I token di accesso personali (PAT) consentono agli utenti di Tableau Server di creare token di autenticazione di lunga durata. I token consentono agli utenti di automatizzare operazioni con le API REST senza credenziali a livello di codice o accesso interattivo. Per maggiori informazioni sull'utilizzo dei token di accesso personali con le API REST di Tableau, consulta Accesso e disconnessione (autenticazione)(Il collegamento viene aperto in una nuova finestra).

I token di accesso personali non vengono utilizzati per l'accesso generico del client all'interfaccia web di Tableau Server o a TSM. Per utilizzare i token di accesso personali con tabcmd, installa la nuova versione di tabcmd da https://tableau.github.io/tabcmd/.

Consigliamo di creare token di accesso personali per gli script e le attività automatizzati creati con l'API REST di Tableau:

  • Migliorare la sicurezza: i token di accesso personali riducono il rischio di compromissione delle credenziali. Se Tableau Server utilizza Active Directory o LDAP come archivio di identità, puoi ridurre l'ambito di compromissione delle credenziali utilizzando un token di accesso personale per le attività automatizzate. In questo caso, l'utilizzo di token specifici dell'applicazione non espone il sistema più ampio al rischio in caso di compromissione dei file di script o dell'automazione. Se un token viene compromesso o utilizzato in un processo di automazione che non va a buon fine o che pone un rischio, puoi semplicemente revocare il token. Non è necessario modificare o revocare le credenziali dell'utente.
  • Controllare e monitorare: come amministratore, puoi esaminare i log di Tableau Server per tenere traccia dell'uso di un token, delle sessioni che vengono create da tale token e delle azioni eseguite in tali sessioni. Oltre a ciò, puoi determinare se una sessione e le attività correlate sono state eseguite da una sessione generata da un token o da un accesso interattivo.
  • Gestire l'automazione: puoi creare un token per ogni script o attività eseguita. In questo modo puoi riesaminare le attività di automazione nell'organizzazione. Inoltre, utilizzando i token, la reimpostazione delle password o le modifiche ai metadati (nome utente, e-mail ecc.) negli account utente non interrompono l'automazione, come succederebbe invece se le credenziali fossero a livello di codice negli script.

Informazioni sui token di accesso personali

Quando crei un token, viene apposto un hash e il token viene archiviato nel repository. Una volta apposto l'hash e archiviato il token, quello originale viene eliminato. Agli utenti viene chiesto di copiare il token in un luogo sicuro e di gestirlo come farebbero per una password. Quando il token viene utilizzato in fase di esecuzione, Tableau Server appone un hash sul token presentato dall'utente e lo confronta con il valore con hash archiviato nel repository. Se viene stabilita una corrispondenza, la sessione autenticata viene avviata.

Nota: è richiesto un token di accesso personale per ogni richiesta simultanea. Eseguire nuovamente l'accesso con lo stesso token di accesso, nello stesso sito o in un sito diverso, interromperà la sessione precedente e comporterà un errore di autenticazione.

Nel contesto dell'autorizzazione, Tableau Server gestisce la sessione autenticata con le stesse autorizzazioni e diritti di cui gode l'utente come utente interattivo.

Rappresentazione dell'amministratore del server

A partire dalla versione 2021.1, puoi abilitare la rappresentazione dei token di accesso personali di Tableau Server. In questo scenario, i token di accesso creati dagli amministratori del server possono essere utilizzati per la rappresentazione dell'utente(Il collegamento viene aperto in una nuova finestra) quando si utilizza l'API REST di Tableau Server. La rappresentazione è utile negli scenari in cui incorpori contenuto di Tableau specifico dell'utente finale all'interno della tua applicazione. In particolare, i token di accesso di rappresentazione consentono di creare applicazioni che eseguono query come un determinato utente e recuperano il contenuto per cui l'utente è autorizzato all'interno di Tableau Server, senza inserire nel codice le credenziali.

Per maggiori informazioni, consulta la sezione Rappresentazione di un utente(Il collegamento viene aperto in una nuova finestra) nella Guida dell'API REST di Tableau.

Abilitare Tableau Server per accettare i token di accesso personali durante le richieste di accesso con rappresentazione

Per impostazione predefinita, Tableau Server non consente la rappresentazione per i token di accesso personali dell'amministratore del server. Devi abilitare l'impostazione a livello di server eseguendo questi comandi.

tsm authentication pat-impersonation enable [global options]

tsm pending-changes apply

Importante: dopo aver eseguito i comandi, è possibile utilizzare tutti i token di accesso personali creati dagli amministratori del server (inclusi i token preesistenti) per la rappresentazione. Per revocare in blocco tutti i token di accesso personali esistenti dell'amministratore del server, puoi utilizzare l'URI DELETE /api/{api-version}/auth/serverAdminAccessTokens. Consulta la sezione Rappresentazione di un utente(Il collegamento viene aperto in una nuova finestra) nella Guida dell'API REST di Tableau.

Creare token

Gli utenti con account su Tableau Server possono creare, gestire e revocare token di accesso personali dalla pagina Impostazioni account. Per maggiori informazioni, consulta Gestire le impostazioni dell'account(Il collegamento viene aperto in una nuova finestra) nella Guida di Tableau Desktop e Web authoring.

Gli utenti devono creare dei token di accesso personali. Gli amministratori non possono creare token per gli utenti.

Scadenza del token

I token di accesso personali scadranno se non vengono utilizzati per 15 giorni consecutivi. Se viene utilizzato più frequentemente che una volta ogni 15 giorni, un token di accesso scadrà dopo un anno. Dopo un anno, è necessario creare un nuovo token. I token di accesso personali scaduti non verranno visualizzati nella pagina Impostazioni account.

Puoi modificare l'intervallo di tempo per la scadenza del token di aggiornamento utilizzando l'opzione refresh_token.absolute_expiry_in_seconds con il comando tsm configuration set.

Revocare i token degli utenti

Gli utenti possono revocare i propri token dalla pagina Impostazioni account. Come amministratore, anche tu puoi revocare i token di accesso personali.

  1. Accedere all'area di amministrazione di Tableau Server come amministratore del sito o del server.
  2. Individua l'utente a cui desideri revocare il token. Per maggiori informazioni sulla navigazione delle pagine di amministratore del server e sull'individuazione degli utenti, consulta Visualizzare, gestire o rimuovere gli utenti.
  3. Fai clic sul nome dell'utente per aprire la relativa pagina del profilo.
  4. Nella pagina del profilo utente, seleziona la scheda Impostazioni.
  5. Nella sezione Token di accesso personali, identifica il token che desideri revocare e fai clic su Revoca.
  6. Nella finestra popup di conferma, fai clic su Elimina.

Tracciare e monitorare l'utilizzo

Tutte le azioni correlate ai token vengono registrate nel servizio Server applicazioni di Tableau Server (vizportal).

Per individuare le attività correlate ai token, filtra le voci di log contenenti la stringa RefreshTokenService.

I token vengono archiviati in questo formato:Token Guid: <TokenID(Guid)>, dove TokenID è una stringa con codifica Base64. Il segreto del token non è incluso nei registri. Ad esempio:

Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700).

Di seguito è riportato un frammento di esempio di due voci di log. Il primo mostra il modo in cui un utente viene mappato a un token. Il secondo mostra un evento di aggiornamento per lo stesso token:

RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)

Per individuare le operazioni principali, filtra le voci di log contenenti la stringa OAuthController.

Grazie per il tuo feedback.