Windows-Sicherheit von Bridge
Tableau Bridge wendet die folgenden Sicherheitskonzepte an:
- Die gesamte Kommunikation wird hinter der Firewall des privaten Netzwerks initiiert. Daher müssen Sie keine zusätzlichen Ausnahmen verwalten.
- Daten sind während ihrer Übertragung zwischen Tableau Bridge und Tableau Cloud verschlüsselt.
- Datenbankanmeldeinformationen werden mithilfe des Windows-Anmeldeinformationsmanagers auf dem Computer gespeichert, wenn die Datenquelle oder virtuelle Verbindung für die Verwendung von Bridge-Legacy-Zeitplänen eingerichtet ist. Für Aktualisierungszeitpläne werden die Anmeldeinformationen an den Client weitergegeben, der für die Durchführung der Aktualisierung ausgewählt wird.
Weitere Informationen zur Bridge-Sicherheit finden Sie in den Abschnitten unten.
Übertragungssicherheit
Hinweis: Tableau Bridge verwendet Port 443 für ausgehende Internetanforderungen an Tableau Cloud und Port 80 für die Zertifikatsvalidierung.
Tableau Bridge initiiert über eine WebSocket-Verbindung (wss://) eine sichere, bidirektionale Kommunikation mit Ihrer Tableau Cloud-Umgebung. Die WebSocket-Verbindung ist dauerhaft und koordiniert den Upload von Daten zwischen Bridge und Tableau Cloud. Alle Benutzer werden authentifiziert und autorisiert, bevor die Verbindung hergestellt wird, und alle Eingaben werden dahingehend überprüft, dass sie aus vertrauenswürdigen Quellen innerhalb von Tableau Cloud stammen.
Authentifizierung
Es gibt zwei primäre Authentifizierungspunkte für Bridge: Tableau Cloud und private Netzwerkdaten.
Wenn die Verknüpfung des Clients aufgehoben wird oder wenn Sie auf eine neue Version aktualisieren, müssen Sie sich nicht erneut anmelden. In diesem Szenario verwendet Bridge das vorhandene Token, das lokal im Windows-Anmeldeinformationsspeicher gespeichert ist.
Wenn der Client heruntergefahren oder die Option „Beenden“ in der Windows-Taskleiste verwendet wird, müssen Sie sich erneut anmelden und Anmeldeinformationen angeben. Dadurch wird ein neues Aktualisierungstoken erstellt, das im Windows-Anmeldeinformationsspeicher gespeichert wird.
Sie können die Token im Anmeldeinformations-Manager überprüfen und die allgemeinen Anmeldeinformationen für TABLEAU_CONNECTIONS_online.tableau.com.
Tableau Cloud
Zum Herstellen einer Verbindung zu Tableau Cloud werden die Anmeldeinformationen eines Benutzers für Tableau Cloud über den Bridge-Client eingegeben.
Nachdem 1.) die Anmeldeinformationen eingegeben wurden, gibt 2.) Tableau Cloud ein Autorisierungstoken zurück. Das 3) Token wird mithilfe des Anmeldeinformationsmanagers des Windows-Betriebssystems auf dem Computer gespeichert, auf dem der Client ausgeführt wird. Bridge verwendet das Token zum Ausführen diverser Aufgaben, beispielsweise zum Herunterladen der Aktualisierungszeitplan-Informationen für einen Extrakt.
Private Netzwerk-Daten
Für den Zugriff auf private Netzwerk-Daten ist bei einigen Datenquellen oder virtuellen Verbindungen eine Authentifizierung mithilfe von Datenbankanmeldeinformationen Verbindung erforderlich. Je nach Verbindungstyp der Inhalte verarbeitet der Client die Datenbankanmeldeinformationen auf eine der folgenden Arten:
Bei Direktverbindungen und Extraktverbindungen, die Aktualisierungszeitpläne verwenden, werden Datenbankanmeldeinformationen zum Zeitpunkt der Anfrage gesendet, und es wird eine TLS 1.2-Verbindung verwendet.
Für Extraktverbindungen, die Bridge-Legacy-Zeitpläne verwenden, müssen Anmeldeinformationen direkt im Client eingegeben werden, wenn für Ihre Datenquelle Datenbankanmeldeinformationen erforderlich sind. Die Datenbankanmeldeinformationen werden mithilfe des Anmeldeinformationsmanagers des Windows-Betriebssystems auf dem Computer gespeichert. Der Client sendet die Datenbankanmeldeinformationen zum geplanten Aktualisierungszeitpunkt an die Datenbank, die sich ebenfalls hinter der Firewall des privaten Netzwerks befindet.
Der Client unterstützt die domänenbasierte Sicherheit (Active Directory) und Anmeldeinformationen mit Namen/Kennwort, um auf private Netzwerk-Daten zuzugreifen.
