Seguridad de Bridge en Windows

Tableau Bridge aplica los siguientes diseños de seguridad:

  • Toda la comunicación se inicia en segundo plano del firewall de redes privadas y, por tanto, no requiere que administre otras excepciones.
  • Los datos en tránsito, entre Tableau Bridge y Tableau Cloud, están cifrados.
  • Las credenciales de base de datos se almacenan en el equipo mediante el administrador de credenciales de Windows si la fuente de datos o conexión virtual está configurada para usar programas de Bridge (heredados). En los programas en línea, las credenciales se pasan al cliente seleccionado para realizar la actualización.

Se pueden encontrar más detalles sobre la seguridad de Bridge en las siguientes secciones.

Seguridad de transmisión

Nota: Tableau Bridge usa el puerto 443 para realizar solicitudes de Internet salientes a Tableau Cloud y al puerto 80 para la validación de certificados.

Tableau Bridge inicia una comunicación bidireccional segura con su entorno de Tableau Cloud mediante una conexión WebSocket (wss://). La conexión WebSocket es persistente y coordina la carga de datos entre Bridge y Tableau Cloud. Todos los usuarios se autentican y autorizan antes de realizar la conexión, y todas las entradas se validan para que provengan de fuentes de confianza de Tableau Cloud.

Autenticación

Hay dos puntos de autenticación principales para Bridge: Tableau Cloud y datos de redes privadas.

Si el cliente está desvinculado o actualiza a una nueva versión, no necesita volver a iniciar sesión. En este escenario, Bridge utiliza el token existente que se guarda localmente en el almacén de credenciales de Windows.

Si se apaga el cliente o se utiliza la opción Salir en la barra de tareas de Windows, se le solicitará que vuelva a iniciar sesión y proporcione las credenciales. Esto crea un nuevo token de actualización que se guarda en el almacén de credenciales de Windows.

Puede verificar los tokens en el administrador de credenciales y verificar las credenciales genéricas para TABLEAU_CONNECTIONS_online.tableau.com.

Tableau Cloud

Para conectarse a Tableau Cloud, las credenciales de usuario de Tableau Cloud se integran a través del cliente de Bridge.

Después de 1) introducir las credenciales, 2) Tableau Cloud devuelve un token de autorización. El 3) token se almacena en el equipo donde se ejecuta el cliente mediante el administrador de credenciales del sistema operativo de Windows. Bridge utiliza el token para realizar varias tareas como descargar el programa actualizado para una extracción.

Datos de la red privada

Para acceder a datos de redes privadas, algunas fuentes de datos o conexiones virtuales requieren autenticación mediante credenciales de base de datos. En función del tipo de conexión del contenido, el cliente manipula credenciales de base de datos de una de las siguientes formas:

  • Para conexiones en tiempo real y conexiones de extracción que usen programas en línea, las credenciales de bases de datos se envían al mismo tiempo de la solicitación y usan una conexión TLS 1.2.

  • Para conexiones de extracción que usen los programas de Bridge (heredados), si las fuentes de datos requieren credenciales de base de datos, dichas credenciales deben introducirse directamente en el cliente. Las credenciales de base de datos se almacenan en el equipo mediante el administrador de credenciales del sistema operativo de Windows. El cliente envía las credenciales de la base de datos a la base de datos, que también está en segundo plano del firewall de redes privadas, en el momento de la actualización programada.

El cliente admite seguridad basada en dominios (Active Directory) y credenciales de nombre de usuario y contraseña para acceder a los datos de redes privadas.

Cambios en el firewall de redes privadas

El cliente de Bridge no necesita que se realicen cambios en el firewall de redes privadas. El cliente logra esto solo a través de conexiones de salida a Tableau Cloud. Para permitir conexiones de salida, el cliente usa los siguientes protocolos, en función del tipo de conexión que utiliza el contenido.

  • Para conexiones en tiempo real y conexiones de extracción que utilizan programas en línea, WebSockets seguros (wss://).

  • Para conexiones de extracción que utilizan programas de Bridge (heredados), HTTP seguro (https://).

