Configuração da comunicação com a Internet

No capítulo anterior discutimos como configurar SSL para ajudar a proteger o tráfego entre os clientes (navegadores, dispositivos móveis etc.) e o Tableau Server. Configurar o SSL sempre é uma boa ideia, mas é essencial se você for permitir que clientes de fora da sua rede (ou seja, da internet pública) acessem o Tableau Server. Se você ignorou esse capítulo, mas talvez permita que as pessoas acessem o Tableau Server de fora da sua rede, volte e leia-o. Você realmente não deve permitir o acesso ao servidor, a menos que tenha SSL configurado.

Se você pretende permitir o acesso externo, também tem que configurar um servidor proxy reverso. Neste capítulo são discutidos os servidores proxy: o que são e por que usá-los. Também fornecemos algumas diretrizes sobre como configurar servidores proxy.

 

Hora de ligar para o seu amigo de TI

Diferentemente da maioria dos outros capítulos do Tableau Server: Guia de instalação para todos, onde você pode concluir a configuração do servidor apenas com o mínimo de ajuda de um profissional de TI, escrevemos este capítulo para o profissional de TI. Tentamos descrever os conceitos de maneiras que esperamos que todos possam acompanhar, mas a configuração de servidores proxy envolve o gerenciamento de certificados, a configuração de proxy e de parâmetros de gateway e a configuração de rede avançada. Se você não for um profissional de TI e estiver trabalhando por sua conta até aqui usando este guia, agora é hora de chamar um profissional.

Como o Tableau se comunica com a internet

O Tableau Server precisa de acesso de saída para a Internet nestes cenários:

  • Trabalho com mapas. O Tableau usa dados de mapa que são hospedados externamente.

    O Tableau Server precisa se conectar aos seguintes locais de Internet com a porta 443 para usar mapas:

    • mapsconfig.tableau.com
    • api.mapbox.com

    Se ele não conseguir fazer essas conexões, os mapas não carregarão.

    Teste a conectividade ao acessar cada um destes endereços em um navegador: https://mapsconfig.tableau.com/v1/config.json(O link abre em nova janela) e https://api.mapbox.com/(O link abre em nova janela) o solicitará a baixar um arquivo json.

    Se você usar um proxy para se conectar à Internet e não conseguir se conectar a api.mapbox.com, consulte Trabalho com firewalls(O link abre em nova janela) no site da Mapbox.

    Para o Tableau Server versão 2019.1 e anterior, consulte a documentação da sua versão: Ajuda do Tableau(O link abre em nova janela)

  • Como conectar-se ao servidor de send-logs do Tableau.

    É possível fazer upload de arquivos de registro para o Tableau ao trabalhar com o Suporte. Consulte tsm maintenance send-logs(O link abre em nova janela). Para fazer upload de arquivos com sucesso para o Tableau, o Servidor Tableau deve se comunicar com o servidor de send-logs na porta 443:

    report-issue.tableau.com:443

  • Enviando dados básicos do produto.

    O domínio, prod.telemetry.tableausoftware.com, é usado pelo Tableau para receber os Dados básicos do produto sobre a inicialização e o desligamento do processo. Também é usado para os dados mais gerais de uso do produto.

    O tráfego para este domínio ocorrerá na porta 80 (para registro inicial de nossos clientes de Dados de produto) e na porta 443 (para todo o tráfego subsequente).

    prod.telemetry.tableausoftware.com:80

    prod.telemetry.tableausoftware.com:443

  • Licenciamento. Os produtos do Tableau se conectam à Internet para ativar chaves de produto. A menos que você ative o software Tableau com a Ferramenta de ativação off-line, todos os produtos do Tableau devem ter acesso à Internet para validar as licenças. Especificamente, o Tableau requer acesso à Internet durante as seguintes operações de licenciamento: ativação, desativação e na data de manutenção da atualização. Para obter mais informações sobre essas operações, consulte Gerenciar licenças(O link abre em nova janela).

