Sécurité Windows de Bridge
Tableau Bridge met en œuvre les concepts de sécurité suivants :
- Toutes les communications sont initiées derrière le pare-feu du réseau privé et ne nécessitent donc pas que vous gériez des exceptions supplémentaires.
- Les données en transit, entre Tableau Bridge et Tableau Cloud, sont chiffrées.
- Les identifiants pour la base de données sont stockés sur l’ordinateur personnel à l’aide du gestionnaire d’identifiants Windows si la source de données ou la connexion virtuelle est configurée pour utiliser les (anciennes) programmations Bridge. Pour les programmations Online, les identifiants sont transmis au client sélectionné pour effectuer l’actualisation.
Vous trouverez des informations plus détaillées sur la sécurité Bridge dans les sections ci-dessous.
Sécurité de transmission
Remarque : Tableau Bridge utilise le port 443 pour effectuer des requêtes Internet sortantes vers Tableau Cloud et le port 80 pour la validation du certificat.
Tableau Bridge initie une communication bidirectionnelle sécurisée avec votre environnement Tableau Cloud à l’aide d’une connexion WebSocket (wss://). La connexion WebSocket est persistante et coordonne le téléversement des données entre Bridge et Tableau Cloud. Tous les utilisateurs sont authentifiés et autorisés avant que la connexion soit établie, et toutes les entrées sont validées comme provenant de sources fiables dans Tableau Cloud.
Authentification
Bridge propose deux points d’authentification principaux : Tableau Cloud et les données du réseau privé.
Si le client n’est pas lié ou si vous effectuez une mise à niveau vers une nouvelle version, vous n’avez pas besoin de vous reconnecter. Dans ce scénario, Bridge utilise le jeton existant qui est enregistré localement dans la boutique d’identifiants Windows.
Si le client est arrêté ou si l’option Quitter de la barre des tâches Windows est utilisée, vous devez vous reconnecter et fournir vos identifiants. Cela crée un nouveau jeton d’actualisation qui est enregistré dans la boutique d’identifiants Windows.
Vous pouvez vérifier les jetons dans le gestionnaire d’identifiants et vérifier les identifiants génériques pour TABLEAU_CONNECTIONS_online.tableau.com.
Tableau Cloud
Pour se connecter à Tableau Cloud, un utilisateur doit entrer les identifiants Tableau Cloud sur le client Bridge.
Après que 1) les identifiants ont été saisis, 2) un jeton d’autorisation est renvoyé par Tableau Cloud. 3) Le jeton est stocké sur l’ordinateur sur lequel le client s’exécute à l’aide du Gestionnaire des informations d’identification du système d’exploitation Windows. Bridge utilise le jeton pour effectuer diverses tâches telles que le téléchargement d’informations sur la programmation d’actualisation d’un extrait.
Données du réseau privé
Pour accéder aux données du réseau privé, certaines sources de données ou connexions virtuelles requièrent une authentification à l’aide des identifiants pour la base de données. Selon le type de connexion du contenu, le client gère les identifiants pour la base de données de l’une des manières suivantes :
Pour les connexions en direct et connexions aux extraits utilisant les programmations Online, les identifiants pour la base de données sont envoyés au moment de la demande et utilisent une connexion TLS 1.2.
Pour les connexions aux extraits utilisant les (anciennes) programmations Bridge, si votre source de données exige des identifiants pour la base de données, ces données doivent être saisies par le client directement. Les informations d’identification pour la base de données sont stockées sur l’ordinateur à l’aide du Gestionnaire des informations d’identification du système d’exploitation Windows. Le client envoie les identifiants pour la base de données à la base de données, qui se trouve également derrière le pare-feu du réseau privé, lors de l’actualisation programmée.
Le client prend en charge la sécurité basée sur le domaine (Active Directory) et les identifiants nom d’utilisateur/mot de passe pour accéder aux données du réseau privé.
Modifications apportées au pare-feu du réseau privé
Le client Bridge n’exige pas d’apporter des modifications au pare-feu du réseau privé. Le client y parvient en n’établissant que des connexions sortantes à Tableau Cloud. Pour autoriser les connexions sortantes, le client utilise les protocoles suivants selon le type de connexion utilisé par le contenu :
Pour les connexions en direct et connexions d’extraits utilisant les programmations Online, à l’aide de WebSockets sécurisés (wss ://).
