Konfigurieren der Kommunikation mit dem Internet

Im vorherigen Kapitel wurde das Einrichten von SSL für das Sichern des Datenverkehrs zwischen Clients (Browser, Mobilgeräte usw.) und Tableau Server erläutert. Die Konfiguration von SSL empfiehlt sich immer, sie ist jedoch wichtig, wenn Sie Clients von außerhalb des Netzwerks (d. h. aus dem öffentlichen Internet) den Zugriff auf Tableau Server ermöglichen. Wenn Sie dieses Kapitel ausgelassen haben, Sie jedoch Personen ermöglichen möchten, von außerhalb Ihres Netzwerks auf Tableau Server zuzugreifen, dann wechseln Sie zurück, und lesen Sie es. Sie sollten keinesfalls den Zugriff auf den Server zulassen, sofern Sie SSL nicht eingerichtet haben.

Wenn Sie den externen Zugriff erlauben möchten, müssen Sie zudem einen Reverse-Proxyserver einrichten. In diesem Kapitel werden Proxyserver erläutert, d. h. worum es sich dabei handelt und weshalb sie verwendet werden. Zudem ist eine Anleitung über das Konfigurieren von Proxyservern enthalten.

 

Zeit für den Anruf bei Ihrem IT-Freund

Im Gegensatz zu den meisten anderen Themen von Tableau Server: Allgemeines Installationshandbuch, wo Sie die Serverkonfiguration mit nur ein wenig Unterstützung eines IT-Experten vornehmen können, richtet sich dieses Kapitel gezielt an IT-Experten. Es wurde versucht, die Konzepte möglichst verständlich zu beschreiben. Das Einrichten von Proxyservern umfasst jedoch die Zertifikatsverwaltung, das Konfigurieren von Proxy- und Gatewayeinstellungen sowie eine erweiterte Netzwerkkonfiguration. Wenn Sie kein IT-Experte sind und Sie das Ganze bisher allein mit dieser Anleitung umgesetzt haben, sollten Sie sich nun an einen Experten wenden.

Kommunikation von Tableau mit dem Internet

In den folgenden Szenarien benötigt Tableau Server den ausgehenden Zugriff auf das Internet:

  • Arbeiten mit Karten. Tableau greift auf Kartendaten zu, die extern gehostet werden. Tableau Server muss über Port 443 eine Verbindung zu Kartenadressen herstellen. Wenn es diese Verbindung nicht herstellen kann, treten beim Laden der Karten möglicherweise Fehler auf. Standardmäßig werden die Kartendaten in Tableau aus OpenStreetMaps abgerufen.

    Tableau Server muss sich mit den folgenden Internetadressen für Karten verbinden:

    • mapsconfig.tableau.com
    • api.mapbox.com

    Für Versionen 2019.1.x und frühere Versionen muss sich der Tableau Server mit dieser Adresse für Karten verbinden:

    • maps.tableau.com
  • Lizenzierung. Zum Aktivieren der Product Keys stellen die Tableau-Produkte eine Verbindung zum Internet her. Wenn Sie die Tableau-Software nicht mit dem Offline-Aktivierungstool aktivieren, benötigen alle Tableau-Produkte den ununterbrochenen Zugriff auf das Internet, damit die Lizenzen validiert werden können.

    Tableau Server muss für Lizenzierungszwecke über eine Verbindung zu den folgenden Internetspeicherorten verfügen:

    • licensing.tableau.com:443

    • atr.licensing.tableau.com:443

    • o.ss2.us

    • ocsp.rootg2.amazontrust.com

    • ocsp.rootca1.amazontrust.com

    • ocsp.sca1b.amazontrust.com

    • crt.sca1b.amazontrust.com

    • crt.rootca1.amazontrust.com

    • ocsp.sca0a.amazontrust.com

    • crt.sca0a.amazontrust.com

    • ocsp.sca1a.amazontrust.com

    • crt.sca1a.amazontrust.com

    • ocsp.sca2a.amazontrust.com

    • crt.sca2a.amazontrust.com

    • ocsp.sca3a.amazontrust.com

    • crt.sca3a.amazontrust.com

    • ocsp.sca4a.amazontrust.com

    • crt.sca4a.amazontrust.com

    Anforderungen an die oben aufgeführten Domänen erfolgen über Port 80 oder 443.

    Wenn Tableau Server keine Verbindung herstellen kann, während versucht wird, seine Lizenz zu aktivieren, werden Sie aufgefordert, eine Offline-Aktivierung vorzunehmen.

  • Arbeiten mit externen oder cloudgestützten Daten.

