Guida di Tableau Server su Windows

I token di accesso personali (PAT) consentono agli utenti di Tableau Server di creare token di autenticazione di lunga durata. I PAT consentono a te e ai tuoi utenti di accedere all’API REST di Tableau senza richiedere credenziali a livello di codice (nome utente e password) o l’accesso interattivo. Per maggiori informazioni sull’utilizzo dei PAT con l’API REST di Tableau Accesso e disconnessione (autenticazione)(Il collegamento viene aperto in una nuova finestra) nella Guida dell’API REST di Tableau.

È consigliabile creare PAT per gli script e le attività automatizzati creati con l’API REST di Tableau:

• Migliorare la sicurezza: i token di accesso personali riducono il rischio di compromissione delle credenziali. Se Tableau Server utilizza Active Directory o LDAP come archivio identità, puoi ridurre l’impatto della compromissione delle credenziali utilizzando un token di accesso personale per le attività automatizzate. Se un token viene compromesso o utilizzato in un processo di automazione che non va a buon fine o che pone un rischio, puoi semplicemente revocare il token. Non è necessario modificare o revocare le credenziali dell’utente.

• Controllare e monitorare: come amministratore, puoi esaminare i log di Tableau Server per tenere traccia dell’uso di un token, delle sessioni che vengono create da tale token e delle azioni eseguite in tali sessioni. Oltre a ciò, puoi determinare se una sessione e le attività correlate sono state eseguite da una sessione generata da un token o da un accesso interattivo.

• Gestire l’automazione: puoi creare un token per ogni script o attività eseguita. In questo modo puoi riesaminare le attività di automazione nell’organizzazione. Inoltre, utilizzando i token, la reimpostazione delle password o le modifiche ai metadati (nome utente, e-mail ecc.) negli account utente non interrompono l’automazione, come succederebbe invece se le credenziali fossero a livello di codice negli script.

Informazioni sui token di accesso personali

Quando crei un token di accesso personale (PAT), viene apposto un hash e il token viene archiviato nel repository. Dopo che il PAT è stato sottoposto ad hashing e archiviato, il segreto PAT viene mostrato una volta all’utente e quindi non è più accessibile dopo che l’utente ha chiuso la finestra di dialogo. Agli utenti viene quindi richiesto di copiare il PAT in un luogo sicuro e di gestirlo come farebbero per una password. Quando il PAT viene utilizzato in fase di esecuzione, Tableau Server confronta il PAT presentato dall’utente con il valore con hash archiviato nel repository. Se viene stabilita una corrispondenza, la sessione autenticata viene avviata.

Nell’ambito dell’autorizzazione, la sessione Tableau Server autenticata con un PAT ha gli stessi accessi e privilegi del proprietario del PAT.

Nota: gli utenti non possono richiedere sessioni Tableau Server simultanee con un PAT. Eseguire nuovamente l’accesso con lo stesso PAT, nello stesso sito o in un sito diverso, interromperà la sessione precedente e comporterà un errore di autenticazione.

Rappresentazione dell’amministratore del server

A partire dalla versione 2021.1, puoi abilitare la rappresentazione dei PAT di Tableau Server. In questo scenario, i PAT creati dagli amministratori del server possono essere utilizzati per la rappresentazione dell’utente(Il collegamento viene aperto in una nuova finestra) quando si utilizza l’API REST di Tableau. La rappresentazione è utile negli scenari in cui incorpori contenuto di Tableau specifico dell’utente finale all’interno della tua applicazione. In particolare, i PAT di rappresentazione consentono di creare applicazioni che eseguono query come un determinato utente e recuperano il contenuto per cui l’utente è autorizzato all’interno di Tableau Server, senza inserire nel codice le credenziali.

Per maggiori informazioni, consulta Rappresentazione di un utente(Il collegamento viene aperto in una nuova finestra) nella Guida dell’API REST di Tableau.

Abilitare Tableau Server per accettare i token di accesso personali durante le richieste di accesso con rappresentazione

Per impostazione predefinita, Tableau Server non consente la rappresentazione per i PAT dell’amministratore del server. Devi abilitare l’impostazione a livello di server eseguendo questi comandi.

tsm authentication pat-impersonation enable [global options]

tsm pending-changes apply

Importante: dopo aver eseguito i comandi, è possibile utilizzare tutti i PAT creati dagli amministratori del server (inclusi i PAT preesistenti) per la rappresentazione. Per revocare in blocco tutti i PAT esistenti dell’amministratore del server, puoi utilizzare l’URI DELETE /api/{api-version}/auth/serverAdminAccessTokens. Per maggiori informazioni, consulta Rappresentazione di un utente(Il collegamento viene aperto in una nuova finestra) nella Guida dell’API REST di Tableau.

Creare i token di accesso personali

Gli utenti devono creare i propri PAT. Gli amministratori non possono creare i PAT per gli utenti.

Gli utenti con account su Tableau Server possono creare, gestire e revocare i token di accesso personali (PAT) dalla pagina Impostazioni account. Per maggiori informazioni, consulta Gestire le impostazioni dell’account(Il collegamento viene aperto in una nuova finestra) nella Guida per l’utente di Tableau.

Nota: un utente può avere fino a 10 PAT.

Modificare la scadenza dei token di accesso personali

I token di accesso personali (PAT) scadono se non vengono utilizzati per 15 giorni consecutivi. Se vengono utilizzati più frequentemente che una volta ogni 15 giorni, i PAT scadono dopo un anno. Dopo un anno, devono essere creati nuovi PAT. I PAT scaduti non verranno visualizzati nella pagina Impostazioni account.

Puoi modificare il periodo di tempo per la scadenza dei PAT utilizzando l’opzione refresh_token.absolute_expiry_in_seconds con il comando tsm configuration set.

Revocare un token di accesso personale

In qualità di amministratore, puoi anche revocare il PAT di un utente. Un utente può anche revocare i propri token di accesso personali (PAT) nella pagina Impostazioni account utilizzando la procedura descritta nell’argomento Gestire le impostazioni dell’account(Il collegamento viene aperto in una nuova finestra) della Guida per l’utente di Tableau.

1. Accedi a Tableau Server come amministratore del server o del sito.

2. Individua l’utente per cui desideri revocare il PAT. Per maggiori informazioni sulla navigazione delle pagine di amministratore del server e sull’individuazione degli utenti, consulta Visualizzare, gestire o rimuovere gli utenti.

3. Fai clic sul nome dell’utente per aprire la relativa pagina del profilo.

4. Nella pagina del profilo utente, seleziona la scheda Impostazioni.

5. Nella sezione Token di accesso personali identifica il PAT che desideri revocare, quindi fai clic su Revoca.

6. Nella finestra di dialogo fai clic su Elimina.

Tracciare e monitorare l’utilizzo dei token di accesso personali

Tutte le azioni correlate ai token di accesso personali (PAT) vengono registrate nel servizio Server applicazioni di Tableau Server (vizportal). Per individuare le attività correlate ai PAT, filtra le voci di log contenenti la stringa RefreshTokenService.

Un PAT è archiviato in questo formato: Token Guid: <TokenID(Guid)>, dove TokenID è una stringa con codifica Base64. Il valore del segreto non è incluso nei log.

Ad esempio:

Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700).

Di seguito è riportato un frammento di esempio di due voci di log. La prima voce mostra come un utente è associato a un PAT. La seconda voce mostra un evento di aggiornamento per lo stesso PAT:

RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)

Per individuare le operazioni principali, filtra le voci di log contenenti la stringa OAuthController.