개인용 액세스 토큰
PAT(개인용 액세스 토큰)은 관리자 및 Tableau Server 사용자에게 장시간 유지되는 인증 토큰을 만들 수 있는 기능을 제공합니다. PAT를 사용하면 관리자 및 사용자가 하드 코딩된 자격 증명(사용자 이름 및 비밀번호)이나 대화형 로그인 없이 Tableau REST API에 로그인할 수 있습니다. Tableau REST API에서 PAT를 사용하는 방법에 대한 자세한 내용은 Tableau REST API 도움말에서 로그인 및 로그아웃(인증)(링크가 새 창에서 열림)을 참조하십시오.
Tableau REST API를 사용하여 만든 자동화된 스크립트 및 작업용으로 PAT를 만드는 것이 좋습니다.
보안 향상: 개인용 액세스 토큰을 사용하면 자격 증명이 손상된 경우 위험을 줄일 수 있습니다. Tableau Server가 Active Directory 또는 LDAP를 ID 저장소로 사용하는 경우 자동화된 작업에 개인용 액세스 토큰을 사용하여 자격 증명 손상의 영향을 줄일 수 있습니다. 토큰이 손상된 경우 또는 실패하거나 위험을 노출하는 자동화에 사용된 경우 해당 토큰만 해지하면 됩니다. 사용자의 자격 증명을 순환시키거나 해지할 필요가 없습니다.
감사 및 추적: 관리자는 Tableau Server 로그를 검토하여 토큰이 사용된 시간, 해당 토큰에서 만들어진 세션, 해당 세션에서 수행된 동작을 추적할 수 있습니다. 또한 세션 및 관련 작업이 수행된 세션이 토큰에서 생성되었는지, 아니면 대화형 로그인에서 생성되었는지를 확인할 수 있습니다.
자동화 관리: 실행되는 각 스크립트 또는 작업에 대해 토큰을 만들 수 있습니다. 이렇게 하면 조직 전체에서 자동화 작업을 격리하고 검토할 수 있습니다. 또한 자격 증명이 스크립트에 하드 코딩되는 경우와 달리 토큰을 사용하면 사용자 계정의 암호 재설정 또는 메타데이터 변경(사용자 이름, 이메일 등)이 자동화를 중단시키지 않습니다.
참고:
- tabcmd에서 PAT를 사용하려면 https://tableau.github.io/tabcmd/에서 호환되는 버전의 tabcmd를 설치하십시오.
- PAT는 Tableau Server 웹 UI 또는 TSM에 대한 범용 클라이언트 액세스에 사용되지 않습니다.
- PAT 만료 구성 및 UI에서 생성된 PAT에 대한 사용자 액세스를 사용하지 않도록 설정하거나 제한하는 기능은 Tableau Cloud에서만 사용할 수 있습니다.
- 사용자의 인증 방법(링크가 새 창에서 열림)이 변경되면 PAT는 자동으로 해지됩니다.
개인용 액세스 토큰 이해
PAT(개인용 액세스 토큰)가 만들어질 때 토큰은 해시 처리되어 리포지토리에 저장됩니다. PAT가 해시되고 저장되면 PAT 암호가 사용자에게 한 번 표시되고 사용자가 대화 상자를 닫은 후에는 더 이상 액세스할 수 없습니다. 따라서 사용자는 PAT를 안전한 장소에 복사하고 비밀번호와 마찬가지로 처리하라는 지시를 받습니다. 런타임에 PAT가 사용될 때 Tableau Server은 사용자가 제공한 PAT를 리포지토리에 저장된 해시 처리된 값과 비교합니다. 일치하는 경우 인증된 세션이 시작됩니다.
권한 부여의 맥락에서 PAT로 인증된 Tableau Server 세션은 PAT 소유자와 동일한 액세스 및 권한을 갖습니다.
참고: 사용자는 PAT로 동시 Tableau Server 세션을 요청할 수 없습니다. 동일한 PAT로 다시 로그인하면 동일한 사이트든 다른 사이트든 관계없이 이전 세션이 종료되고 인증 오류가 발생합니다.
서버 관리자 가장
버전 2021.1부터 Tableau Server PAT 가장을 사용할 수 있습니다. 이 시나리오에서는 Tableau REST API를 사용할 때 서버 관리자가 만든 PAT를 사용자 가장(링크가 새 창에서 열림)에 사용할 수 있습니다. 가장은 응용 프로그램 내에 최종 사용자별 Tableau 콘텐츠를 포함하는 시나리오에 유용합니다. 구체적으로, 가장 PAT를 사용하면 자격 증명을 하드 코딩하지 않고도 지정된 사용자로 쿼리하고 Tableau Server 내에서 사용자에게 권한이 부여된 콘텐츠를 검색하는 응용 프로그램을 작성할 수 있습니다.