Tableau Server kann durchaus ohne Internetzugriff genutzt werden; in den meisten Unternehmen muss Tableau jedoch in den angegebenen Szenarien auf das Internet zugreifen können.

Tableau Server und Proxyserver

Tableau Server wurde für den Betrieb in einem geschützten internen Netzwerk entwickelt. Daher wird zunächst dringend empfohlen, Tableau Server auf dem Computer einzurichten, der als Internetgateway Ihrer Organisation fungiert. Wie anfangs empfohlen, sollten Sie Tableu Server auf einem dedizierten Computer einrichten, auf dem keine anderen Prozesse ausgeführt werden und der in diesem Fall nicht direkt mit dem Internet verbunden ist.

Stattdessen sollten Sie einen Proxyserver konfigurieren, also einen Computer, der den Datenverkehr zwischen einem lokalen (internen) Netzwerk und dem Internet vermittelt. Forward-Proxyserver vermitteln den Datenverkehr im Netzwerk mit Zielen im Internet. Reverse-Proxyserver vermitteln den Datenverkehr aus dem Internet mit Zielen im Netzwerk.

Wenn Sie in einer großen Organisation arbeiten, hat Ihre IT-Abteilung unzweifelhaft bereits Proxyserver eingerichtet. Wenn Sie alles selbst einrichten, sollten Sie, wie bereits erwähnt, möglicherweise Unterstützung von jemandem anfordern, der Erfahrung mit dem Einrichten von Proxyservern hat. Im Folgenden finden Sie eine Übersicht der Proxyserver.

Wichtig: Wie bereits im Kapitel Planen der Bereitstellung erläutert ist es nicht empfehlenswert, Tableau Server auf einem Computer zu installieren, auf dem IIS ausgeführt wird. Darüber hinaus sollten Sie, sofern Sie eine Antivirensoftware ausführen, die Empfehlungen in der Knowledge Base berücksichtigen, um Tableau Server-Verzeichnisse auszuschließen. Bei den Vorgehensweisen in diesem Kapitel wird davon ausgegangen, dass Sie Tableau Server auf einem neu aufgesetzten Computer installiert haben.

Forward-Proxyserver

Bei einem Forward-Proxy handelt es sich um einen Server, der sich zwischen den Computern in Ihrem Netzwerk und dem Internet befindet. Wenn eine Anwendung auf einem Netzwerkcomputer eine Verbindung zum Internet herstellen muss, wird die Anforderung nicht direkt an das Internet gesendet. Stattdessen wird die Anforderung an den Forward-Proxy gesendet, der die Anforderung entsprechend weiterleitet. Forward-Proxys unterstützen Administratoren beim Verwalten des Datenverkehrs in Richtung Internet für Aufgaben wie Lastenausgleich, Blockieren des Zugriffs auf Sites usw.

Viele Organisationen verwenden einen Forward-Proxy in ihrem Netzwerk. In diesen Organisationen müssen die Computer im Netzwerk so konfiguriert sein, dass Datenverkehr an den Forward-Proxy gesendet wird. Dies ist im Allgemeinen erforderlich, auch wenn Benutzer nicht versuchen, auf das Internet zuzugreifen. Damit Benutzer beispielsweise Arbeitsmappen erstellen können, die Karten enthalten, müssen Tableau Desktop und Tableau Server über Zugriff auf die Tableau-Kartenserver verfügen, die im Internet gehostet sind. Standardmäßig stellt zudem die Lizenzierungskomponente für Tableau-Produkte eine Verbindung zum Internet her, um unsere Produkte zu aktivieren. Alle Tableau-Produkte müssen über Internetzugriff zum Bestätigen der jeweiligen Lizenzen verfügen, sofern Sie die Tableau-Software nicht mit dem Offlineaktivierungstool aktivieren.

Wenn in Ihrer Organisation ein Forward-Proxyserver ausgeführt wird, müssen Sie sicherstellen, dass Tableau Desktop und Server für die Verwendung dieses Proxyservers konfiguriert sind. Wenn Ihr Proxyserver Benutzer für ausgehende Verbindungen authentifiziert, müssen Sie die Windows-Internetoptionen auf Tableau Server konfigurieren, um das Konto "Als Benutzer ausführen" als den Sicherheitskontext zu verwenden.

Der Abschnitt zu den weiteren Ressourcen enthält einen Link zu weiteren Informationen über das Einrichten eines Forward-Proxyservers.

