Tokens de acesso pessoal

Os tokens de acesso pessoal (PATs) fornecem a você e aos seus usuários do Tableau Server a capacidade de criar tokens de autenticação de longa duração. Os PATs permitem que você e seus usuários façam logon na API REST do Tableau sem exigir credenciais codificadas (nome de usuário e senha) ou logon interativo. Para obter mais informações sobre como usar PATs com a API REST do Tableau, consulte Entrar e sair (autenticação)(O link abre em nova janela) na Ajuda da API REST do Tableau.

É recomendável criar PATs para tarefas e scripts automatizados criados com a API REST do Tableau:

  • Melhorando a segurança: os tokens de acesso pessoal reduzem os riscos caso as credenciais sejam comprometidas. No caso em que o Tableau Server usa o Active Directory ou o LDAP como um armazenamento de identidades, você pode reduzir o impacto de comprometimento das credenciais usando um token de acesso pessoal para tarefas automatizadas. Se um token for comprometido ou usado na automação com falha ou causar risco, você poderá revogar o token. Não é necessário girar ou revogar as credenciais do usuário.

  • Auditoria e rastreamento: como administrador, você pode consultar os registros do Tableau Server para rastrear quando um token é usado, quais sessões são criadas desse token e as ações executadas nessas sessões. Além disso, você pode determinar se uma sessão e as tarefas relacionadas foram executadas a partir de uma sessão gerada com um token ou de um logon interativo.

  • Gerenciar automação: um token pode ser criado para cada script ou tarefa executada. Isso permite que você crie silos e analise tarefas de automação em toda a organização. Além disso, usar tokens e as alterações de senha ou alterações de metadados (nome de usuário, e-mail etc.) em contas de usuário não prejudicará a automação como faria quando as credenciais são inseridas em código nos scripts.

Observações: 

  • Para usar PATs com tabcmd, instale a versão compatível do tabcmd em https://tableau.github.io/tabcmd/.
  • Os PATs não são usados para acesso de cliente genérico à IU na Web do Tableau Server ou ao TSM.
  • A configuração da expiração de PATs e a desabilitação ou limitação do acesso dos usuários à criação de PATs a partir da IU estão disponíveis apenas no Tableau Cloud.
  • Os PATs são automaticamente revogados quando um método de autenticação do usuário(O link abre em nova janela) foi alterado.

Noções básicas sobre tokens de acesso pessoal

Quando um token de acesso pessoal (PAT) é criado, ele é ocultado e armazenado no repositório. Depois que o PAT é ocultado e armazenado, o segredo do PAT é mostrado uma vez para o usuário e não pode mais ser acessado depois que os usuários fecham a caixa de diálogo. Portanto, os usuários são instruídos a copiar o PAT em um local seguro e lidar com ele como lidam com uma senha. Quando o PAT é usado no tempo de execução, o Tableau Server compara o PAT apresentado pelo usuário com o valor ocultado armazenado no repositório. Se houver uma correspondência, uma sessão autenticada será iniciada.

No contexto da autorização, a sessão do Tableau Server que é autenticada com um PAT tem o mesmo acesso e privilégios que o proprietário do PAT.

Observação: os usuários não podem solicitar sessões simultâneas do Tableau Server com um PAT. Entrar novamente com o mesmo PAT, seja no mesmo site ou em um site diferente, encerrará a sessão anterior e resultará em um erro de autenticação.

Representação do administrador de servidor

A partir da versão 2021.1, você pode ativar a representação de PAT do Tableau Server. Neste cenário, os PATs criados pelos administradores do servidor podem ser usados para a representação do usuário(O link abre em nova janela) ao usar a API REST do Tableau. A representação é útil em cenários onde você está inserindo conteúdo do Tableau específico para o usuário final dentro de seu aplicativo. Especificamente, os PATs de representação permitem que você crie aplicativos que consultam como um determinado usuário e recuperam o conteúdo para o qual o usuário está autorizado no Tableau Server, sem codificar nenhuma credencial.

Para obter mais informações, consulte Representar um usuário(O link abre em nova janela) na Ajuda da API REST do Tableau.

Habilite o Tableau Server a aceitar tokens de acesso pessoal durante solicitações de logon de representação

Por padrão, o Tableau Server não permite a representação de PATs do administrador do servidor. Você deve ativar a configuração em todo o servidor executando os seguintes comandos.

tsm authentication pat-impersonation enable [global options]

tsm pending-changes apply

Importante: depois de executar os comandos, todos os PATs criados pelos administradores de servidor (incluindo PATs preexistentes) podem ser usados para representação. Para revogar em massa todos os PATs do administrador de servidor existentes, você pode publicar o URI DELETE /api/{api-version}/auth/serverAdminAccessTokens. Para obter mais informações, consulte Representar um usuário(O link abre em nova janela) na Ajuda da API REST do Tableau.

Criar tokens de acesso pessoal

Os usuários devem criar seus próprios PATs. Os administradores não podem criar PATs para usuários.

Os usuários com contas no Tableau Server podem criar, gerenciar e revogar tokens de acesso pessoal (PATs) na página Minhas configurações de conta. Consulte Gerenciar configurações de conta(O link abre em nova janela) na Ajuda do usuário do Tableau para obter mais informações.

Observação: um usuário pode ter até 10 PATs.

Alterar a expiração dos tokens de acesso pessoal

Os tokens de acesso pessoal (PATs) vão expirar se não forem usados após 15 dias consecutivos. Se eles forem usados com mais frequência do que a cada 15 dias, os PATs vão expirar após um ano. Após um ano, novos PATs devem ser criados. Os PATs expirados não serão exibidos na página Minhas configurações de conta.

Você pode alterar o período de expiração dos PATs usando a opção refresh_token.absolute_expiry_in_seconds com o comando tsm configuration set.

Revogar um token de acesso pessoal

Como administrador, você também pode revogar o PAT de um usuário. Um usuário também pode revogar seus tokens de acesso pessoal (PATs) na página Minhas configurações de conta usando o procedimento descrito no tópico Gerenciar sua conta(O link abre em nova janela) na Ajuda do usuário do Tableau.

  1. Entre no Tableau Server como um administrador de servidor ou de site.

  2. Localize o usuário cujo PAT você deseja revogar. Para obter mais informações sobre como navegar nas páginas de administração do servidor e localizar usuários, consulte Exibir, gerenciar ou remover usuários.

  3. Clique no nome do usuário para abrir sua página de perfil.

  4. Na página de perfil do usuário, clique na guia Configurações.

  5. Na seção Tokens de acesso pessoal, identifique o PAT que deseja revogar e clique em Revogar.

  6. Na caixa de diálogo, clique em Excluir.

Rastrear e monitorar o uso do token de acesso pessoal

Todas as ações relacionadas ao token de acesso pessoal (PAT) são registradas no serviço do Servidor de aplicativos do Tableau Server (vizportal). Para localizar atividades relacionadas ao PAT, filtre as entradas de registro que contêm a cadeia de caracteres, RefreshTokenService.

Um PAT é armazenado neste formato:Token Guid: <TokenID(Guid)>, onde TokenID é uma cadeia de caracteres codificada base64. O valor do segredo não está incluído nos registros.

Por exemplo:

Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700).

Veja a seguir um trecho de exemplo de duas entradas de registro. A primeira entrada mostra como um usuário é mapeado para um PAT. A segunda entrada mostra um evento de atualização para o mesmo PAT:

RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)

Para localizar as operações principais, filtre as entradas de registro que contêm a cadeia de caracteres, OAuthController.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!