivi : en tant qu’administrateur, vous pouvez consulter les journaux de Tableau Server pour savoir quand un jeton est utilisé, quelles sessions sont créées à partir de ce jeton et quelles actions sont effectuées dans ces sessions. Vous pouvez également déterminer si une session et les tâches associées ont été exécutées depuis une session générée à partir d’un jeton ou d’une connexion interactive.
Gestion de l’automatisation : un jeton peut être créé pour chaque script ou tâche exécutée. Cela vous permet de cloisonner et de passer en revue les tâches d’automatisation au sein de votre entreprise. De plus, en utilisant des jetons, la réinitialisation des mots de passe ou les modifications de métadonnées (nom d’utilisateur, e-mail, etc.) sur les comptes utilisateur ne perturberont pas l’automatisation comme ce serait le cas lorsque les informations d’identification étaient codées en dur dans les scripts.
Remarques :
- Pour utiliser des PAT avec tabcmd, installez la version compatible de tabcmd depuis https://tableau.github.io/tabcmd/.
- Les PAT ne sont pas utilisés pour l’accès client générique à l’UI Web de Tableau Server ou TSM.
- La configuration de l’expiration des PAT et la désactivation ou la limitation de l’accès des utilisateurs à la création de PAT depuis l’interface utilisateur sont disponibles uniquement dans Tableau Cloud.
- Les PAT sont automatiquement révoqués lorsqu’un méthode d’authentification de l’utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) est changé.
Comprendre les jetons d’accès personnels
Lorsqu’un jeton d’accès personnel (PAT) est créé, il est haché puis stocké dans le référentiel. Une fois le PAT haché et stocké, le secret PAT est affiché une fois à l’attention de l’utilisateur, puis n’est plus accessible après que l’utilisateur a fermé la boîte de dialogue. Les utilisateurs sont donc invités à copier le PAT dans un endroit sûr et à le manipuler comme s’il s’agissait d’un mot de passe. Lorsque le jeton est utilisé au moment de l’exécution, Tableau Servercompare le jeton présenté par l’utilisateur à la valeur de hachage stockée dans le référentiel. Si une correspondance est établie, une session authentifiée est lancée.
Dans le cadre de l’autorisation, la session Tableau Server qui est authentifiée avec un PAT a le même accès et les mêmes privilèges que le propriétaire du PAT.
Remarque : les utilisateurs ne peuvent pas demander des sessions Tableau Server simultanées avec un PAT. Une erreur d’authentification se produit et la session précédente sera interrompue si l’utilisateur se reconnecte avec le même jeton d’accès, que ce soit sur le même site ou sur un site différent.
Emprunt d’identité de l’administrateur de serveur
À partir de la version 2021.1, vous pouvez activer l’emprunt d’identité pour les PAT Tableau Server. Dans ce cas, les PAT créés par les administrateurs de serveur peuvent être utilisés pour l’emprunt d’identité des utilisateurs(Le lien s’ouvre dans une nouvelle fenêtre) lors de l’utilisation de l’API REST de Tableau. L’emprunt d’identité est utile dans les scénarios où vous intégrez le contenu Tableau spécifique à l’utilisateur final dans votre application. Plus précisément, les PAT d’emprunt d’identité vous permettent de créer des applications qui envoient des demandes en tant qu’utilisateur donné et de récupérer le contenu auquel l’utilisateur est autorisé à accéder dans Tableau Server, sans codage dur des informations d’identification.
Pour plus d’informations, consultez Emprunt d’identité d’un utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau.
Permettre à Tableau Server d’accepter des jetons d’accès personnels lors des demandes de connexion avec emprunt d’identité
Par défaut, Tableau Server n’autorise pas l’emprunt d’identité pour les PAT de l’administrateur de serveur. Vous devez activer le paramètre à l’échelle du serveur en exécutant les commandes suivantes.
tsm authentication pat-impersonation enable [global options]
tsm pending-changes apply
Important : une fois que vous avez exécuté les commandes, tous les PAT créés par les administrateurs de serveur (y compris les PAT préexistants) peuvent être utilisés pour l’emprunt d’identité. Pour révoquer en bloc tous les PAT existants de l’administrateur de serveur, vous pouvez publier l’URI DELETE /api/{api-version}/auth/serverAdminAccessTokens. Pour plus d’informations, consultez Emprunt d’identité d’un utilisateur(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de l’API REST de Tableau.
Créer des jetons d’accès personnels
Les utilisateurs doivent créer leurs propres PAT. Les administrateurs ne peuvent pas créer de PAT pour les utilisateurs.
Les utilisateurs ayant des comptes sur Tableau Server peuvent créer, gérer et révoquer des jetons d’accès personnels dans la page Paramètres de Mon compte. Pour plus d’informations, consultez la section Gérer les paramètres de votre compte(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide utilisateur de Tableau.
Remarque : un utilisateur peut avoir jusqu’à 10 PAT.
Modifier l’expiration des jetons d’accès personnels
Les jetons d’accès personnel (PAT) expirent s’ils ne sont pas utilisés après 15 jours consécutifs. S’ils sont utilisés plus fréquemment que tous les 15 jours, ils expirent après 1 an. Au bout d’un an, de nouveaux PAT doivent être créés. Les PAT expirés ne s’affichent pas dans la page Paramètres de Mon compte.
Vous pouvez modifier la durée d’expiration des PAT à l’aide de l’option refresh_token.absolute_expiry_in_seconds avec la commande tsm configuration set.
Révoquer un jeton d’accès personnel
En tant qu’administrateur, vous pouvez également révoquer le PAT d’un utilisateur. Un utilisateur peut aussi révoquer ses propres jetons d’accès personnels (PAT) dans la page Paramètres de Mon compte en suivant la procédure décrite dans rubrique Gérer votre compte(Le lien s’ouvre dans une nouvelle fenêtre) de l’aide utilisateur de Tableau.
Connectez-vous à Tableau Server en tant qu’administrateur de serveur ou de site.
Localisez l’utilisateur dont vous souhaitez révoquer le PAT. Pour plus d’informations sur la navigation dans les pages d’administration du serveur et la localisation des utilisateurs, consultez Afficher, gérer ou supprimer des utilisateurs.
Cliquez sur le nom de l’utilisateur pour ouvrir sa page de profil.
Dans la page de profil de l’utilisateur, sélectionnez l’onglet Paramètres.
Dans la section Jetons d’accès personnels, identifiez le PAT que vous voulez révoquer, puis cliquez sur Révoquer.
Dans la boîte de dialogue, cliquez sur Supprimer.
Suivre et surveiller l’utilisation des jetons d’accès personnels
Toutes les actions liées aux jetons d’accès personnels (PAT) sont enregistrées dans le service Serveur d’applications Tableau Server (vizportal). Pour localiser les activités liées aux PAT, filtrez les entrées du journal contenant la chaîne RefreshTokenService.
Les PAT sont stockés dans ce format : Token Guid: <TokenID(Guid)>, où TokenID est une chaîne codée en base64. La valeur du secret n’est pas incluse dans les journaux.
Par exemple :
Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700).
Ce qui suit est un exemple d’extrait de deux entrées de journal. La première entrée montre comment un utilisateur est mappé à un PAT. La deuxième entrée affiche un événement d’actualisation pour le même PAT :
RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700) RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
Pour localiser les opérations clés, filtrez les entrées du journal contenant la chaîne OAuthController.