Acceso a los datos de redes privadas

El cliente de Bridge inicia las conexiones a datos de redes privadas en lugar de Tableau Cloud. El proceso por el cual la conexión se inicia depende del tipo de contenido y del tipo de conexión.

  • Para fuentes de datos con conexiones en tiempo real o virtuales, el cliente 1) establece una conexión persistente con el servicio de Tableau Bridge, que forma parte del cliente que reside en Tableau Cloud, mediante WebSockets seguros (wss://). A continuación, el cliente espera una respuesta de Tableau Cloud antes de 2) iniciar una consulta en tiempo real de los datos de redes privadas. El cliente 3) pasa la consulta a los datos de redes privadas y posteriormente 4) regresa a los datos de redes privadas mediante 5) la misma conexión persistente.

  • Para fuentes de datos con conexiones de extracción que usen programas en línea, el cliente 1) establece una conexión persistente con un servicio de Tableau Bridge, que forma parte del cliente ubicado en Tableau Cloud, mediante WebSockets seguros (wss://). A continuación, el cliente espera una petición de Tableau Cloud para ver los nuevos programas de actualización. Cuando el cliente recibe las solicitudes, 2) el cliente se pone en contacto con Tableau Cloud mediante una conexión segura (https://) de los archivos de la fuente de datos (.tds). 3/4) A continuación, el cliente se conecta a los datos de redes privadas mediante las credenciales que se incluyen en la solicitud de trabajo. El cliente 5) crea una extracción de los datos y posteriormente 6) publica de nuevo la extracción en Tableau Cloud mediante el servicio de Tableau Bridge. Los pasos 2-6 pueden realizarse al mismo tiempo para permitir que se produzcan varias solicitudes de actualización.

  • Para fuentes de datos con conexiones de extracción que usan los programas de Bridge (heredados), el cliente 1) contacta con Tableau Cloud mediante una conexión segura (https://) para ver los nuevos programas de actualización y archivos de fuente de datos (.tds). Si 2) esta información está disponible, en la hora programada, 3/4) el cliente se conecta a los datos de redes privadas mediante las credenciales almacenadas. El cliente 5) crea una extracción de los datos y posteriormente 6) publica de nuevo la extracción en Tableau Cloud mediante el servicio de Tableau Bridge. El servicio de Tableau Bridge forma parte del cliente que reside en Tableau Cloud.

Filtrado de proxy de reenvío

Para garantizar que los datos se transmiten solo a Tableau Cloud, recomendamos implementar un filtrado basado en dominios en las conexiones de salida (filtrado de proxy de reenvío) desde el cliente de Bridge. Después de la conexión saliente inicial, la comunicación es bidireccional.

Tableau Bridge no es compatible con la autenticación de paso o de proxy manual.

La siguiente lista contiene los nombres de dominio parcialmente calificados que Bridge utiliza para las conexiones de salida:

  • *.online.tableau.com
  • *.compute-1.amazonaws.com, nombre de host DNS público de Amazon VPC, que toma la forma ec2-<public-ipv4-address>.compute-1.amazonaws.com, para la región us-east-1 (este de los Estados Unidos, 1).
  • *.compute.amazonaws.com, nombre de host DNS público de Amazon VPC, que toma la forma ec2-<public-ipv4-address>.compute.amazonaws.com, para todas las demás regiones (fuera de us-east-1).
  • (Opcional) *.salesforce.com, si la autenticación multifactor (MFA) con autenticación de Tableau (Tableau con MFA) está habilitada para su sitio y su entorno usa proxies que impiden que los clientes accedan a otros servicios necesarios.
  • (Opcional) crash-artifacts-747369.s3.amazonaws.com, se utiliza para recibir informes de volcado de memoria
  • (Opcional) s3-us-west-2-w.amazonaws.com, se utiliza para recibir informes de volcado de memoria
  • (Opcional) s3-w-a.us-west-2.amazonaws.com, se utiliza para recibir informes de volcado de memoria
  • (Opcional) bam.nr-data.net, utilizado para las plataformas analíticas web de New
  • (Opcional) js-agent.newrelic.com, envía datos de rendimiento a New Relic
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!