Windows-Sicherheit von Bridge

Anwendungsbereich: Tableau Cloud

Tableau Bridge wendet die folgenden Sicherheitskonzepte an:

  • Die gesamte Kommunikation wird hinter der Firewall des privaten Netzwerks initiiert. Daher müssen Sie keine zusätzlichen Ausnahmen verwalten.
  • Daten auf dem Übertragungsweg von und an Bridge werden verschlüsselt.
  • Datenbankanmeldeinformationen werden mithilfe des Windows-Anmeldeinformationsmanagers auf dem Computer gespeichert, wenn die Datenquelle oder virtuelle Verbindung für die Verwendung von Bridge-Zeitplänen (Legacy) eingerichtet ist. Für Online-Zeitpläne werden die Anmeldeinformationen an den Client weitergegeben, der für die Durchführung der Aktualisierung ausgewählt wird.

Weitere Informationen zur Bridge-Sicherheit finden Sie in den Abschnitten unten.

Übertragungssicherheit

Von und an Bridge gesendete Daten werden über eine TLS 1.2-Verbindung übertragen.

Hinweis: Tableau Bridge verwendet Port 443 für ausgehende Internetanforderungen an Tableau Cloud und Port 80 für die Zertifikatsvalidierung.

Authentifizierung

Es gibt zwei primäre Authentifizierungspunkte für Bridge: Tableau Cloud und private Netzwerkdaten.

Tableau Cloud

Zum Herstellen einer Verbindung zu Tableau Cloud werden die Anmeldeinformationen eines Benutzers für Tableau Cloud über den Bridge-Client eingegeben.

Nachdem 1.) die Anmeldeinformationen eingegeben wurden, gibt 2.) Tableau Cloud ein Autorisierungstoken zurück. Das 3) Token wird mithilfe des Anmeldeinformationsmanagers des Windows-Betriebssystems auf dem Computer gespeichert, auf dem der Client ausgeführt wird. Bridge verwendet das Token zum Ausführen diverser Aufgaben, beispielsweise zum Herunterladen der Aktualisierungszeitplan-Informationen für einen Extrakt.

Private Netzwerk-Daten

Für den Zugriff auf private Netzwerk-Daten ist bei einigen Datenquellen oder virtuellen Verbindungen eine Authentifizierung mithilfe von Datenbankanmeldeinformationen Verbindung erforderlich. Je nach Verbindungstyp der Inhalte verarbeitet der Client die Datenbankanmeldeinformationen auf eine der folgenden Arten:

  • Bei Direktverbindungen und Extraktverbindungen, die Online-Zeitpläne verwenden, werden Datenbankanmeldeinformationen zum Zeitpunkt der Anfrage gesendet und es wird eine TLS 1.2-Verbindung verwendet.

  • Für Extraktverbindungen, die Bridge (Legacy)-Zeitpläne verwenden, müssen Anmeldeinformationen direkt im Client eingegeben werden, wenn für Ihre Datenquelle Datenbankanmeldeinformationen erforderlich sind. Die Datenbankanmeldeinformationen werden mithilfe des Anmeldeinformationsmanagers des Windows-Betriebssystems auf dem Computer gespeichert. Der Client sendet die Datenbankanmeldeinformationen zum geplanten Aktualisierungszeitpunkt an die Datenbank, die sich ebenfalls hinter der Firewall des privaten Netzwerks befindet.

Der Client unterstützt die domänenbasierte Sicherheit (Active Directory) und Anmeldeinformationen mit Namen/Kennwort, um auf private Netzwerk-Daten zuzugreifen.

Änderungen an der Firewall des privaten Netzwerks

Der Bridge-Client benötigt keine Änderungen an der Firewall des privaten Netzwerks. Der Client erreicht dies, indem er nur ausgehende Verbindungen zu Tableau Cloud herstellt. Damit ausgehende Verbindungen zulässig sind, verwendet der Client je nach Verbindungstyp der Inhalte die folgenden Protokolle:

  • Für Direktverbindungen und Extraktverbindungen, die Online-Zeitpläne verwenden, sichere WebSockets (wss://).

  • Für Extraktverbindungen, die Bridge (Legacy)-Zeitpläne verwenden, HTTP Secure (https://).

Zugriff auf private Netzwerk-Daten

Verbindungen zu Daten im privaten Netzwerk werden von dem Bridge-Client im Namen von Tableau Cloud veranlasst. Der Prozess, durch den die Verbindung initiiert wird, ist vom Inhaltstyp und vom Verbindungstyp abhängig.