Reverse-Proxyserver

Bei einem Reverse-Proxy handelt es sich um einen Server, der Anforderungen von externen Clients (aus dem Internet) empfängt und sie an Tableau Server weiterleitet. Gründe für die Verwendung eines Reverse-Proxys. Die einfache Antwort lautet Sicherheit. Ein Reverse-Proxy stellt Tableau Server für das Internet zur Verfügung, ohne dass die IP-Adresse dieses Servers im Internet angezeigt wird. Ein Reverse-Proxy fungiert zudem als ein Authentifizierungs- und Pass-Through-Gerät, sodass keine Daten dort gespeichert werden, auf die Personen außerhalb des Unternehmens zugreifen können (in der DMZ (Demilitarized Zone)). Diese Voraussetzung kann für Organisationen wichtig sein, die verschiedenen Datenschutzrichtlinien wie PCI, HIPAA oder SOX unterliegen.

Eine Abbildung, wie ein Reverse-Proxy mit Tableau Server arbeitet

Im folgenden Diagramm wird der Kommunikationspfad veranschaulicht, wenn ein Client eine Anforderung an Tableau Server richtet, die für die Arbeit mit einem Reverse-Proxyserver konfiguriert ist.

  1. Ein externer Client initiiert eine Verbindung mit Tableau Server. Der Client verwendet die öffentliche URL, die für den Reverse-Proxyserver konfiguriert wurde, beispielsweise https://tableau.example.com. (Der Client weiß nicht, dass er auf einen Reverse-Proxy zugreift.)

  2. Der Reverse-Proxy gibt die Anforderung an Tableau Server weiter. Der Reverse-Proxy kann für die Authentifizierung des Clients (mit SSL/TLS) als eine Vorbedingung für das Weitergeben der Anforderung an Tableau Server konfiguriert werden.

  3. Tableau Server ruft die Anforderung ab und sendet seine Antwort an den Reverse-Proxy.

  4. Der Reverse-Proxy sendet den Inhalt zurück an den Client. Der Client hatte nur eine Interaktion mit Tableau Server und wird nicht darüber informiert, dass die Kommunikation durch den Reverse-Proxy vermittelt wurde.

Proxyserver und SSL

Für mehr Sicherheit sollten Sie die Proxyserver für die Verwendung von SSL für den für Ihr Netzwerk externen Datenverkehr konfigurieren. Dadurch können der Datenschutz, die Inhaltsintegrität und Authentifizierung sichergestellt werden. Sofern Sie keine weiteren Sicherheitsmaßnahmen zum Schützen des Datenverkehrs zwischen Ihrem Internet-Gateway und Tableau Server bereitgestellt haben, sollten Sie zudem SSL zwischen dem Gateway-Proxy und Tableau Server konfigurieren. Wie bereits im vorherigen Kapitel über das Sichern des Datenverkehrs zwischen Clients und Ihrem Server erwähnt, können Sie interne oder selbst signierte Zertifikate zum Verschlüsseln des Datenverkehrs zwischen Tableau Server und anderen internen Computern verwenden.

Es wird empfohlen, dass der Datenverkehr parallel mit jedem Hop per SSL gesichert wird, also von außen zum Reverse-Proxyserver und vom Reverse-Proxy zu Tableau Server. (In diesem Szenario wird empfohlen, dass Sie den Reverse-Proxy so konfigurieren, dass Verbindungen abgelehnt werden, die kein SSL verwenden (also kein https:// in der URL).

Wenn Sie die Kerberos-Authentifizierung verwenden, müssen Sie Tableau Server vor der Konfiguration von Tableau Server für Kerberos für Ihren Proxy konfigurieren.

Weitere Informationen finden Sie unter Konfigurieren von Kerberos. Außerdem können Sie SAML, OpenID Connect oder vertrauenswürdige Tickets mit einem ReverseProxy nutzen.

Konfigurieren von Tableau Server für die Verwendung mit einem Reverse-Proxyserver

In Ordnung, wir haben Sie überzeugt, einen Reverse-Proxy zu verwenden. Vor dem Konfigurieren von Tableau Server müssen Sie die folgenden Informationen über die Proxyserverkonfiguration sammeln. Sofern Sie nicht derjenige sind, der den Reverse-Proxyserver eingerichtet hat, müssen Sie sich an die entsprechende Person aus der IT-Abteilung wenden, um diese Informationen zu erhalten.

Element Beschreibung
IP-Adresse oder CNAME

Für diese Option können Sie entweder eine IP-Adresse oder einen CNAME eingeben.

Die öffentliche IP-Adresse(n) des Proxyservers. Die IP-Adresse muss im IPv4-Format angegeben werden, beispielsweise 203.0.113.0, und es muss sich um eine statische IP handeln.

