Sicurezza di Windows in Bridge

Tableau Bridge applica le seguenti strutture di sicurezza:

  • Tutte le comunicazioni vengono avviate dal firewall della rete privata e pertanto non richiedono la gestione di eccezioni aggiuntive.
  • I dati in transito tra Tableau Bridge e Tableau Cloud sono crittografati.
  • Le credenziali database vengono archiviate nel computer utilizzando Gestione credenziali di Windows se l’origine dati o la connessione virtuale è configurata per l’utilizzo di pianificazioni Bridge (legacy). Per le pianificazioni Online, le credenziali vengono passate al client selezionato per eseguire l’aggiornamento.

Nella sezione seguente sono disponibili maggiori informazioni sulla sicurezza di Bridge.

Protezione della trasmissione

Nota: Tableau Bridge utilizza la porta 443 per effettuare richieste Internet in uscita a Tableau Cloud e la porta 80 per la convalida del certificato.

Tableau Bridge avvia una comunicazione bidirezionale sicura con l’ambiente Tableau Cloud utilizzando una connessione WebSocket (wss://). La connessione WebSocket è persistente e coordina il caricamento dei dati tra Bridge e Tableau Cloud. Tutti gli utenti vengono autenticati e autorizzati prima che venga effettuata la connessione e viene verificato che tutti gli input provengano da origini attendibili in Tableau Cloud.

Autenticazione

Esistono due punti di autenticazione primari per Bridge: Tableau Cloud e i dati della rete privata.

Se il client è scollegato o esegui l’upgrade a una nuova versione, non devi effettuare nuovamente l’accesso. In questo scenario, Bridge utilizza il token esistente salvato in locale nell’archivio credenziali di Windows.

Se il client viene arrestato o viene utilizzata l’opzione Esci sulla barra delle applicazioni di Windows, dovrai effettuare nuovamente l’accesso e fornire le credenziali. In questo modo viene creato un nuovo token di aggiornamento che viene salvato nell’archivio credenziali di Windows.

Puoi controllare i token in Gestione credenziali e le credenziali generiche per TABLEAU_CONNECTIONS_online.tableau.com.

Tableau Cloud

Per connettersi a Tableau Cloud, le credenziali di Tableau Cloud di un utente vengono immesse tramite il client Bridge.

Dopo 1) le credenziali vengono immesse, 2) un token di autorizzazione viene restituito da Tableau Cloud. Il token 3) viene archiviato nel computer in cui è eseguito il client utilizzando il gestore delle credenziali del sistema operativo Windows. Bridge utilizza il token per eseguire diverse attività, ad esempio il download delle informazioni sulla pianificazione dell’aggiornamento per un’estrazione.

Dati in una rete privata

Per accedere ai dati in una rete privata, alcune origini dati o connessioni virtuali richiedono l’autenticazione tramite credenziali del database. A seconda del tipo di connessione del contenuto, il client gestisce le credenziali del database in uno dei modi seguenti:

  • Per le connessioni live e le connessioni di estrazione che utilizzano le pianificazioni Online, le credenziali del database vengono inviate al momento della richiesta e utilizzano una connessione TLS 1.2.

  • Per le connessioni di estrazioni che utilizzano le pianificazioni Bridge (legacy), se l’origine dati richiede credenziali del database, queste credenziali devono essere immesse direttamente nel client. Le credenziali del database vengono archiviate nel computer utilizzando il gestore delle credenziali del sistema operativo Windows. Il client invia le credenziali del database al database, anch’esso dietro il firewall della rete privata, al momento dell’aggiornamento pianificato.

Il client supporta la sicurezza basata su dominio (Active Directory) e le credenziali nome utente/password per accedere ai dati della rete privata.

Modifiche al firewall della rete privata

Il client Bridge non richiede alcuna modifica al firewall della rete privata. Il client ottiene questo risultato effettuando solo connessioni in uscita a Tableau Cloud. Per consentire le connessioni in uscita, il client utilizza i protocolli seguenti in base al tipo di connessione utilizzato dal contenuto:

  • Per le connessioni live e le connessioni di estrazioni che utilizzano le pianificazioni Online, WebSocket sicuri (wss://).

  • Per le connessioni di estrazioni che utilizzano pianificazioni Bridge (legacy), HTTP Secure (https://).