  • Bei Datenquellen mit Direktverbindungen oder virtuellen Verbindungen stellt der Client 1.) mithilfe von sicheren WebSockets (wss://) eine permanente Verbindung zu einem Tableau Bridge-Dienst her, der zu dem Client gehört, der sich in Tableau Cloud befindet. Anschließend wartet der Client auf eine Antwort von Tableau Cloud, bevor er 2.) eine Live-Abfrage der Daten im privaten Netzwerk initiiert. Der Client 3) übergibt die Abfrage an die privaten Netzwerk-Daten und 4) gibt dann die privaten Netzwerk-Daten über 5) dieselbe permanente Verbindung zurück.

  • Bei Datenquellen mit Extraktverbindungen, die Online-Zeitpläne verwenden, stellt der Client 1.) mithilfe von sicheren WebSockets (wss://) eine permanente Verbindung zu einem Tableau Bridge-Dienst her, der zu dem Client gehört, der sich in Tableau Cloud befindet. Anschließend wartet der Client auf eine Anforderung aus Tableau Cloud hinsichtlich neuer Aktualisierungszeitpläne. Wenn der Client die Anforderungen empfängt, 2.) kontaktiert der Client Tableau Cloud über eine sichere Verbindung (https://) für die Datenquellendateien (.tds). 3/4) Dann stellt der Client eine Verbindung zu den privaten Netzwerkdaten her, indem er die eingebetteten Anmeldeinformationen verwendet, die in der Auftragsanfrage enthalten sind. Der Client 5.) erstellt einen Extrakt der Daten und 6.) veröffentlicht den Extrakt dann in Tableau Cloud mithilfe des Tableau Bridge-Dienstes. Die Schritte 2 bis 6 können parallel ausgeführt werden, um mehrere Aktualisierungsanforderungen zu ermöglichen.

  • Für Datenquellen mit Extraktverbindungen, die Bridge-Zeitpläne aus älteren Versionen verwenden, 1.) kontaktiert der Client Tableau Cloud über eine sichere Verbindung (https://) für neue Aktualisierungszeitpläne und Datenquellendateien (.tds). Wenn 2) diese Informationen verfügbar sind (zur geplanten Zeit), 3/4) stellt der Client mithilfe der gespeicherten Anmeldeinformationen eine Verbindung zu den privaten Netzwerk-Daten her. Der Client 5.) erstellt einen Extrakt der Daten und 6.) veröffentlicht den Extrakt dann in Tableau Cloud mithilfe eines Tableau Bridge-Dienstes. Der Tableau Bridge-Dienst ist Bestandteil des Clients, der sich in Tableau Cloud befindet.

Optionale Forward-Proxy-Filterung

Um sicherzustellen, dass Ihre Daten nur an Tableau Cloud übertragen werden, können Sie eine domänenbasierte Filterung für ausgehende Verbindungen (Forward-Proxy-Filterung) aus dem Bridge-Client implementieren. Nach der ersten ausgehenden Verbindung erfolgt die Kommunikation bidirektional.

Die folgende Liste enthält die teilweise qualifizierten Domänennamen, die Bridge für ausgehende Verbindungen verwendet:

  • *.online.tableau.com
  • *.compute-1.amazonaws.com, öffentlicher Amazon VPCs-DNS-Hostname, der die Form ec2-<public-ipv4-address>.compute-1.amazonaws.com für die Region us-east-1 annimmt
  • *.compute.amazonaws.com, der öffentliche DNS-Hostname von Amazon VPC, der die Form ec2-<public-ipv4-address>.compute.amazonaws.com für alle anderen Regionen (außerhalb von us-east-1) annimmt
  • (Optional) *.salesforce.com, wenn Multi-Faktor-Authentifizierung (MFA) mit Tableau-Authentifizierung (Tableau mit MFA) für Ihre Site aktiviert ist und Ihre Umgebung Proxys verwendet, die Clients am Zugriff auf andere erforderliche Dienste hindern
  • (Optional) crash-artifacts-747369.s3.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
  • (Optional) s3-us-west-2-w.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
  • (Optional) s3-w-a.us-west-2.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
  • (Optional) bam.nr-data.net, wird für die Webanalyseplattformen von New Relic verwendet
  • (Optional) js-agent.newrelic.com, sendet Leistungsdaten an New Relic.
Zurück zum Anfang
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.