Tableau Bridge wendet die folgenden Sicherheitskonzepte an:

  • Die gesamte Kommunikation wird hinter der Firewall des privaten Netzwerks initiiert. Daher müssen Sie keine zusätzlichen Ausnahmen verwalten.
  • Daten auf dem Übertragungsweg von und an Bridge werden verschlüsselt.
  • Datenbankanmeldeinformationen werden mithilfe des Windows-Anmeldeinformationsmanagers auf dem Computer gespeichert, wenn die Datenquelle oder virtuelle Verbindung für die Verwendung von Online- oder Bridge-Zeitplänen (Legacy) eingerichtet ist. Für Online-Zeitpläne werden die Anmeldeinformationen an den Client weitergegeben, der für die Durchführung der Aktualisierung ausgewählt wird.

Weitere Informationen zur Bridge-Sicherheit finden Sie in den Abschnitten unten.

Übertragungssicherheit

Von und an Bridge gesendete Daten werden über eine TLS 1.2-Verbindung übertragen.

Authentifizierung

Es gibt zwei primäre Authentifizierungspunkte für Bridge.

Tableau Online

Zum Herstellen einer Verbindung zu Tableau Online werden über den Bridge-Client die Anmeldeinformationen des Benutzers für Tableau Online eingegeben.

Nachdem 1) die Anmeldeinformationen eingegeben wurden, wird 2) von Tableau Online ein Autorisierungstoken zurückgegeben. Das 3) Token wird mithilfe des Anmeldeinformationsmanagers des Windows-Betriebssystems auf dem Computer gespeichert, auf dem der Client ausgeführt wird. Bridge verwendet das Token zum Ausführen diverser Aufgaben, beispielsweise zum Herunterladen der Aktualisierungszeitplan-Informationen für einen Extrakt.

Private Netzwerk-Daten

Für den Zugriff auf private Netzwerk-Daten ist bei einigen Datenquellen oder virtuellen Verbindungen eine Authentifizierung mithilfe von Datenbankanmeldeinformationen Verbindung erforderlich. Je nach Verbindungstyp der Inhalte verarbeitet der Client die Datenbankanmeldeinformationen auf eine der folgenden Arten:

  • Bei Direktverbindungen und Extraktverbindungen, die Online-Zeitpläne verwenden, werden Datenbankanmeldeinformationen zum Zeitpunkt der Anfrage gesendet und es wird eine TLS 1.2-Verbindung verwendet.

  • Für Extraktverbindungen, die Bridge (Legacy)-Zeitpläne verwenden, müssen Anmeldeinformationen direkt im Client eingegeben werden, wenn für Ihre Datenquelle Datenbankanmeldeinformationen erforderlich sind. Die Datenbankanmeldeinformationen werden mithilfe des Anmeldeinformationsmanagers des Windows-Betriebssystems auf dem Computer gespeichert. Der Client sendet die Datenbankanmeldeinformationen zum geplanten Aktualisierungszeitpunkt an die Datenbank, die sich ebenfalls hinter der Firewall des privaten Netzwerks befindet.

Der Client unterstützt die domänenbasierte Sicherheit (Active Directory) und Anmeldeinformationen mit Namen/Kennwort, um auf private Netzwerk-Daten zuzugreifen.

Änderungen an der Firewall des privaten Netzwerks

Der Bridge-Client benötigt keine Änderungen an der Firewall des privaten Netzwerks. Der Client erreicht dies dadurch, dass nur ausgehende Verbindungen zu Tableau Online hergestellt werden. Damit ausgehende Verbindungen zulässig sind, verwendet der Client je nach Verbindungstyp der Inhalte die folgenden Protokolle:

  • Für Direktverbindungen und Extraktverbindungen, die Online-Zeitpläne verwenden, sichere WebSockets (wss://).

  • Für Extraktverbindungen, die Bridge (Legacy)-Zeitpläne verwenden, HTTP Secure (https://).

Zugriff auf private Netzwerk-Daten

Verbindungen zu privaten Netzwerk-Daten werden im Auftrag von Tableau Online durch den Bridge-Client eingeleitet. Der Prozess, durch den die Verbindung initiiert wird, ist vom Inhaltstyp und vom Verbindungstyp abhängig.