    O Tableau Server precisa se conectar aos seguintes locais na Internet para fins de licenciamento:

    • licensing.tableau.com:443

    • atr.licensing.tableau.com:443

    • s.ss2.us

    • ocsp.rootg2.amazontrust.com

    • ocsp.rootca1.amazontrust.com

    • ocsp.sca1b.amazontrust.com

    • crt.sca1b.amazontrust.com

    • crt.rootca1.amazontrust.com

    • ocsp.sca0a.amazontrust.com

    • crt.sca0a.amazontrust.com

    • ocsp.sca1a.amazontrust.com

    • crt.sca1a.amazontrust.com

    • ocsp.sca2a.amazontrust.com

    • crt.sca2a.amazontrust.com

    • ocsp.sca3a.amazontrust.com

    • crt.sca3a.amazontrust.com

    • ocsp.sca4a.amazontrust.com

    • crt.sca4a.amazontrust.com

    • crl.rootca1.amazontrust.com

    • crl.rootg2.amazontrust.com

    • crl.sca1b.amazontrust.com

    As solicitações para os domínios acima podem ser feitas na porta 80 ou 443. A porta 80 é utilizada para validação de certificados (revogação, cadeia de certificados etc). A porta 443 é usada para conexões SSL.

    Se o Tableau Server não conseguir fazer uma conexão enquanto estiver tentando ativar sua licença, você será solicitado a fazer uma ativação offline.

  • Trabalho com dados externos ou na nuvem.

    O Tableau Server precisa se conectar aos seguintes locais de Internet para serviços de Box, Dropbox, OneDrive, Google Drive, Google Sheets e Anaplan:

    galop.connectors.tableau.com:443: atualiza as configurações do ambiente.

Tableau Server e servidores proxy

O Tableau Server foi projetado para operar dentro de uma rede interna protegida. Portanto, nossa primeira recomendação importante é esta: não configure o Tableau Server no computador que está atuando como o gateway de internet da organização. Como recomendamos no início, coloque o Tableau Server em um computador dedicado que não esteja executando nenhum outro processo e, nesse caso, que não esteja diretamente exposto à internet.

Em vez disso, você deve configurar um servidor proxy: um computador que media o tráfego entre uma rede local (interna) e a Internet. O Servidor proxy avançado media o tráfego de dentro da rede para os destinos na Internet. Os Servidores de proxy reverso mediam o tráfego reverso da Internet para destinos dentro da rede.

Se você estiver trabalhando em uma grande organização, seu departamento de TI sem dúvida já configurou os servidores proxy. Se você estiver trabalhando sozinho, conforme observado, talvez seja necessário consultar alguém que tenha experiência com servidores proxy. Mas vamos começar com uma visão geral dos servidores proxy.

Importante: Como discutido no capítulo Planejamento da sua implantação, não é recomendado instalar o Tableau Server em computadores com IIS. Além disso, em máquinas com software de antivírus, siga as recomendações na Base de dados de conhecimento(O link abre em nova janela) para excluir os diretórios do Tableau Server. Os procedimentos deste capítulo presumem que o Tableau Server foi instalado em um computador que não possui o programa.

Servidor proxy de encaminhamento

Um proxy de encaminhamento é um servidor que fica entre os computadores dentro da rede e da Internet. Quando um aplicativo em um computador de rede precisa acessar a Internet, ele não envia a solicitação diretamente à Internet. Em vez disso, ele envia a solicitação ao proxy de encaminhamento que, por sua vez, encaminha a solicitação. Os proxies avançados ajudam os administradores a gerenciar o tráfego para fora da Internet, em tarefas como balanceamento de carga, bloqueio de acesso a sites etc.