Falls Sie keine statische IP-Adresse angeben können oder mit Cloud-Proxys oder mit externem Lastausgleich arbeiten, können Sie den DNS-Wert des CNAME (kanonischer Name) angeben, der von Clients zur Herstellung einer Verbindung mit Tableau Server verwendet wird. Dieser CNAME-Wert muss zur Kommunikation mit Tableau Server auf Ihrer Reverse-Proxy-Lösung konfiguriert werden.

Vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN) Der FQDN, den Personen verwenden, um Tableau Server zu erreichen, beispielsweise tableau.example.com. Tableau Server unterstützt keinen vollqualifizierten Domänennamen mit Informationen neben dem Domänennamen wie example.com/tableau. (Ihr IT-Experte versteht möglicherweise, dass Tableau Server den Kontextwechsel nicht unterstützt.)
Nicht-FQDN Unterdomänennamen für den Proxyserver. Im Beispiel tableau.example.com lautet der Unterdomänenname tableau.
Aliasse Alle öffentlichen alternativen Namen für den Proxyserver. In den meisten Fällen werden Aliasse mithilfe von CNAME-Werten zugewiesen. Zum Beispiel ein Proxyserver mit dem Namen bigbox.example.com und CNAME-Einträgen von ftp.example.com und www.example.com
Ports Portnummern für den Datenverkehr vom Client zum Reverse-Proxyserver sowie für den Datenverkehr vom Proxyserver zu Tableau Server

Verwenden Sie zum Konfigurieren von Tableau Server den Tableau Services Manager (TSM). Bei dem Tableau Services Manager handelt es sich um ein Verwaltungs-Toolset, das zur Installation, Konfiguration und Verwaltung von Tableau-Diensten dient.

  1. Legen Sie mit dem folgenden Befehl den FQDN fest, mit dem die Clients eine Verbindung zu Tableau Server über den Proxyserver herstellen sollen, wobei name den FQDN bezeichnet:

    tsm configuration set -k gateway.public.host -v "name"

    Wenn Tableau Server beispielsweise durch Eingabe von https://tableau.example.com in den Browser erreicht wird, geben Sie folgenden Befehl ein:

    tsm configuration set -k gateway.public.host -v "tableau.example.com"

  2. Legen Sie mit dem folgenden Befehl die Adresse oder den CNAME des Proxyservers fest, wobei server_address die IPv4-Adresse bzw. den CNAME-Wert bezeichnet:

    tsm configuration set -k gateway.trusted -v "server_ip_address"

    Wenn Ihr Unternehmen mehrere Proxyserver nutzt, geben Sie mehrere IPv4-Adressen ein (jeweils durch Komma getrennt). IP-Adressbereiche werden nicht unterstützt. Zum Optimieren des Start- und Initialisierungsvorgangs für Tableau Server beschränken Sie die Anzahl der Einträge unter gateway.trusted auf ein Minimum.

  3. Geben Sie den folgenden Befehl ein, um alternative Namen für den Proxyserver anzugeben, beispielsweise den zugehörigen FQDN, Nicht-FQDNs und Aliasse. Wenn mehr als ein Name vorliegt, dann trennen Sie die Namen mit einem Komma.

    tsm configuration set -k gateway.trusted_hosts -v "name1, name2, name3"

    Beispiel:

    tsm configuration set -k gateway.trusted_hosts -v "proxy1.example.com, proxy1, ftp.example.com, www.example.com"

  4. Wenn der Proxyserver per SSL mit dem Internet kommuniziert, geben Sie mit dem folgenden Befehl in Tableau an, dass der Reverse-Proxyserver den Port 443 anstelle des Ports 80 verwendet:

    tsm configuration set -k gateway.public.port -v 443

    Hinweis: Wenn der Proxyserver SSL zur Kommunikation mit Tableau Server verwendet, muss SSL für Tableau Server konfiguriert und aktiviert sein.

  5. Geben Sie den folgenden Befehl ein, um die Konfigurationsänderung zu übernehmen und den Tableau Server neu zu starten:

    tsm pending-changes apply

Konfigurieren des Reverse-Proxyservers für die Verwendung mit Tableau Server

Für das Aktivieren des Clientzugriffs aus dem Internet über einen Reverse-Proxy ist es erforderlich, dass bestimmte Nachrichtenkopfzeilen für Tableau Server beibehalten (oder hinzugefügt) werden. In der folgenden Grafik wird dies gezeigt.

