Bridge-Sicherheit

Tableau Bridge wendet die folgenden Sicherheitskonzepte an:

  • Die gesamte Kommunikation wird hinter der lokalen Firewall initiiert. Daher müssen Sie keine zusätzlichen Ausnahmen verwalten.
  • Daten auf dem Übertragungsweg von und an Bridge werden verschlüsselt.
  • Datenbankanmeldeinformationen werden mithilfe des Windows-Anmeldeinformationsmanagers auf dem Computer gespeichert, wenn die Datenquelle für die Verwendung von Zeitplänen für die Online-Aktualisierung (früher empfohlene) oder Bridge-Zeitpläne (Legacy-Versionen) eingerichtet ist. Für Zeitpläne für Online-Aktualisierungen werden die Anmeldeinformationen an den Client weitergegeben, der für die Durchführung der Aktualisierung ausgewählt wird.

Weitere Informationen zur Bridge-Sicherheit finden Sie in den Abschnitten unten.

Übertragungssicherheit

Von und an Bridge gesendete Daten werden über eine TLS 1.2-Verbindung übertragen.

Authentifizierung

Es gibt zwei primäre Authentifizierungspunkte für Bridge.

Tableau Online

Zum Herstellen einer Verbindung zu Tableau Online werden über den Bridge-Client die Anmeldeinformationen des Benutzers für Tableau Online eingegeben.

Nachdem 1) die Anmeldeinformationen eingegeben wurden, wird 2) von Tableau Online ein Autorisierungstoken zurückgegeben. Das 3) Token wird mithilfe des Anmeldeinformationsmanagers des Windows-Betriebssystems auf dem Computer gespeichert, auf dem der Client ausgeführt wird. Bridge verwendet das Token zum Ausführen diverser Aufgaben, beispielsweise zum Herunterladen der Aktualisierungszeitplan-Informationen für einen Extrakt.

Daten vor Ort

Für den Zugriff auf lokale Daten ist bei einigen Datenquellen eine Authentifizierung mithilfe von Datenbankanmeldeinformationen erforderlich. Je nach Verbindungstyp der Datenquelle verarbeitet der Client die Datenbankanmeldeinformationen auf eine der folgenden Arten:

  • Bei Direktverbindungen und Extraktverbindungen, die Zeitpläne für die Online-Aktualisierung (früher empfohlene Zeitpläne) verwenden, werden Datenbankanmeldeinformationen zum Zeitpunkt der Anfrage gesendet, und es wird eine TLS 1.2-Verbindung verwendet.

  • Für Extraktverbindungen, die Bridge (Legacy)-Zeitpläne verwenden, müssen Anmeldeinformationen direkt im Client eingegeben werden, wenn für Ihre Datenquelle Datenbankanmeldeinformationen erforderlich sind. Die Datenbankanmeldeinformationen werden mithilfe des Anmeldeinformationsmanagers des Windows-Betriebssystems auf dem Computer gespeichert. Der Client sendet die Datenbankanmeldeinformationen zum geplanten Aktualisierungszeitpunkt an die Datenbank, die sich ebenfalls hinter der lokalen Firewall befindet.

Der Client unterstützt die domänenbasierte Sicherheit (Active Directory) und Anmeldeinformationen mit Namen/Kennwort, um auf lokale Daten zuzugreifen.

Änderungen an der lokalen Firewall

Der Bridge-Client benötigt keine Änderungen an der lokalen Firewall. Der Client erreicht dies dadurch, dass nur ausgehende Verbindungen zu Tableau Online hergestellt werden. Damit ausgehende Verbindungen zulässig sind, verwendet der Client je nach Verbindungstyp der Datenquelle die folgenden Protokolle:

  • Für Direktverbindungen und Extraktverbindungen, die Zeitpläne für die Online-Aktualisierung (früher empfohlene Zeitpläne) verwenden, sichere WebSockets (wss://).

  • Für Extraktverbindungen, die Bridge (Legacy)-Zeitpläne verwenden, HTTP Secure (https://).

