PAT(개인용 액세스 토큰)은 Tableau Server 사용자에게 장시간 유지되는 인증 토큰을 만들 수 있는 기능을 제공합니다. 이러한 토큰을 사용하면 사용자가 자격 증명을 하드 코딩하거나 대화형 로그인을 수행할 필요 없이 Tableau REST API를 사용하여 자동화를 실행할 수 있습니다. Tableau REST API에서 개인용 액세스 토큰을 사용하는 것에 대한 자세한 내용은 로그인 및 로그아웃(인증)(링크가 새 창에서 열림)을 참조하십시오.
개인용 액세스 토큰은 Tableau Server 웹 인터페이스 또는 TSM에 대한 범용 클라이언트 액세스에 사용되지 않습니다. tabcmd에서 개인용 액세스 토큰을 사용하려면 https://tableau.github.io/tabcmd/에서 tabcmd의 새 버전을 설치하십시오.
Tableau REST API를 사용하여 만든 자동화된 스크립트 및 작업용으로 개인용 액세스 토큰을 만드는 것이 좋습니다.
- 보안 향상: 개인용 액세스 토큰을 사용하면 자격 증명이 손상된 경우 위험을 줄일 수 있습니다. Tableau Server가 Active Directory 또는 LDAP를 ID 저장소로 사용하는 경우 자동화된 작업에 개인용 액세스 토큰을 사용하여 자격 증명 손상의 범위를 줄일 수 있습니다. 이 경우 응용 프로그램별 토큰을 사용하면 자동화 또는 스크립트 파일이 손상된 경우에도 다른 시스템은 노출되지 않습니다. 토큰이 손상된 경우 또는 실패하거나 위험을 노출하는 자동화에 사용된 경우 해당 토큰만 해지하면 됩니다. 사용자의 자격 증명을 순환시키거나 해지할 필요가 없습니다.
- 감사 및 추적: 관리자는 Tableau Server 로그를 검토하여 토큰이 사용된 시간, 해당 토큰에서 만들어진 세션, 해당 세션에서 수행된 동작을 추적할 수 있습니다. 또한 세션 및 관련 작업이 수행된 세션이 토큰에서 생성되었는지, 아니면 대화형 로그인에서 생성되었는지를 확인할 수 있습니다.
- 자동화 관리: 실행되는 각 스크립트 또는 작업에 대해 토큰을 만들 수 있습니다. 이렇게 하면 조직 전체에서 자동화 작업을 격리하고 검토할 수 있습니다. 또한 자격 증명이 스크립트에 하드 코딩되는 경우와 달리 토큰을 사용하면 사용자 계정의 암호 재설정 또는 메타데이터 변경(사용자 이름, 이메일 등)이 자동화를 중단시키지 않습니다.
개인용 액세스 토큰 이해
토큰이 만들어질 때 토큰은 해시 처리되어 리포지토리에 저장됩니다. 토큰이 해시 처리되고 저장된 후 원래 토큰은 삭제됩니다. 사용자는 토큰을 안전한 장소에 복사하고 암호와 마찬가지로 처리하라는 지시를 받습니다. 런타임에 토큰이 사용될 때 Tableau Server는 사용자가 제공한 토큰을 해시 처리하고 리포지토리에 저장된 해시 처리된 값과 비교합니다. 일치하는 경우 인증된 세션이 시작됩니다.
참고: 동시 요청당 1개의 개인 액세스 토큰이 필요합니다. 동일한 액세스 토큰으로 다시 로그인하면 동일한 사이트든 다른 사이트든 관계없이 이전 세션이 종료되고 인증 오류가 발생합니다.
권한 부여의 맥락에서, Tableau Server는 사용자가 대화형 사용자일 때 갖는 것과 동일한 사용 권한 및 권리를 사용하여 인증된 세션을 처리합니다.
서버 관리자 가장
버전 2021.1부터 Tableau Server 개인용 액세스 토큰 가장을 사용할 수 있습니다. 이 시나리오에서는 Tableau Server REST API를 사용할 때 서버 관리자가 만든 액세스 토큰을 사용자 가장(링크가 새 창에서 열림)에 사용할 수 있습니다. 가장은 응용 프로그램 내에 최종 사용자별 Tableau 콘텐츠를 포함하는 시나리오에 유용합니다. 구체적으로, 가장 액세스 토큰을 사용하면 자격 증명을 하드 코딩하지 않고도 지정된 사용자로 쿼리하고 Tableau Server 내에서 사용자에게 권한이 부여된 콘텐츠를 검색하는 응용 프로그램을 작성할 수 있습니다.
