Persoonlijke toegangstokens
Persoonlijke toegangstokens (PAT's) bieden u en uw Tableau Server-gebruikers de mogelijkheid om authenticatietokens met een lange levensduur te creëren. Met PAT's kunnen u en uw gebruikers zich aanmelden bij Tableau REST API zonder dat u hard gecodeerde referenties (d.w.z. gebruikersnaam en wachtwoord) of een interactieve aanmelding nodig hebt. Zie Aan- en afmelden (verificatie)(Link wordt in een nieuw venster geopend) in de Tableau REST API Help-functie voor meer informatie over het gebruik van PAT's met Tableau REST API.
Wij raden aan dat u PAT's maakt voor geautomatiseerde scripts en voor taken die zijn aangemaakt met de Tableau REST API:
Betere beveiliging: Persoonlijke toegangstokens verkleinen het risico als referenties worden gecompromitteerd. Als Tableau Server bijvoorbeeld Active Directory of LDAP als identiteitenarchief gebruikt, kunt u de impact van inbreuk op referenties beperken door een persoonlijk toegangstoken te gebruiken voor geautomatiseerde taken. Als een token gecompromitteerd raakt of wordt gebruikt in een automatisering die niet goed werkt of een risico vormt, kunt u het token gewoon intrekken. U hoeft de referenties van de gebruiker niet te roteren of in te trekken.
Audit en tracering: Als beheerder kunt u de logboeken van Tableau Server bekijken om bij te houden wanneer een token wordt gebruikt, welke sessies er met dat token worden gemaakt en welke acties er in die sessies worden uitgevoerd. U kunt ook bepalen of een sessie en de bijbehorende taken zijn uitgevoerd vanuit een sessie die is gegenereerd via een token of via een interactieve aanmelding.
Automatisering beheren: Voor elk script of elke taak die wordt uitgevoerd, kan een token worden gemaakt. Hiermee kunt u automatiseringstaken binnen uw organisatie isoleren en beoordelen. Bovendien kunt u met tokens wachtwoorden opnieuw instellen en de metadata (gebruikersnaam, e-mailadres, enz.) van gebruikersaccounts wijzigen zonder dat hierdoor automatiseringstaken worden onderbroken, wat wel het geval zou zijn wanneer referenties hard gecodeerd zijn in de scripts.
Opmerkingen:
- Als u PAT's wilt gebruiken met tabcmd, installeert u de compatibele versie van tabcmd vanaf https://tableau.github.io/tabcmd/.
- PAT's worden niet gebruikt voor generieke clienttoegang tot de Tableau Server web-UI of TSM.
- Het configureren van de vervaldatum van PAT's en het uitschakelen of beperken van de toegang van gebruikers tot het maken van PAT's vanuit de gebruikersinterface, is alleen beschikbaar in Tableau Cloud.
- PAT's worden automatisch ingetrokken wanneer een verificatiemethode van de gebruiker(Link wordt in een nieuw venster geopend) is veranderd.
Inzicht in persoonlijke toegangstokens
Wanneer een persoonlijke toegangstoken (PAT) wordt aangemaakt, wordt deze 'gehasht' en vervolgens opgeslagen in de repository. Nadat de PAT is gehasht en opgeslagen, wordt het PAT-geheim één keer aan de gebruiker getoond en is het daarna niet meer toegankelijk zodra de gebruiker het dialoogvenster sluit. Daarom wordt gebruikers gevraagd om de PAT te kopiëren naar een veilige plaats en er net zo mee om te gaan als met een wachtwoord. Wanneer de PAT tijdens runtime wordt gebruikt, vergelijkt Tableau Server de PAT die door de gebruiker wordt gepresenteerd met de gehashte waarde die in de repository is opgeslagen. Als deze overeenkomen, wordt er een geverifieerde sessie gestart.
In het kader van de autorisatie heeft de Tableau Server-sessie die met een PAT is geverifieerd, dezelfde toegangsrechten en machtigingen als de PAT-eigenaar.
Opmerking: Gebruikers kunnen geen gelijktijdige Tableau Server-sessies met een PAT aanvragen. Als u zich opnieuw aanmeldt met dezelfde PAT, ongeacht of dit op dezelfde site of een andere site is, wordt de vorige sessie beëindigd en treedt er een verificatiefout op.
Gebruikersimitatie voor serverbeheerder
Vanaf versie 2021.1 kunt u Tableau Server PAT-gebruikersimitatie inschakelen. In dit scenario kunnen PAT's die door serverbeheerders zijn gemaakt, worden toegepast voor gebruikersimitatie(Link wordt in een nieuw venster geopend) bij gebruik van de Tableau REST API. Imitatie is handig in scenario's waarin u eindgebruikerspecifieke Tableau-inhoud in uw toepassing wilt insluiten. Met imitatie-PAT's kunt u specifiek applicaties bouwen die, net als een bepaalde gebruiker, query's uitvoeren en inhoud ophalen waarvoor de gebruiker geautoriseerd is binnen Tableau Server, zonder dat u referenties hard hoeft te coderen.
