โทเค็นการเข้าถึงส่วนบุคคล
โทเค็นการเข้าถึงส่วนบุคคล (PAT) ให้คุณและผู้ใช้ Tableau Server สามารถสร้างโทเค็นการตรวจสอบสิทธิ์ที่มีอายุยาวนาน PAT ช่วยให้คุณและผู้ใช้ของคุณสามารถเข้าสู่ระบบ Tableau REST API ได้โดยไม่ต้องใช้ข้อมูลเข้าสู่ระบบแบบฮาร์ดโค้ด (เช่น ชื่อผู้ใช้และรหัสผ่าน) หรือเข้าสู่ระบบแบบโต้ตอบ หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการใช้ PAT กับ Tableau REST API โปรดดูการเข้าสู่ระบบและออกจากระบบ (การตรวจสอบสิทธิ์)(ลิงก์จะเปิดในหน้าต่างใหม่) ในความช่วยเหลือเกี่ยวกับ Tableau REST API
เราขอแนะนำให้สร้าง PAT สำหรับสคริปต์และงานอัตโนมัติที่สร้างด้วย REST API ของ Tableau:
ความปลอดภัยที่เพิ่มขึ้น: โทเค็นการเข้าถึงส่วนบุคคลจะช่วยลดความเสี่ยงในกรณีที่ถูกเจาะข้อมูลเข้าสู่ระบบ ในกรณีที่ Tableau Server ใช้ Active Directory หรือ LDAP เป็นที่เก็บข้อมูลประจำตัว คุณสามารถลดผลกระทบจากข้อมูลเข้าสู่ระบบประนีประนอมโดยใช้โทเค็นการเข้าถึงส่วนบุคคลสำหรับงานแบบอัตโนมัติ หากโทเค็นถูกเจาะข้อมูลหรือนำไปใช้ในกระบวนการอัตโนมัติที่ล้มเหลวหรือมีความเสี่ยง คุณสามารถเพิกถอนโทเค็นได้ คุณไม่จำเป็นต้องหมุนเวียนหรือเพิกถอนข้อมูลเข้าสู่ระบบของผู้ใช้
ตรวจสอบและติดตาม: ในฐานะผู้ดูแลระบบ คุณสามารถตรวจสอบบันทึก Tableau Server เพื่อติดตามว่ามีการใช้โทเค็นเมื่อใด เซสชันใดที่สร้างขึ้นจากโทเค็นนั้น และการดำเนินการที่ทำในเซสชันเหล่านั้น คุณยังสามารถกำหนดได้ว่ามีการดำเนินการเซสชันและงานที่เกี่ยวข้องจากเซสชันที่สร้างขึ้นจากโทเค็นหรือจากการเข้าสู่ระบบแบบโต้ตอบ
การจัดการกระบวนการอัตโนมัติ: สามารถสร้างโทเค็นได้สำหรับแต่ละสคริปต์รหืองานที่ทำงานอยู่ ซึ่งจะช่วยให้คุณกระจายและตรวจทานงานอัตโนมัติได้ทั่วทั้งองค์กรของคุณ นอกจากนี้ การใช้โทเค็นจะทำให้การรีเซ็ตรหัสผ่านหรือการเปลี่ยนข้อมูลเมตา (ชื่อผู้ใช้ อีเมล ฯลฯ) ในบัญชีผู้ใช้ไม่ขัดจังหวะกระบวนการอัตโนมัติ เหมือนในกรณีที่ฮาร์ดโค้ดข้อมูลเข้าสู่ระบบในสคริปต์
หมายเหตุ:
- หากต้องการใช้ PAT กับ tabcmd ให้ติดตั้ง tabcmd เวอร์ชันที่เข้ากันได้จาก https://tableau.github.io/tabcmd/
- PAT ไม่ได้ใช้สำหรับการเข้าถึงไคลเอ็นต์ทั่วไปไปยัง UI ของเว็บ Tableau Server หรือ TSM
- การกำหนดค่าการหมดอายุของ PAT และการปิดใช้งานหรือจำกัดการเข้าถึงของผู้ใช้ในการสร้าง PAT จาก UI มีอยู่ใน Tableau Cloud เท่านั้น
- PAT จะถูกเพิกถอนโดยอัตโนมัติเมื่อวิธีการตรวจสอบสิทธิ์ของผู้ใช้(ลิงก์จะเปิดในหน้าต่างใหม่)มีการเปลี่ยนแปลง
ทำความเข้าใจเกี่ยวกับโทเค็นการเข้าถึงส่วนบุคคล