Änderungen an der Firewall des privaten Netzwerks
Der Bridge-Client benötigt keine Änderungen an der Firewall des privaten Netzwerks. Der Client erreicht dies, indem er nur ausgehende Verbindungen zu Tableau Cloud herstellt. Damit ausgehende Verbindungen zulässig sind, verwendet der Client je nach Verbindungstyp der Inhalte die folgenden Protokolle:
Für Direktverbindungen und Extraktverbindungen, die Aktualisierungszeitpläne verwenden, sichere WebSockets (wss://).
Für Extraktverbindungen, die Bridge-Legacy-Zeitpläne verwenden, HTTP Secure (https://).
Zugriff auf private Netzwerk-Daten
Verbindungen zu Daten im privaten Netzwerk werden von dem Bridge-Client im Namen von Tableau Cloud veranlasst. Der Prozess, durch den die Verbindung initiiert wird, ist vom Inhaltstyp und vom Verbindungstyp abhängig.
Bei Datenquellen mit Direktverbindungen oder virtuellen Verbindungen stellt der Client 1.) mithilfe von sicheren WebSockets (wss://) eine permanente Verbindung zu einem Tableau Bridge-Dienst her, der zu dem Client gehört, der sich in Tableau Cloud befindet. Anschließend wartet der Client auf eine Antwort von Tableau Cloud, bevor er 2.) eine Live-Abfrage der Daten im privaten Netzwerk initiiert. Der Client 3) übergibt die Abfrage an die privaten Netzwerk-Daten und 4) gibt dann die privaten Netzwerk-Daten über 5) dieselbe permanente Verbindung zurück.
Bei Datenquellen mit Extraktverbindungen, die Aktualisierungszeitpläne verwenden, stellt der Client 1.) mithilfe von sicheren WebSockets (wss://) eine permanente Verbindung zu einem Tableau Bridge-Dienst her, der zu dem Client gehört, der sich in Tableau Cloud befindet. Anschließend wartet der Client auf eine Anforderung aus Tableau Cloud hinsichtlich neuer Aktualisierungszeitpläne. Wenn der Client die Anforderungen empfängt, 2.) kontaktiert der Client Tableau Cloud über eine sichere Verbindung (https://) für die Datenquellendateien (.tds). 3/4) Dann stellt der Client eine Verbindung zu den privaten Netzwerkdaten her, indem er die eingebetteten Anmeldeinformationen verwendet, die in der Auftragsanfrage enthalten sind. Der Client 5.) erstellt einen Extrakt der Daten und 6.) veröffentlicht den Extrakt dann in Tableau Cloud mithilfe des Tableau Bridge-Dienstes. Die Schritte 2 bis 6 können parallel ausgeführt werden, um mehrere Aktualisierungsanforderungen zu ermöglichen.
Für Datenquellen mit Extraktverbindungen, die Bridge-Legacy-Zeitpläne verwenden, 1.) kontaktiert der Client Tableau Cloud über eine sichere Verbindung (https://) für neue Aktualisierungszeitpläne und Datenquellendateien (.tds). Wenn 2) diese Informationen verfügbar sind (zur geplanten Zeit), 3/4) stellt der Client mithilfe der gespeicherten Anmeldeinformationen eine Verbindung zu den privaten Netzwerk-Daten her. Der Client 5.) erstellt einen Extrakt der Daten und 6.) veröffentlicht den Extrakt dann in Tableau Cloud mithilfe eines Tableau Bridge-Dienstes. Der Tableau Bridge-Dienst ist Bestandteil des Clients, der sich in Tableau Cloud befindet.
Forward-Proxy-Filterung
Um sicherzustellen, dass Ihre Daten nur an Tableau Cloud übertragen werden, empfehlen wir, eine domänenbasierte Filterung für vom Bridge-Client ausgehende Verbindungen (Forward-Proxy-Filterung) zu implementieren. Nach der ersten ausgehenden Verbindung erfolgt die Kommunikation bidirektional.
Tableau Bridge unterstützt weder Pass-Through noch manuelle Proxy-Authentifizierung.
Die folgende Liste enthält die teilweise qualifizierten Domänennamen, die Bridge für ausgehende Verbindungen verwendet:
- *.online.tableau.com
- *.compute-1.amazonaws.com, öffentlicher Amazon VPCs-DNS-Hostname, der die Form ec2-<public-ipv4-address>.compute-1.amazonaws.com für die Region us-east-1 annimmt
- *.compute.amazonaws.com, der öffentliche DNS-Hostname von Amazon VPC, der die Form ec2-<public-ipv4-address>.compute.amazonaws.com für alle anderen Regionen (außerhalb von us-east-1) annimmt
- (Optional) *.salesforce.com, wenn Multi-Faktor-Authentifizierung (MFA) mit Tableau-Authentifizierung (Tableau mit MFA) für Ihre Site aktiviert ist und Ihre Umgebung Proxys verwendet, die Clients am Zugriff auf andere erforderliche Dienste hindern
- (Optional) crash-artifacts-747369.s3.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
- (Optional) s3-us-west-2-w.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
- (Optional) s3-w-a.us-west-2.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
- (Optional) bam.nr-data.net, wird für die Webanalyseplattformen von New Relic verwendet
- (Optional) js-agent.newrelic.com, sendet Leistungsdaten an New Relic.