Pour les connexions aux extraits utilisant les (anciennes) programmations Bridge, utilisez HTTP Secure (https://).
Accès aux données du réseau privé
Les connexions aux données du réseau privé sont initiées par le client Bridge pour le compte de Tableau Cloud. Le processus d’initiation de la connexion dépend du type de contenu et de connexion.
Pour les sources de données avec des connexions en direct ou des connexions virtuelles, le client 1) établit une connexion permanente à un service Tableau Bridge, qui fait partie du client résidant sur Tableau Cloud, à l’aide de WebSockets sécurisés (wss://). Le client attend ensuite une réponse de Tableau Cloud avant 2) d’initier une requête en direct aux données du réseau privé. Le client 3) transmet la requête aux données du réseau privé, puis 4) renvoie les données du réseau privé à l’aide de 5) la même connexion permanente.
Pour les sources de données avec des connexions aux extraits utilisant des programmations Online, le client 1) établit une connexion permanente à un service Tableau Bridge, qui fait partie du client résidant sur Tableau Cloud, à l’aide de WebSockets sécurisés (wss://). Le client attend ensuite que Tableau Cloud envoie une demande de nouvelles programmations d’actualisation. Lorsque le client reçoit les demandes, 2) le client communique avec Tableau Cloud par le biais d’une connexion sécurisée (https://) pour obtenir les fichiers de source de données (.tds). 3/4) Ensuite, le client se connecte aux données du réseau privé à l’aide des informations d’identification intégrées incluses dans la demande de travail. Le client 5) crée un extrait de données puis 6) republie l’extrait sur Tableau Cloud en utilisant le service Tableau Bridge. Les étapes 2 à 6 peuvent s’exécuter en parallèle pour permettre l’exécution de plusieurs demandes d’actualisation.
Pour les sources de données avec des connexions aux extraits utilisant les (anciennes) programmations Bridge, le client 1) communique avec Tableau Cloud en utilisant une connexion sécurisée (https://) pour les nouvelles programmations d’actualisation et les nouveaux fichiers de sources de données (.tds). Si 2) cette information est disponible, au moment de l’heure programmée, 3/4) le client se connecte aux données du réseau privé en utilisant les identifiants stockés. Le client 5) crée ensuite un extrait de données puis 6) republie l’extrait sur Tableau Cloud en utilisant un service Tableau Bridge. Le service Tableau Bridge fait partie du client qui réside sur Tableau Cloud.
Filtrage de proxy de tranfert
Pour que vos données soient transmises à Tableau Cloud uniquement, nous vous recommandons d’implémenter le filtrage basé sur le domaine aux connexions sortantes (filtrage de proxy de transfert) depuis le client Bridge. Après avoir établi la première connexion sortante, la communication est bidirectionnelle.
Tableau Bridge ne prend pas en charge l’authentification par relais activé ou par proxy manuel.
La liste suivante contient les noms de domaine partiellement qualifiés que Bridge utilise pour les connexions sortantes :
- *.online.tableau.com
- *.compute-1.amazonaws.com, nom d’hôte DNS public de VPC Amazon, qui prend la forme ec2-<public-ipv4-address>.compute-1.amazonaws.com, pour la région us-east-1
- *.compute.amazonaws.com, nom d’hôte DNS public de VPC Amazon, qui prend la forme ec2-<public-ipv4-address>.compute.amazonaws.com, pour toutes les autres zones géographiques (en dehors de us-east-1)
- Vous devrez (peut-être) ajouter *.salesforce.com si l’authentification multifacteur (MFA) avec Tableau (Tableau avec MFA) est activée pour votre site et que votre environnement utilise des serveurs proxy empêchant les clients d’accéder aux autres services nécessaires
- (facultatif) crash-artifacts-747369.s3.amazonaws.com, utilisé pour la réception de rapports de vidage après incident
- (facultatif) s3-us-west-2-w.amazonaws.com, utilisé pour la réception de rapports de vidage après incident
- (facultatif) s3-w-a.us-west-2.amazonaws.com, utilisé pour la réception de rapports de vidage après incident
- (facultatif) bam.nr-data.net, utilisé pour les plateformes d’analyse Web de New Relic
- (facultatif) js-agent.newrelic.com, envoie des données de performances à New Relic