Muitas organizações usam um proxy de encaminhamento na sua rede. Nessas organizações, os computadores dentro da rede devem ser configurados para enviar o tráfego ao proxy de encaminhamento. Em geral, isso será necessário se os próprios usuários não estiverem tentando acessar a Internet. Por exemplo, para que os usuários possam criar pastas de trabalho que incluam mapas, o Tableau Desktop e o Tableau Server devem ter acesso aos servidores de mapa do Tableau hospedados na Internet. Além disso, por padrão, o componente de licenciamento de produtos do Tableau conecta-se à Internet para ativar nossos produtos. A menos que você ative o software Tableau com a Ferramenta de ativação offline(O link abre em nova janela), todos os produtos do Tableau devem ter acesso à Internet para validar suas licenças.

Se a sua organização executar um servidor proxy de encaminhamento, você deve assegurar que o Tableau Desktop e o Server estejam configurados para usar esse servidor proxy. Se o seu servidor proxy autenticar usuários para conexões de saída, será necessário configurar as Opções de Internet do Windows no Tableau Server para executar a conta de usuário Run As como o contexto de segurança.

Posteriormente, a seção Recursos adicionais inclui um link para mais informações sobre como configurar um servidor proxy de encaminhamento.

Servidor de proxy reverso

Um servidor de proxy reverso é um servidor que recebe solicitações de clientes externos (a Internet) e as encaminha para o Tableau Server. Por que usar um proxy reverso? A resposta básica é segurança. Um proxy reverso torna o Tableau Server disponível para a Internet sem ter que expor o endereço IP nesse servidor à Internet. Um proxy reverso também atua como um dispositivo de autenticação e passagem, para que nenhum dado seja armazenado em locais em que pessoas fora da empresa possam acessá-lo (no DMZ, para aqueles que conhecem esse termo). Este requisito pode ser importante para as organizações sujeitas a várias regulamentações de privacidade, como PCI, HIPAA ou SOX.

Uma ilustração de como um proxy reverso funciona com o Tableau Server

O diagrama a seguir ilustra o caminho de comunicação quando um cliente faz uma solicitação ao Tableau Server configurado para funcionar com um servidor proxy reverso.

  1. Um cliente externo inicia uma conexão com o Tableau Server. O cliente usa uma URL pública configurada para o servidor proxy reverso, como https://tableau.example.com. (O cliente não sabe que está acessando um proxy reverso.)

  2. O proxy reverso passa a solicitação ao Tableau Server. O proxy reverso pode ser configurado para autenticar o cliente (usando SSL/TLS) como uma pré-condição para passar a solicitação ao Tableau Server.

  3. O Tableau Server recebe a solicitação e envia a resposta ao proxy reverso.

  4. O proxy reverso envia o conteúdo de volta ao cliente. Em relação ao cliente, ele acabou de ter uma interação com o Tableau Server e não tem como saber que a comunicação foi mediada pelo proxy reverso.

Servidores proxy e SSL

Para fins de segurança aprimorada, você deve configurar os servidores proxy para usar SSL em qualquer tráfego que seja externo à sua rede. Isso ajuda a garantir a privacidade, a integridade do conteúdo e a autenticação. A menos que você tenha implantado outras medidas de segurança para proteger o tráfego entre o seu gateway de internet e o Tableau Server, também recomendamos configurar o SSL entre o proxy do gateway e o Tableau Server. Conforme mencionado no capítulo anterior, Proteger o tráfego entre clientes e o seu servidor, você pode usar certificados internos ou autoassinados para criptografar o tráfego entre Tableau Servers e outros computadores internos.

Nós realmente recomendamos que o tráfego seja protegido por SSL a cada salto: de fora do servidor de proxy reverso, e do proxy reverso para o Tableau Server. Neste cenário, recomendamos que você configure o proxy reverso para rejeitar conexões que não usam SSL (ou seja, que não usam https:// na URL).

Se você for usar a autenticação do Kerberos, precisará configurar o Tableau Server para o seu proxy antes de configurar o Tableau Server para Kerberos.

