個人存取權杖
個人存取權杖 (PAT) 為您及您的 Tableau Server 使用者提供建立長時間使用驗證權杖的能力。PAT 讓您與您的使用者可以無需硬編碼憑據(即使用者名稱與密碼)即可登入 Tableau REST API,或採用交互式登入。有關在 Tableau REST API 中使用 PAT 的詳細資訊,請參見 Tableau REST API 說明中的 登入與登出(驗證)(連結在新視窗開啟)。
建議為使用 Tableau REST API 建立的自動化指令碼與任務建立 PAT:
改善安全性:如果認證遭洩露,個人存取權杖可以降低風險。如果 Tableau Server 使用 Active Directory 或 LDAP 作為識別身份存放區,則可以藉由使用個人存取權杖執行自動化工作,以縮小認證洩露影響。如果權杖遭洩露或用於失敗或帶來風險的自動化中,則只需撤銷權杖即可。您不需要旋轉或撤銷使用者的認證。
稽核和追蹤:身為管理員,您可以檢閱 Tableau Server 記錄,以追蹤何時使用權杖、從該權杖建立哪些工作階段,以及在這些工作階段中執行的動作。您還可以確定工作階段和相關工作是從產生自權杖的工作階段,還是產生自互動式登入的工作階段中執行的。
管理自動化:可以為執行的每個指令碼或工作建立權杖。這可讓您在整個組織內獨立執行和檢閱自動化工作。此外,藉由使用權杖,使用者帳戶上的密碼重設或中繼資料變更作業(使用者名稱、電子郵件等)不會像將認證硬式編碼到指令碼中一樣破壞自動化。
附註:
- 要在 tabcmd 中使用 PAT,請從https://tableau.github.io/tabcmd/安裝相容版本的 tabcmd。
- PAT 不會用於一般使用者端對 Tableau Server web UI 或 TSM 的存取。
- 僅在 Tableau Cloud 中提供設定 PAT 過期以及停用或限制使用者從 UI 存取 PAT。
- 使用者的認證方式(連結在新視窗開啟)變更後,PAT 將自動撤銷。
瞭解個人存取權杖
建立個人存取權杖 (PAT) 時,會經過雜湊處理,然後存放在存放庫中。PAT 經雜湊並存儲後,會向使用者顯示一次 PAT 秘密,然後在使用者關閉對話方塊後就無法再存取。因此,會指示使用者將 PAT 複製到安全位置,並且像處理密碼一樣進行處理。在執行階段使用 PAT時,Tableau Server 會將該使用者給出的 PAT 與儲存在存放庫中的雜湊值進行對比比較。如果進行比對,則會啟動已驗證的工作階段。
在授權範圍內, 使用 PAT 授權的 Tableau Server 工作階段與使 PAT 擁有者有相同的存取權限與特權。
附註:使用者無法請求與 PAT 並行 Tableau Server 的工作階段。使用相同的 PAT 再次登入時,無論是在同一個站台還是不同的站台,都會終止前一個工作階段並導致驗證錯誤。
伺服器管理員模擬
從版本 2021.1 開始,可以啟用 Tableau Server PAT 模擬。在這種情況下,使用 Tableau Server REST API 時,可以將伺服器管理員建立的 PAT用於使用者模擬(連結在新視窗開啟)。在應用程式中內嵌特定於終端使用者的 Tableau 內容時,模擬非常有用。具體地說,模擬 PAT 可讓您組建應用程式,以查詢指定的使用者,並檢索使用者在 Tableau Server 中取得授權的內容,而無需對任何認證進行硬式編碼。
有關詳情,請參閱 Tableau REST API 說明中的模擬試驗中(連結在新視窗開啟)。
讓 Tableau Server 在模擬登入請求期間接受個人存取權杖
預設情況下,Tableau Server 不允許模擬伺服器管理員 PAT。必須透過執行以下命令來啟用伺服器範圍的設定。
tsm authentication pat-impersonation enable [global options]
tsm pending-changes apply
重要提示:執行該命令後,伺服器管理員建立的所有 PAT(包括預先存在的 PAT)均可用於模擬。若要大量撤銷所有現有伺服器管理員的 PAT,可以貼上 DELETE /api/{api-version}/auth/serverAdminAccessTokens URI。有關詳情,請參閱 Tableau REST API 說明中的模擬使用者(連結在新視窗開啟)。
建立個人存取權杖
使用者必須建立自己的 PAT。管理員無法為使用者建立權杖。
在 Tableau Server 上有帳戶的使用者可以在「我的帳戶設定」頁面中建立、管理和撤銷個人存取權杖 (PAT)。有關詳情,請參閱 Tableau 使用者說明中的管理您的帳戶設定(連結在新視窗開啟)。
附註:一個使用者最多可以有 10 個 PAT。
變更個人存取權杖過期
若連續 15 天未使用個人存取權杖,這些權杖將過期。若使用頻率超過每 15 天一次,則 PAT 將在 1 年後到期。一年後,必須建立新的 PAT。過期的 PAT 不會在「我的帳戶設定」頁面中顯示。
您可以使用 tsm configuration set 命令中的 refresh_token.absolute_expiry_in_seconds 選項變更 PAT 到過期期間。
撤銷個人存取權杖
作為站台管理員,您可以撤銷使用者的 PAT。使用者還可以在我的帳戶設定頁面中使用 Tableau 使用者說明中管理您的帳戶(連結在新視窗開啟)主題中所述程序撤銷自己的個人存取權杖 (PAT)。
作為伺服器或站台管理員登入 Tableau Server。
找出要撤銷其權杖的使用者。有關巡覽「伺服器管理」頁面和找出使用者的詳情,請參閱檢視、管理或移除使用者。
按一下使用者名稱以開啟其設定檔頁面。
在使用者的設定檔頁面上,按一下「設定」索引標籤。
在「個人存取權杖」部分中,確定要撤銷的 PAT,然後按一下「撤銷」。
在該對話方塊中,按一下「刪除」。
追縱和監控個人存取權杖的使用情況
所有與個人存取權杖 (PAT) 相關的動作皆記錄在 Tableau Server Application Server (vizportal) 服務中。若要找出 PAT 相關的活動,請篩選包含字串 RefreshTokenService 的記錄項目。
PAT 的儲存格式如下:Token Guid: <TokenID(Guid)>,其中 TokenID 是 base64 編碼字串。這些記錄中不包含該秘密值。
例如:
Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)。
以下是兩個記錄項目的範例片段。第一個條目顯示如何將使用者與 PAT 對應。第二個條目顯示同一 PAT 的重新整理事件:
RefreshTokenService - Issued refresh token to the following user: jsmith. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700) RefreshTokenService - Redeemed refresh token. Token Guid: 49P+CxmARY6A2GHxyvHHAA== (e3d3fe0b-1980-458e-80d8-61f1caf1c700)
若要找出金鑰操作,請篩選包含字串 OAuthController 的記錄項目。