Zugriff auf lokale Daten

Verbindungen zu Daten vor Ort werden im Auftrag von Tableau Online durch den Bridge-Client eingeleitet. Der Prozess, durch den die Verbindung eingeleitet wird, ist vom Verbindungstyp der Datenquelle abhängig.

  • Bei Direktverbindungen stellt der Client 1) mithilfe von sicheren WebSockets (wss://) eine permanente Verbindung zu einem Tableau Bridge-Dienst her, der zu dem Client gehört, der sich in Tableau Online befindet. Anschließend wartet der Client auf eine Antwort von Tableau Online, bevor 2) eine Live-Abfrage der lokalen Daten erfolgt. Der Client 3) übergibt die Abfrage an die lokalen Daten und 4) gibt dann die lokalen Daten über 5) dieselbe permanente Verbindung zurück.

  • Bei Extraktverbindungen, die Zeitpläne für die Online-Aktualisierung (früher empfohlene Zeitpläne) verwenden, stellt der Client 1) mithilfe von sicheren WebSockets (wss://) eine permanente Verbindung zu einem Tableau Bridge-Dienst her, der zu dem Client gehört, der sich in Tableau Online befindet. Der Client wartet dann hinsichtlich neuer Aktualisierungszeitpläne auf eine Anforderung von Tableau Online. Wenn der Client die Anforderungen empfängt, 2) kontaktiert der Client Tableau Online über eine sichere Verbindung (https://) für die Datenquellendateien (.tds). 3/4) Anschließend stellt der Client mithilfe der eingebetteten Anmeldeinformationen in der Anforderung eine Verbindung zu den lokalen Daten her. Der Client 5) erstellt einen Extrakt der Daten und 6) veröffentlicht den Extrakt dann mithilfe des Tableau Bridge-Dienstes in Tableau Online. Die Schritte 2 bis 6 können parallel ausgeführt werden, um mehrere Aktualisierungsanforderungen zu ermöglichen.

  • Für Extraktverbindungen, die Bridge (Legacy)-Zeitpläne verwenden, 1) kontaktiert der Client Tableau Online über eine sichere Verbindung (https://) für neue Aktualisierungszeitpläne und Datenquellendateien (.tds). Wenn 2) diese Informationen verfügbar sind (zur geplanten Zeit), 3/4) stellt der Client mithilfe der gespeicherten Anmeldeinformationen eine Verbindung zu den lokalen Daten her. Der Client 5) erstellt einen Extrakt der Daten und 6) veröffentlicht den Extrakt dann mithilfe eines Tableau Bridge-Dienstes in Tableau Online. Der Tableau Bridge-Dienst ist Teil des Clients, der sich in Tableau Online befindet.

Zusätzliche Sicherheitsüberlegungen

Optionale Forward-Proxy-Filterung

Um sicherzustellen, dass Ihre Daten nur an Tableau Online übertragen werden, können Sie eine domänenbasierte Filterung für ausgehende Verbindungen (Forward-Proxy-Filterung) über den Bridge-Client implementieren.

Die folgende Liste enthält die teilweise qualifizierten Domänennamen, die in Bridge für ausgehende Verbindungen erforderlich sind:

  • *.online.tableau.com
  • *.newrelic.com, für die Überwachung der Leistung der Client-Anwendung
  • *.nr-data.net, für die Überwachung der Leistung der Client-Anwendung
  • *.cloudfront.net, CDN für statische Inhalte
  • *.akamai, CDN für einige Tableau Online-Pods
  • *.compute-1.amazonaws.com, öffentlicher Amazon VPCs-DNS-Hostname, der die Form ec2-<public-ipv4-address>.compute-1.amazonaws.com für die Region us-east-1 annimmt
  • *.compute.amazonaws.com, der öffentliche DNS-Hostname von Amaon VPC, der die Form ec2-<public-ipv4-address>.compute.amazonaws.com für alle anderen Regionen (außerhalb von us-east-1) annimmt
  • crash-artifacts-747369.s3.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
  • s3-us-west-2-w.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
  • s3-w-a.us-west-2.amazonaws.com, zum Empfangen von Absturz-Abbildberichten
Vielen Dank für Ihr Feedback!