Para obter mais informações, consulte Configurar o Kerberos(O link abre em nova janela). Além disso, é possível usar SAML, OpenID Connect ou Trusted Tickets com um proxy reverso.

Configurar o Tableau Server para funcionar com um servidor proxy reverso

OK, falamos sobre como usar um proxy reverso. Antes de configurar o Tableau Server, você precisará coletar as informações a seguir sobre a configuração do servidor proxy. A menos que você seja a pessoa que configura o servidor de proxy reverso, será necessário consultar o profissional de TI para obter essa informação.

Item Descrição
Endereço IP ou CNAME

Você pode inserir um endereço IP ou um CNAME nessa opção.

O endereço IP público ou os endereços do servidor proxy. O endereço IP deve estar no formato IPv4, como 203.0.113.0, e deve ser um IP estático.

Caso não consiga fornecer um IP estático ou, se estiver usando proxies em nuvem ou balanceadores de carga externos, é possível especificar o valor DNS de CNAME (nome canônico) que os clientes usarão para se conectar ao Tableau Server. Este valor CNAME deve ser configurado na solução de proxy reverso para se comunicar com o Tableau Server.

FQDN O nome de domínio totalmente qualificado que as pessoas usam para acessar o Tableau Server, como tableau.example.com. O Tableau Server não deve ser compatível com FQDN com informações além do nome do domínio, como example.com/tableau. (O profissional de TI talvez entenda que isso significa que o Tableau Server não oferece suporte à alternância de contexto.)
Não FQDN Qualquer nome de subdomínio para o servidor proxy. No exemplo tableau.example.com, o nome do subdomínio é tableau.
Aliases Quaisquer nomes alternativos públicos do servidor proxy. Na maioria dos casos, os aliases são designados usando valores CNAME. Um exemplo seria um servidor proxy bigbox.example.com e entradas CNAME de ftp.example.com e www.example.com.
Portas Os números de porta para tráfego do cliente para o servidor de proxy reverso e para o tráfego do servidor proxy para o Tableau Server.

Para configurar o Tableau Server, use o Tableau Services Manager (TSM). O Tableau Services Manager é um conjunto de ferramentas de gerenciamento usado para instalar, configurar e gerenciar os serviços do Tableau.

  1. Insira o seguinte comando para acessar o FQDN que os clientes usarão para chegar ao Tableau Server pelo servidor proxy, no qual name é o FQDN:

    tsm configuration set -k gateway.public.host -v "name"

    Por exemplo, se o Tableau Server for encontrado inserindo-se https://tableau.example.com no navegador, digite este comando:

    tsm configuration set -k gateway.public.host -v "tableau.example.com"

  2. Digite o seguinte comando para definir o endereço ou o CNAME do servidor proxy, no qual server_address é o endereço IPv4 ou o valor CNAME:

    tsm configuration set -k gateway.trusted -v "server_ip_address"

    Se a empresa usar vários servidores proxy, insira vários endereços IPv4, separando-os com vírgulas. Intervalos de IP não são suportados. Para melhorar a inicialização do Tableau Server, reduza o número de entradas em gateway.trusted.

  3. Insira o comando a seguir para especificar nomes alternativos para o servidor proxy, como seu nome de domínio totalmente qualificado, nomes de domínio não totalmente qualificados e aliases. Se houver mais de um nome, separe-os por vírgula.

    tsm configuration set -k gateway.trusted_hosts -v "name1, name2, name3"

    Por exemplo:

    tsm configuration set -k gateway.trusted_hosts -v "proxy1.example.com, proxy1, ftp.example.com, www.example.com"

  4. Se o servidor proxy estiver usando SSL para se comunicar com a Internet, execute o seguinte comando, que diz ao Tableau que o servidor de proxy reverso está usando a porta 443 em vez da porta 80:

    tsm configuration set -k gateway.public.port -v 443

    Observação: se o servidor proxy estiver usando SSL para se comunicar com o Tableau Server, o SSL deverá ser configurado e estar habilitado no Tableau Server.