เมื่อมีการสร้างโทเค็นการเข้าถึงส่วนบุคคล (PAT) ระบบจะทำการแฮชแล้วจัดเก็บไว้ในที่เก็บ หลังจากแฮชและจัดเก็บ PAT แล้ว ข้อมูลลับ PAT จะแสดงให้ผู้ใช้เห็นเพียงครั้งเดียว และจะไม่สามารถเข้าถึงได้อีกต่อไปหลังจากที่ผู้ใช้ปิดกล่องโต้ตอบ ดังนั้น ผู้ใช้จะได้รับแจ้งให้คัดลอก PAT ไปเก็บไว้ในที่ที่ปลอดภัย และดูแลจัดการโทเค็นเฉกเช่นเดียวกับรหัสผ่าน เมื่อใช้ PAT ในระหว่างรันไทม์ Tableau Server จะเปรียบเทียบ PAT ที่ผู้ใช้นำเสนอกับค่าที่แฮชที่เก็บไว้ในที่เก็บ หากมีข้อมูลที่ตรงกัน เซสชันการรับรองสิทธิ์ก็จะเริ่มต้นขึ้น
ในบริบทของการให้สิทธิ์ เซสชัน Tableau Server ที่ได้รับการตรวจสอบสิทธิ์ด้วย PAT มีการเข้าถึงและสิทธิ์เหมือนกับเจ้าของ PAT
หมายเหตุ: ผู้ใช้ไม่สามารถส่งคำขอเซสชัน Tableau Server พร้อมกันได้ด้วย PAT การเข้าสู่ระบบด้วย PAT เดียวกัน ไม่ว่าจะในไซต์เดียวกันหรือไซต์ที่ต่างกัน จะยุติเซสชันก่อนหน้านี้และส่งผลให้เกิดข้อผิดพลาดด้านการตรวจสอบสิทธิ์
การแอบอ้างเป็นบุคคลอื่นผู้ดูแลระบบเซิร์ฟเวอร์
ตั้งแต่เวอร์ชัน 2021.1 เป็นต้นไป คุณจะสามารถเปิดใช้งานการแอบอ้างเป็นบุคคลอื่นสำหรับ PAT ของ Tableau Server ในสถานการณ์นี้ สามารถใช้ PAT ที่สร้างโดยผู้ดูแลเซิร์ฟเวอร์สำหรับการแอบอ้างเป็นผู้ใช้(ลิงก์จะเปิดในหน้าต่างใหม่)เมื่อใช้ Tableau REST API การแอบอ้างเป็นบุคคลอื่นมีประโยชน์ในสถานการณ์ที่คุณกำลังฝังเนื้อหาของ Tableau เฉพาะผู้ใช้ปลายทางภายในแอปพลิเคชันของคุณ โดยเฉพาะ PAT สำหรับการแอบอ้างเป็นบุคคลอื่นช่วยให้คุณสามารถสร้างแอปพลิเคชันที่การค้นหาในฐานะผู้ใช้ที่กำหนดและดึงเนื้อหาที่ผู้ใช้ได้รับอนุญาตภายใน Tableau Server โดยไม่ต้องเข้ารหัสข้อมูลเข้าสู่ระบบใดๆ
หากต้องการข้อมูลเพิ่มเติม โปรดดูการแอบอ้างเป็นผู้ใช้(ลิงก์จะเปิดในหน้าต่างใหม่)ในส่วนความช่วยเหลือ REST API ของ Tableau
เปิดใช้งาน Tableau Server เพื่อยอมรับโทเค็นการเข้าถึงส่วนบุคคลในระหว่างการขอเข้าสู่ระบบการแอบอ้างเป็นบุคคลอื่น
ตามค่าเริ่มต้น Tableau Server ไม่อนุญาตให้มีการแอบอ้างเป็นผู้ดูแลเซิร์ฟเวอร์ด้วย PAT คุณต้องเปิดใช้งานการตั้งค่าทั่วทั้งเซิร์ฟเวอร์โดยรันคำสั่งต่อไปนี้
tsm authentication pat-impersonation enable [global options]
tsm pending-changes apply
สำคัญ: หลังจากที่คุณรันคำสั่งแล้ว PAT ทั้งหมดที่สร้างโดยผู้ดูแลระบบเซิร์ฟเวอร์ (รวมถึง PAT ที่มีอยู่ก่อน) สามารถนำมาใช้สำหรับการแอบอ้างเป็นบุคคลอื่นได้ หากต้องการเพิกถอน PAT ของผู้ดูแลระบบเซิร์ฟเวอร์ที่มีอยู่ทั้งหมดเป็นจำนวนมาก คุณสามารถโพสต์ URI DELETE /api/{api-version}/auth/serverAdminAccessTokens
ได้ หากต้องการข้อมูลเพิ่มเติม โปรดดูการแอบอ้างเป็นผู้ใช้(ลิงก์จะเปิดในหน้าต่างใหม่)ในส่วนความช่วยเหลือของ Tableau REST API
สร้างโทเค็นการเข้าถึงส่วนบุคคล
ผู้ใช้ต้องสร้าง PAT ของตนเอง ผู้ดูแลไม่สามารถสร้าง PAT สำหรับผู้ใช้ได้