Accedere ai dati di una rete privata

Le connessioni ai dati di una rete privata vengono avviate dal client Bridge per conto di Tableau Cloud. Il processo di avvio della connessione dipende dal tipo di contenuto e di connessione dell’origine dati.

  • Per le origini dati con connessioni live o connessioni virtuali, il client 1) stabilisce una connessione permanente a un servizio Tableau Bridge, che fa parte del client che risiede in Tableau Cloud, utilizzando WebSocket sicuri (wss://). Il client attende quindi una risposta da Tableau Cloud prima di 2) avviare una query live sui dati della rete privata. Il client 3) passa la query ai dati della rete privata, quindi 4) restituisce i dati della rete privata utilizzando 5) la stessa connessione permanente.

  • Per le origini dati con connessioni di estrazione che utilizzano le pianificazioni Online, il client 1) stabilisce una connessione permanente a un servizio Tableau Bridge, che fa parte del client che risiede in Tableau Cloud, utilizzando WebSocket sicuri (wss://). Il client attende quindi una richiesta da Tableau Cloud per le nuove pianificazioni di aggiornamento. Quando riceve le richieste, 2) il client contatta Tableau Cloud utilizzando una connessione sicura (https://) per i file di origine dati (tds). 3/4) Il client si connette quindi ai dati della rete privata utilizzando le credenziali incorporate incluse nella richiesta di processo. Il client 5) crea un’estrazione dei dati e 6) ripubblica l’estrazione in Tableau Cloud utilizzando il servizio Tableau Bridge. I passaggi da 2 a 6 possono essere effettuati in parallelo per consentire l’esecuzione di più richieste di aggiornamento.

  • Per le origini dati con connessioni di estrazione che utilizzano le pianificazioni Bridge (legacy), il client 1) contatta Tableau Cloud utilizzando una connessione sicura (https://) per le nuove pianificazioni di aggiornamenti e i file di origine dati (con estensione tds). Se 2) queste informazioni sono disponibili, al momento pianificato 3/4) il client si connette ai dati della rete privata utilizzando le credenziali archiviate. Il client 5) crea un’estrazione dei dati e 6) ripubblica l’estrazione in Tableau Cloud utilizzando un servizio Tableau Bridge. Il servizio Tableau Bridge fa parte del client che risiede in Tableau Cloud.

Filtri proxy di inoltro

Per garantire che i dati vengano trasmessi solo a Tableau Cloud, consigliamo di implementare il filtro basato su dominio sulle connessioni in uscita (filtro del proxy di inoltro) dal client Bridge. Dopo la connessione in uscita iniziale, la comunicazione è bidirezionale.

Tableau Bridge non supporta l’autenticazione proxy manuale o pass-through.

Nell’elenco seguente sono elencati i nomi di dominio parzialmente qualificati che Bridge utilizza per le connessioni in uscita:

  • *.online.tableau.com
  • *.compute-1.amazonaws.com, nome host DNS pubblico di Amazon VPC, nel formato ec2-<indirizzo-ipv4-pubblico>.compute-1.amazonaws.com, per l’area us-east-1
  • *.compute.amazonaws.com, nome host DNS pubblico di Amazon VPC, nel formato ec2-<indirizzo-ipv4-pubblico>.compute.amazonaws.com, per tutte le altre aree (ad eccezione di us-east-1)
  • (Facoltativo) *.salesforce.com, se l’autenticazione a più fattori (MFA) con autenticazione Tableau (Tableau con MFA) è abilitata per il sito e il tuo ambiente utilizza proxy che impediscono ai client di accedere ad altri servizi necessari
  • (Facoltativo) crash-artifacts-747369.s3.amazonaws.com, utilizzato per la ricezione di rapporti di crash dump
  • (Facoltativo) s3-us-west-2-w.amazonaws.com, utilizzato per la ricezione di rapporti di crash dump
  • (Facoltativo) s3-w-a.us-west-2.amazonaws.com, utilizzato per la ricezione di rapporti di crash dump
  • (Facoltativo) bam.nr-data.net, utilizzato per le piattaforme di analisi Web di New Relic
  • (Facoltativo) js-agent.newrelic.com, utilizzato per inviare i dati sulle prestazioni a New Relic
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!