Zie Een gebruiker imiteren(Link wordt in een nieuw venster geopend) in de Tableau REST API Help-functie voor meer informatie.
Tableau Server inschakelen om persoonlijke toegangstokens te accepteren tijdens imitatie-aanmeldingsverzoeken
Tableau Server staat standaard geen imitatie toe voor serverbeheerder-PAT's. U moet de serverbrede instelling inschakelen door de volgende opdrachten uit te voeren.
tsm authentication pat-impersonation enable [global options]
tsm pending-changes apply
Belangrijk: Nadat u de opdrachten hebt uitgevoerd, kunnen alle PAT's die door serverbeheerders zijn gemaakt (inclusief al bestaande PAT's) worden gebruikt voor imitatie. Als u alle bestaande serverbeheerder-PAT's in bulk wilt intrekken, kunt u de DELETE /api/{api-version}/auth/serverAdminAccessTokens
-URI posten. Zie Een gebruiker imiteren(Link wordt in een nieuw venster geopend) in de Tableau REST API Help-functie voor meer informatie.
Persoonlijke toegangstokens maken
Gebruikers moeten hun eigen PAT's maken. Beheerders kunnen geen PAT's voor gebruikers maken.
Gebruikers met accounts op Tableau Server kunnen persoonlijke toegangstokens (PAT's) maken, beheren en intrekken op de pagina Mijn accountinstellingen. Zie Uw accountinstellingen beheren(Link wordt in een nieuw venster geopend) in the Tableau Help-functie voor gebruikers voor meer informatie.
Opmerking: Een gebruiker kan maximaal 10 PAT's hebben.
De vervaldatum van persoonlijke toegangstokens wijzigen
Persoonlijke toegangstokens (PAT's) verlopen als ze gedurende 15 opeenvolgende dagen niet worden gebruikt. Als ze vaker dan eens in de 15 dagen worden gebruikt, verlopen PAT's na een jaar. Na een jaar moeten er nieuwe PAT's worden aangemaakt. Verlopen PAT's worden niet weergegeven op de pagina Mijn accountinstellingen.
U kunt de vervalperiode van PAT's wijzigen met de optie refresh_token.absolute_expiry_in_seconds en de opdracht tsm configuration set
.
Een persoonlijk toegangstoken intrekken
Als beheerder kunt u ook de PAT van een gebruiker intrekken. Gebruikers kunnen ook hun eigen persoonlijke toegangstokens (PAT's) intrekken op de pagina Mijn accountinstellingen via de procedure die wordt beschreven in het onderwerp Uw account beheren(Link wordt in een nieuw venster geopend) in de Tableau Help-functie voor gebruikers.
Meld u aan bij Tableau Server als server- of sitebeheerder.
Zoek naar de gebruiker van wie u de PAT wilt intrekken. Zie Gebruikers bekijken, beheren of verwijderen voor meer informatie over het navigeren door de pagina's voor serverbeheer en het lokaliseren van gebruikers.
Klik op de naam van de gebruiker om hun profielpagina te openen.
Klik op de profielpagina van de gebruiker op het tabblad Instellingen.
Ga naar de sectie Persoonlijke toegangstokens, identificeer de PAT die u wilt intrekken en klik vervolgens op de knop Intrekken.
Klik in het dialoogvenster op Verwijderen.
Het gebruik van persoonlijke toegangstokens volgen en bewaken
Alle acties met betrekking tot persoonlijke toegangstokens (PAT) worden vastgelegd in de service Tableau Server - Toepassingsserver (vizportal). Als u PAT-gerelateerde activiteiten wilt vinden, filtert u op logboekvermeldingen met de tekenreeks RefreshTokenService
.
Een PAT wordt in deze indeling opgeslagen :Token Guid: <TokenID(Guid)>
, waarbij de TokenID een base64-gecodeerde tekenreeks is. De geheime waarde is niet opgenomen in de logboeken.
Bijvoorbeeld:
Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
.
Hieronder ziet u een voorbeeldfragment van twee logboekvermeldingen. De eerste vermelding laat zien hoe een gebruiker aan een PAT wordt toegewezen. De tweede vermelding toont een vernieuwingsgebeurtenis voor dezelfde PAT:
RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700) RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
Om belangrijke bewerkingen te lokaliseren, filtert u de logboekvermeldingen op de tekenreeks OAuthController
.