자세한 내용은 Tableau REST API 도움말에서 사용자 가장(링크가 새 창에서 열림)을 참조하십시오.
가장 로그인 요청 중에 Tableau Server가 개인용 액세스 토큰을 수락하도록 설정
기본적으로 Tableau Server는 서버 관리자 PAT에 대한 가장을 허용하지 않습니다. 다음 명령을 실행하여 서버 전체 설정을 사용하도록 설정해야 합니다.
tsm authentication pat-impersonation enable [global options]
tsm pending-changes apply
중요: 명령을 실행한 후 서버 관리자가 만든 모든 PAT(기존 토큰 포함)를 가장에 사용할 수 있습니다. 기존의 모든 서버 관리자 PAT를 일괄 해지하려면 DELETE /api/{api-version}/auth/serverAdminAccessTokens
URI를 게시하면 됩니다. 자세한 내용은 Tableau REST API 도움말에서 사용자 가장(링크가 새 창에서 열림)을 참조하십시오.
개인용 액세스 토큰 만들기
사용자는 본인의 PAT를 직접 만들어야 합니다. 관리자가 사용자를 위해 PAT를 만들 수 없습니다.
Tableau Server에 계정이 있는 사용자는 내 계정 설정 페이지에서 PAT(개인용 액세스 토큰)를 만들고, 관리하고, 해지할 수 있습니다. 자세한 내용은 Tableau 사용자 도움말에서 계정 설정 관리(링크가 새 창에서 열림)를 참조하십시오.
참고: 사용자는 최대 10개의 PAT를 보유할 수 있습니다.
개인용 액세스 토큰 만료 변경
PAT(개인용 액세스 토큰)는 연속 15일 동안 사용하지 않으면 만료됩니다. 사용 빈도가 15일보다 짧은 경우 PAT는 1년 후에 만료됩니다. 1년 후 새 PAT를 만들어야 합니다. 만료된 PAT는 내 계정 설정 페이지에 표시되지 않습니다.
PAT 만료 기간은 tsm configuration set
명령에서 refresh_token.absolute_expiry_in_seconds 옵션을 사용하여 변경할 수 있습니다.
개인용 액세스 토큰 해지
관리자는 사용자의 PAT를 해지할 수 있습니다. 또한 사용자가 Tableau 사용자 도움말의 계정 관리(링크가 새 창에서 열림) 항목에 설명된 절차를 사용하여 내 계정 설정 페이지에서 자신의 PAT(개인용 액세스 토큰)를 해지할 수도 있습니다.
Tableau Server에 서버 또는 사이트 관리자로 로그인합니다.
해지하려는 PAT를 소유한 사용자를 찾습니다. 서버 관리 페이지 탐색과 사용자 찾기에 대한 자세한 내용은 사용자 보기, 관리 또는 제거를 참조하십시오.
사용자의 이름을 클릭하여 사용자 프로필 페이지를 엽니다.
사용자의 프로필 페이지에서 설정 탭을 클릭합니다.
개인용 액세스 토큰 섹션에서 해지하려는 PAT를 식별한 다음 해지를 클릭합니다.
대화 상자에서 삭제 를 클릭합니다.
개인용 액세스 토큰 사용량 추적 및 모니터링
모든 PAT(개인용 액세스 토큰)관련 동작은 Tableau Server 응용 프로그램 서버(vizportal) 서비스에 기록됩니다. PAT 관련 작업을 찾으려면 RefreshTokenService
문자열을 포함하는 로그 항목을 필터링합니다.
PAT는 Token Guid: <TokenID(Guid)>
형식으로 저장됩니다. 여기서, TokenID는 base64로 인코딩된 문자열입니다. 암호 값은 로그에 포함되지 않습니다.
예를 들면 다음과 같습니다.
Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
.
다음은 두 로그 항목으로 구성된 예제 조각입니다. 첫 번째 항목은 사용자가 PAT에 매핑되는 방식을 보여줍니다. 두 번째 항목은 동일한 PAT에 대한 새로 고침 이벤트를 보여줍니다.
RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700) RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
키 작업을 찾으려면 OAuthController
문자열을 포함하는 로그 항목을 필터링합니다.