  • Bei Datenquellen mit Direktverbindungen oder virtuellen Verbindungen stellt der Client 1) mithilfe von sicheren WebSockets (wss://) eine permanente Verbindung zu einem Tableau Bridge-Dienst her, der zu dem Client gehört, der sich in Tableau Online befindet. Anschließend wartet der Client auf eine Antwort von Tableau Online, bevor 2) eine Live- Abfrage der private Netzwerk-Daten erfolgt. Der Client 3) übergibt die Abfrage an die privaten Netzwerk-Daten und 4) gibt dann die privaten Netzwerk-Daten über 5) dieselbe permanente Verbindung zurück.

  • Bei Datenquellen mit Extraktverbindungen, die Online-Zeitpläne verwenden, stellt der Client 1) mithilfe von sicheren WebSockets (wss://) eine permanente Verbindung zu einem Tableau Bridge-Dienst her, der zu dem Client gehört, der sich in Tableau Online befindet. Der Client wartet dann hinsichtlich neuer Aktualisierungszeitpläne auf eine Anforderung von Tableau Online. Wenn der Client die Anforderungen empfängt, 2) kontaktiert der Client Tableau Online über eine sichere Verbindung (https://) für die Datenquellendateien (.tds). 3/4) Anschließend stellt der Client mithilfe der eingebetteten Anmeldeinformationen in der Anforderung eine Verbindung zu den privaten Netzwerk-Daten her. Der Client 5) erstellt einen Extrakt der Daten und 6) veröffentlicht den Extrakt dann mithilfe des Tableau Bridge-Dienstes in Tableau Online. Die Schritte 2 bis 6 können parallel ausgeführt werden, um mehrere Aktualisierungsanforderungen zu ermöglichen.

  • Für Datenquellen mit Extraktverbindungen, die Bridge (Legacy)-Zeitpläne verwenden, 1) kontaktiert der Client Tableau Online über eine sichere Verbindung (https://) für neue Aktualisierungszeitpläne und Datenquellendateien (.tds). Wenn 2) diese Informationen verfügbar sind (zur geplanten Zeit), 3/4) stellt der Client mithilfe der gespeicherten Anmeldeinformationen eine Verbindung zu den privaten Netzwerk-Daten her. Der Client 5) erstellt einen Extrakt der Daten und 6) veröffentlicht den Extrakt dann mithilfe eines Tableau Bridge-Dienstes in Tableau Online. Der Tableau Bridge-Dienst ist Teil des Clients, der sich in Tableau Online befindet.

Zusätzliche Sicherheitsüberlegungen

Optionale Forward-Proxy-Filterung

Um sicherzustellen, dass Ihre Daten nur an Tableau Online übertragen werden, können Sie eine domänenbasierte Filterung für ausgehende Verbindungen (Forward-Proxy-Filterung) über den Bridge-Client implementieren.

Die folgende Liste enthält die teilweise qualifizierten Domänennamen, die in Bridge für ausgehende Verbindungen erforderlich sind:

  • *.online.tableau.com
  • *.newrelic.com, für die Überwachung der Leistung der Client-Anwendung
  • *.nr-data.net, für die Überwachung der Leistung der Client-Anwendung
  • *.cloudfront.net, CDN für statische Inhalte
  • *.akamai, CDN für einige Tableau Online-Pods
  • *.compute-1.amazonaws.com, öffentlicher Amazon VPCs-DNS-Hostname, der die Form ec2-<public-ipv4-address>.compute-1.amazonaws.com für die Region us-east-1 annimmt
  • *.compute.amazonaws.com, der öffentliche DNS-Hostname von Amazon VPC, der die Form ec2-<public-ipv4-address>.compute.amazonaws.com für alle anderen Regionen (außerhalb von us-east-1) annimmt
  • *.salesforce.com, optional, wenn die Multi-Faktor-Authentifizierung (MFA) mit Tableau-Authentifizierung (Tableau mit MFA) für Ihre Site aktiviert ist und Ihre Umgebung Proxys verwendet, die Clients am Zugriff auf andere erforderliche Dienste hindern
  • crash-artifacts-747369.s3.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
  • s3-us-west-2-w.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
  • s3-w-a.us-west-2.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
Vielen Dank für Ihr Feedback!