Tableau Bridge applica le seguenti strutture di sicurezza:

  • Tutte le comunicazioni vengono avviate dal firewall della rete privata e pertanto non richiedono la gestione di eccezioni aggiuntive.
  • I dati in transito, verso e da Bridge, sono crittografati.
  • Le credenziali database vengono archiviate nel computer utilizzando Gestione credenziali di Windows se l'origine dati o la connessione virtuale è configurata per l'utilizzo di pianificazioni Bridge (legacy). Per le pianificazioni Online, le credenziali vengono passate al client selezionato per eseguire l'aggiornamento.

Nella sezione seguente sono disponibili maggiori informazioni sulla sicurezza di Bridge.

Protezione della trasmissione

I dati, da e verso il client Bridge, vengono trasmessi tramite una connessione TLS 1.2.

Nota: Tableau Bridge utilizza la porta 443 per effettuare richieste Internet in uscita a Tableau Cloud e la porta 80 per la convalida del certificato.

Autenticazione

Esistono due punti di autenticazione primari per Bridge: Tableau Cloud e i dati della rete privata.

Tableau Cloud

Per connettersi a Tableau Cloud, le credenziali di Tableau Cloud di un utente vengono immesse tramite il client Bridge.

Dopo 1) le credenziali vengono immesse, 2) un token di autorizzazione viene restituito da Tableau Cloud. Il token 3) viene archiviato nel computer in cui è eseguito il client utilizzando il gestore delle credenziali del sistema operativo Windows. Bridge utilizza il token per eseguire diverse attività, ad esempio il download delle informazioni sulla pianificazione dell'aggiornamento per un'estrazione.

Dati in una rete privata

Per accedere ai dati in una rete privata, alcune origini dati o connessioni virtuali richiedono l'autenticazione tramite credenziali del database. A seconda del tipo di connessione del contenuto, il client gestisce le credenziali del database in uno dei modi seguenti:

  • Per le connessioni live e le connessioni di estrazione che utilizzano le pianificazioni Online, le credenziali del database vengono inviate al momento della richiesta e utilizzano una connessione TLS 1.2.

  • Per le connessioni di estrazioni che utilizzano le pianificazioni Bridge (legacy), se l'origine dati richiede credenziali del database, queste credenziali devono essere immesse direttamente nel client. Le credenziali del database vengono archiviate nel computer utilizzando il gestore delle credenziali del sistema operativo Windows. Il client invia le credenziali del database al database, anch'esso dietro il firewall della rete privata, al momento dell'aggiornamento pianificato.

Il client supporta la sicurezza basata su dominio (Active Directory) e le credenziali nome utente/password per accedere ai dati della rete privata.

Modifiche al firewall della rete privata

Il client Bridge non richiede alcuna modifica al firewall della rete privata. Il client ottiene questo risultato effettuando solo connessioni in uscita a Tableau Cloud. Per consentire le connessioni in uscita, il client utilizza i protocolli seguenti in base al tipo di connessione utilizzato dal contenuto:

  • Per le connessioni live e le connessioni di estrazioni che utilizzano le pianificazioni Online, WebSocket sicuri (wss://).

  • Per le connessioni di estrazioni che utilizzano pianificazioni Bridge (legacy), HTTP Secure (https://).

Accedere ai dati di una rete privata

Le connessioni ai dati di una rete privata vengono avviate dal client Bridge per conto di Tableau Cloud. Il processo di avvio della connessione dipende dal tipo di contenuto e di connessione dell'origine dati.

  • Per le origini dati con connessioni live o connessioni virtuali, il client 1) stabilisce una connessione permanente a un servizio Tableau Bridge, che fa parte del client che risiede in Tableau Cloud, utilizzando WebSocket sicuri (wss://). Il client attende quindi una risposta da Tableau Cloud prima di 2) avviare una query live sui dati della rete privata. Il client 3) passa la query ai dati della rete privata, quindi 4) restituisce i dati della rete privata utilizzando 5) la stessa connessione permanente.

  • Per le origini dati con connessioni di estrazione che utilizzano le pianificazioni Online, il client 1) stabilisce una connessione permanente a un servizio Tableau Bridge, che fa parte del client che risiede in Tableau Cloud, utilizzando WebSocket sicuri (wss://). Il client attende quindi una richiesta da Tableau Cloud per le nuove pianificazioni di aggiornamento. Quando riceve le richieste, 2) il client contatta Tableau Cloud utilizzando una connessione sicura (https://) per i file di origine dati (tds). 3/4) Il client si connette quindi ai dati della rete privata utilizzando le credenziali incorporate incluse nella richiesta di processo. Il client 5) crea un'estrazione dei dati e 6) ripubblica l'estrazione in Tableau Cloud utilizzando il servizio Tableau Bridge. I passaggi da 2 a 6 possono essere effettuati in parallelo per consentire l'esecuzione di più richieste di aggiornamento.

  • Per le origini dati con connessioni di estrazione che utilizzano le pianificazioni Bridge (legacy), il client 1) contatta Tableau Cloud utilizzando una connessione sicura (https://) per le nuove pianificazioni di aggiornamenti e i file di origine dati (con estensione tds). Se 2) queste informazioni sono disponibili, al momento pianificato 3/4) il client si connette ai dati della rete privata utilizzando le credenziali archiviate. Il client 5) crea un'estrazione dei dati e 6) ripubblica l'estrazione in Tableau Cloud utilizzando un servizio Tableau Bridge. Il servizio Tableau Bridge fa parte del client che risiede in Tableau Cloud.

Considerazioni aggiuntive sulla sicurezza

Filtro del proxy di inoltro facoltativo

Per garantire che i dati vengano trasmessi solo a Tableau Cloud, è possibile implementare il filtro basato su dominio sulle connessioni in uscita (filtro del proxy di inoltro) dal client Bridge.

Nell'elenco seguente sono elencati i nomi di dominio parzialmente qualificati di cui Bridge ha bisogno per le connessioni in uscita:

  • *.online.tableau.com
  • *.compute-1.amazonaws.com, nome host DNS pubblico di Amazon VPC, nel formato ec2-<indirizzo-ipv4-pubblico>.compute-1.amazonaws.com, per l'area us-east-1
  • *.compute.amazonaws.com, nome host DNS pubblico di Amazon VPC, nel formato ec2-<indirizzo-ipv4-pubblico>.compute.amazonaws.com, per tutte le altre aree (ad eccezione di us-east-1)
  • *.salesforce.com, facoltativamente, se l'autenticazione a più fattori (MFA) con autenticazione Tableau (Tableau con MFA) è abilitata per il sito e il tuo ambiente utilizza proxy che impediscono ai client di accedere ad altri servizi necessari
  • crash-artifacts-747369.s3.amazonaws.com, utilizzato per la ricezione di rapporti crash dump
  • s3-us-west-2-w.amazonaws.com, utilizzato per la ricezione di rapporti di crash dump
  • s3-w-a.us-west-2.amazonaws.com, utilizzato per la ricezione di rapporti crash dump
  • bam.nr-data.net, utilizzato per le piattaforme di analisi Web di New Relic.
  • js-agent.newrelic.com, utilizzato per inviare i dati sulle prestazioni a New Relic.
Grazie per il tuo feedback.