자세한 내용은 Tableau REST API 도움말에서 사용자 가장(영문)(링크가 새 창에서 열림) 섹션을 참조하십시오.
가장 로그인 요청 중에 Tableau Server가 개인용 액세스 토큰을 수락하도록 설정
기본적으로 Tableau Server는 서버 관리자 개인용 액세스 토큰에 대한 가장을 허용하지 않습니다. 다음 명령을 실행하여 서버 전체 설정을 사용하도록 설정해야 합니다.
tsm authentication pat-impersonation enable [global options]
tsm pending-changes apply
중요: 명령을 실행한 후 서버 관리자가 만든 모든 개인용 액세스 토큰(기존 토큰 포함)을 가장에 사용할 수 있습니다. 기존의 모든 서버 관리자 개인용 액세스 토큰을 일괄 해지하려면 DELETE /api/{api-version}/auth/serverAdminAccessTokens URI를 게시할 수 있습니다. 자세한 내용은 Tableau REST API 도움말에서 사용자 가장(영문)(링크가 새 창에서 열림) 섹션을 참조하십시오.
토큰 만들기
Tableau Server에 계정이 있는 사용자는 내 계정 설정 페이지에서 개인용 액세스 토큰을 만들고, 관리하고, 해지할 수 있습니다. 자세한 내용은 Tableau Desktop 및 웹 작성 도움말에서 계정 설정 관리(링크가 새 창에서 열림)를 참조하십시오.
사용자는 고유한 개인용 액세스 토큰을 만들어야 합니다. 관리자가 사용자를 위한 토큰을 만들 수 없습니다.
토큰 만료
개인용 액세스 토큰은 연속 15일 동안 사용하지 않으면 만료됩니다. 사용 빈도가 15일보다 짧은 경우 액세스 토큰은 1년 후에 만료됩니다. 1년 후에는 새 토큰을 만들어야 합니다. 만료된 개인용 액세스 토큰은 내 계정 설정 페이지에 표시되지 않습니다.
새로 고침 토큰 만료 시간 범위는 tsm configuration set 명령에서 refresh_token.absolute_expiry_in_seconds 옵션을 사용하여 변경할 수 있습니다.
사용자의 토큰 해지
사용자는 내 계정 설정 페이지에서 자신의 토큰을 해지할 수 있습니다. 관리자도 개인용 액세스 토큰을 해지할 수 있습니다.
- 사이트 관리자 또는 서버 관리자로 Tableau Server 관리 영역에 로그인합니다.
- 해지하려는 토큰을 소유한 사용자를 찾습니다. 서버 관리 페이지 탐색과 사용자 찾기에 대한 자세한 내용은 사용자 보기, 관리 또는 제거를 참조하십시오.
- 사용자의 이름을 클릭하여 사용자 프로필 페이지를 엽니다.
- 사용자의 프로필 페이지에서 설정 탭을 클릭합니다.
- 개인용 액세스 토큰 섹션에서 해지하려는 토큰을 식별한 다음 해지를 클릭합니다.
- 확인 팝업에서 삭제를 클릭합니다.
사용량 추적 및 모니터링
모든 토큰 관련 작업은 Tableau Server 응용 프로그램 서버(vizportal) 서비스에 기록됩니다.
토큰 관련 작업을 찾으려면 RefreshTokenService 문자열을 포함하는 로그 항목을 필터링합니다.
토큰은 Token Guid: <TokenID(Guid)> 형식으로 저장됩니다. 여기서, TokenID는 base64로 인코딩된 문자열입니다. 토큰 암호는 로그에 포함되지 않습니다. 예를 들면 다음과 같습니다.
Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700).
다음은 두 로그 항목으로 구성된 예제 조각입니다. 첫 번째 항목은 사용자가 토큰에 매핑된 방법을 보여 줍니다. 두 번째 항목은 동일한 토큰의 새로 고침 이벤트를 보여 줍니다.
RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700) RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
키 작업을 찾으려면 OAuthController 문자열을 포함하는 로그 항목을 필터링합니다.