  5. Insira o comando a seguir para aplicar a alteração de configuração e reiniciar o Tableau Server:

    tsm pending-changes apply

Configurar o servidor proxy reverso para funcionar com o Tableau Server

A ativação do acesso de cliente pela Internet por meio de um proxy reverso requer que determinados cabeçalhos de mensagem sejam preservados (ou adicionados) ao Tableau Server. A imagem a seguir mostra isso.

Os cabeçalhos exigidos pelo Tableau Server são:

  • REMOTE_ADDR e X-FORWARDED-FOR (XFF). O Tableau Server precisa desses cabeçalhos para determinar o endereço IP de origem das solicitações.

  • HOST e X-FORWARDED HOST (XFH). Esses cabeçalhos são usados para gerar links absolutos para o Tableau Server quando ele responde ao cliente.

  • X-FORWARDED-PROTO (XFP). Esse cabeçalho será necessário se você estiver usando SSL no proxy, mas não no Tableau Server. Conforme observado, recomendamos o uso de SSL em todos os saltos.

Soluções de problemas e anotações para proxies reversos

Como há soluções de proxy diferentes, não podemos errar as etapas de configuração na configuração de ponta a ponta. No entanto, coletamos algumas dicas e outras informações relacionadas à ativação de um proxy reverso com o Tableau Server.

Configurar cabeçalhos

  • Os cabeçalhos X-FORWARDED-PROTO são importantes para cenários em que HTTP ou HTTPS não são mantidos ao longo de cada salto da rota de mensagem. Por exemplo, se o proxy reverso necessita de SSL para solicitações externas, mas o tráfego entre o proxy reverso e o Tableau Server não está configurado para usar SSL, os cabeçalhos X-FORWARDED-PROTO são necessários. Algumas soluções de proxy acrescentam os cabeçalhos X-FORWARDED-PROTO automaticamente, enquanto outras não. Finalmente, dependendo da sua solução proxy, você pode ter que configurar o encaminhamento de porta para traduzir a solicitação da porta 443 à porta 80.

  • Alguns servidores proxy exigem uma regra, além do cabeçalho X-FORWARDED-PROTO. Por exemplo, um dispositivo proxy F5 requer que você aplique uma iRule ao servidor virtual que hospeda o namespace da URL para o Tableau Server.

  • Os servidores proxy e balanceadores de carga externa podem ser combinados e empilhados em várias formações. No caso de haver vários saltos, a ordem dos cabeçalhos apresentados ao Tableau Server deve corresponder à sequência de saltos que o tráfego executou para acessar o Tableau Server. Além disso, para habilitar tickets confiáveis, todos os servidores proxy na cadeia devem ser especificados nas configurações de gateway.trusted e trusted.hosts.

  • Se houver vários IPs na configuração de gateway.trusted, separe os valores com uma vírgula e um espaço ao emitir o comando , por exemplo "203.0.113.0, 10.32.56.78". Toda a cadeia de caracteres também deve ser colocada entre aspas duplas, conforme mostrado.

Autenticação

  • Se você for usar a autenticação do Kerberos, precisará configurar o Tableau Server para o seu proxy antes de configurar o Tableau Server para Kerberos.

    Para obter mais informações, consulte Configurar Kerberos(O link abre em nova janela) na Ajuda do Tableau Server.

  • Os servidores de proxy reverso Apache não são compatíveis caso o Tableau Server esteja usando SSPI (Active Directory com Habilitar logon automático) na autenticação de usuários do Tableau Server. Os servidores de proxy reverso Apache são compatíveis caso o Tableau Server esteja autenticando usuários do servidor apenas com Active Directory (sem Habilitar logon automático),

  • Configure seu proxy para autenticação com SSL. Não configure seu servidor proxy para solicitar autenticação dos usuários.

Continue para Criação de usuários.

Recurso adicional

Agradecemos seu feedback!