Die für Tableau Server erforderlichen Header lauten:

  • REMOTE_ADDR und X-FORWARDED-FOR (XFF). Tableau Server benötigt die Header, um die IP-Adresse des Anforderungsursprungs zu bestimmen.

  • HOST und X-FORWARDED HOST (XFH). Mit diesen Kopfzeilen werden absolute Links zu Tableau Server erzeugt, wenn das Programm dem Client antwortet.

  • X-FORWARDED-PROTO (XFP). Dieser Header ist erforderlich, wenn Sie SSL auf dem Proxy, nicht aber auf Tableau Server ausführen. Wie erwähnt, wird das Ausführen von SSL auf jedem Hop empfohlen.

Problembehebung und Notizen für Reverse-Proxys

Da unterschiedliche Proxylösungen vorhanden sind, können die Schritte für das Einrichten der durchgängigen Konfiguration nicht angegeben werden. Wir haben jedoch einige Tipps und andere Informationen für das Aktivieren eines Reverse-Proxys mit Tableau Server gesammelt.

Konfigurieren von Headern

  • Die X-FORWARDED-PROTO-Header sind für Szenarien wichtig, in denen HTTP oder HTTPS nicht parallel mit jedem Hop der Nachrichtenroute verwaltet wird. Wenn beispielsweise für den Reverse-Proxy für ausgehende Anforderungen SSL erforderlich, der Datenverkehr zwischen dem Reverse-Proxy und Tableau Server jedoch nicht für die Verwendung von SSL konfiguriert ist, sind X-FORWARDED-PROTO-Header erforderlich. Einige Proxylösungen fügen automatisch X-FORWARDED-PROTO-Header hinzu, andere wiederum nicht. Schließlich müssen Sie in Abhängigkeit Ihrer Proxylösung möglicherweise den Port für die Weiterleitung konfigurieren, um die Anforderung von Port 443 in Port 80 zu übersetzen.

  • Für einige Proxyserver ist neben dem Header X-FORWARDED-PROTO eine Regel erforderlich. Zum Beispiel ist es für ein F5-Proxygerät erforderlich, dass Sie eine iRule auf den virtuellen Server anwenden, der den URL-Namespace für Tableau Server hostet.

  • Proxyserver und der externe Lastenausgleich können in mehreren Formationen kombiniert und gestapelt werden. Wenn mehrere Hops vorhanden sind, muss die Reihenfolge der in Tableau Server angezeigten Header mit der Abfolge der Hops übereinstimmen, die der Datenverkehr überwunden hat, um Tableau Server zu erreichen. Zusätzlich müssen zum Aktivieren von vertrauenswürdigen Tickets alle Proxyserver in der Kette in den Einstellungen gateway.trusted und trusted.hosts angegeben werden.

  • Wenn mehrere IPs in der Einstellung gateway.trusted vorhanden sind, müssen Sie die jeweiligen Werte mit einem Komma und einem Leerzeichen voneinander trennen, wenn Sie den Befehl auslösen, beispielsweise "203.0.113.0, 10.32.56.78". Die gesamte Zeichenfolge muss wie gezeigt in doppelte Anführungszeichen gesetzt werden.

Authentifizierung

  • Wenn Sie die Kerberos-Authentifizierung verwenden, müssen Sie Tableau Server vor der Konfiguration von Tableau Server für Kerberos für Ihren Proxy konfigurieren.

    Für weitere Informationen, siehe Konfigurieren von Kerberos in der Tableau Server-Hilfe.

  • Apache-Reverse-Proxyserver werden nicht unterstützt, wenn Tableau Server SSPI (Active Directory mit "Automatische Anmeldung aktivieren") zur Authentifizierung von Tableau Server-Benutzern verwendet. Apache-Reverse-Proxyserver werden unterstützt, wenn Tableau Server zur Authentifizierung von Server-Benutzern nur Active Directory (ohne Automatische Anmeldung aktivieren) verwendet.

  • Konfigurieren Sie Ihren Proxy für die Authentifizierung mit SSL. Konfigurieren Sie Ihren Proxyserver nicht so, dass Benutzer aufgefordert werden, sich zu authentifizieren.

Fahren Sie mit Erstellen von Benutzern fort.

Weitere Ressource

  • Konfigurieren von Proxys für Tableau Server. Eine Themenseite in der Tableau Server-Hilfe, auf der Konfigurationsinformationen für komplexe Bereitstellungen erläutert werden.

  • Desktop-Bereitstellungshandbuch. Dieser Leitfaden enthält Informationen über das Planen, Installieren und Vornehmen eines Upgrades von Tableau Desktop für die eigene Verwendung oder für mehrere Benutzer.
Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedback. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.