ผู้ใช้ที่มีบัญชีบน Tableau Server สามารถสร้าง จัดการ และเพิกถอนโทเค็นการเข้าถึงส่วนบุคคล (PAT) ได้ในหน้าการตั้งค่าบัญชีของฉัน ดูจัดการการตั้งค่าบัญชีของคุณ(ลิงก์จะเปิดในหน้าต่างใหม่)ในความช่วยเหลือสำหรับผู้ใช้ Tableau หากต้องการข้อมูลเพิ่มเติม
หมายเหตุ: ผู้ใช้สามารถมี PAT ได้สูงสุด 10 รายการ
เปลี่ยนวันหมดอายุของโทเค็นการเข้าถึงส่วนบุคคล
โทเค็นการเข้าถึงส่วนบุคคล (PAT) จะหมดอายุหากไม่มีการใช้งานเป็นเวลา 15 วันติดต่อกัน หากมีการนำไปใช้บ่อยกว่าทุก 15 วัน PAT จะหมดอายุหลังผ่านไป 1 ปี หลังจากหนึ่งปี จะต้องสร้าง PAT ใหม่ PAT ที่หมดอายุจะไม่แสดงบนหน้าการตั้งค่าบัญชีของฉัน
คุณสามารถเปลี่ยนช่วงเวลาหมดอายุของ PAT ได้โดยใช้ตัวเลือก refresh_token.absolute_expiry_in_seconds พร้อมคำสั่ง tsm configuration set
เพิกถอนโทเค็นการเข้าถึงส่วนบุคคล
ในฐานะผู้ดูแลระบบ คุณก็สามารถเพิกถอน PAT ของผู้ใช้ได้เช่นกัน ผู้ใช้ยังสามารถเพิกถอนโทเค็นการเข้าถึงส่วนบุคคล (PAT) ของตนเองได้ในหน้าการตั้งค่าบัญชีของฉันโดยใช้ขั้นตอนที่อธิบายไว้ในหัวข้อจัดการบัญชีของคุณ(ลิงก์จะเปิดในหน้าต่างใหม่)ในความช่วยเหลือสำหรับผู้ใช้ Tableau
เข้าสู่ระบบ Tableau Server ในฐานะผู้ดูแลระบบเซิร์ฟเวอร์หรือผู้ดูแลไซต์
ระบุผู้ใช้ของ PAT ที่คุณต้องการเพิกถอน หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับการไปยังส่วนต่างๆ ของหน้าผู้ดูแลเซิร์ฟเวอร์ ให้ดูที่ดู จัดการ หรือนำผู้ใช้ออก
คลิกที่ชื่อผู้ใช้เพื่อเปิดหน้าโปรไฟล์
ที่หน้าโปรไฟล์ของผู้ใช้ ให้คลิกที่แท็บ การตั้งค่า
ในส่วนโทเค็นการเข้าถึงส่วนบุคคล ให้ระบุ PAT ที่คุณต้องการเพิกถอน แล้วจึงคลิกเพิกถอน
ในกล่องโต้ตอบ คลิกลบ
ติดตามและตรวจสอบการใช้โทเค็นการเข้าถึงส่วนบุคคล
การดำเนินการที่เกี่ยวข้องกับโทเค็นการเข้าถึงส่วนบุคคล (PAT) ทั้งหมดจะได้รับการบันทึกในบริการApplication Server ของ Tableau Server (vizportal) หากต้องการค้นหากิจกรรมที่เกี่ยวข้องกับ PAT ให้กรองรายการบันทึกที่มีสตริง RefreshTokenService
PAT ได้รับการจัดเก็บในรูปแบบนี้: Token Guid: <TokenID(Guid)>
โดยที่ TokenID เป็นสตริงที่เข้ารหัส base64 ค่าข้อมูลลับจะไม่รวมอยู่ในบันทึก
ตัวอย่าง:
Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
ต่อไปนี้คือตัวอย่างข้อมูลโค้ดของรายการบันทึกสองรายการ รายการแรกแสดงให้เห็นว่าผู้ใช้แมปกับ PAT อย่างไร รายการที่สองแสดงเหตุการณ์การรีเฟรชสำหรับ PAT เดียวกัน:
RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700) RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
หากต้องการระบุตำแหน่งการดำเนินการที่สำคัญ ให้กรองรายการบันทึกที่มีสตริง OAuthController