Tableau Bridge applica le seguenti strutture di sicurezza:

  • Tutte le comunicazioni vengono avviate dal firewall della rete privata e pertanto non richiedono la gestione di eccezioni aggiuntive.
  • I dati in transito, verso e da Bridge, sono crittografati.
  • Le credenziali del database vengono archiviate nel computer utilizzando Gestione credenziali di Windows se l'origine dati o la connessione virtuale è configurata per l'utilizzo di pianificazioni Online o Bridge (legacy). Per le pianificazioni Online, le credenziali vengono passate al client selezionato per eseguire l'aggiornamento.

Nella sezione seguente sono disponibili maggiori informazioni sulla sicurezza di Bridge.

Protezione della trasmissione

I dati, da e verso il client Bridge, vengono trasmessi tramite una connessione TLS 1.2.

Autenticazione

Esistono due punti di autenticazione principali per Bridge.

Tableau Online

Per connettersi a Tableau Online, le credenziali di Tableau Online di un utente vengono immesse tramite il client Bridge.

Dopo 1) le credenziali vengono immesse, 2) un token di autorizzazione viene restituito da Tableau Online. Il token 3) viene archiviato nel computer in cui è eseguito il client utilizzando il gestore delle credenziali del sistema operativo Windows. Bridge utilizza il token per eseguire diverse attività, ad esempio il download delle informazioni sulla pianificazione dell'aggiornamento per un'estrazione.

Dati in una rete privata

Per accedere ai dati in una rete privata, alcune origini dati o connessioni virtuali richiedono l'autenticazione tramite credenziali del database. A seconda del tipo di connessione del contenuto, il client gestisce le credenziali del database in uno dei modi seguenti:

  • Per le connessioni live e le connessioni di estrazione che utilizzano le pianificazioni Online, le credenziali del database vengono inviate al momento della richiesta e utilizzano una connessione TLS 1.2.

  • Per le connessioni di estrazioni che utilizzano le pianificazioni Bridge (legacy), se l'origine dati richiede credenziali del database, queste credenziali devono essere immesse direttamente nel client. Le credenziali del database vengono archiviate nel computer utilizzando il gestore delle credenziali del sistema operativo Windows. Il client invia le credenziali del database al database, anch'esso dietro il firewall della rete privata, al momento dell'aggiornamento pianificato.

Il client supporta la sicurezza basata su dominio (Active Directory) e le credenziali nome utente/password per accedere ai dati della rete privata.

Modifiche al firewall della rete privata

Il client Bridge non richiede alcuna modifica al firewall della rete privata. Il client ottiene questo risultato effettuando solo connessioni in uscita a Tableau Online. Per consentire le connessioni in uscita, il client utilizza i protocolli seguenti in base al tipo di connessione utilizzato dal contenuto:

  • Per le connessioni live e le connessioni di estrazioni che utilizzano le pianificazioni Online, WebSocket sicuri (wss://).

  • Per le connessioni di estrazioni che utilizzano pianificazioni Bridge (legacy), HTTP Secure (https://).

Accedere ai dati di una rete privata

Le connessioni ai dati di una rete privata vengono avviate dal client Bridge per conto di Tableau Online. Il processo di avvio della connessione dipende dal tipo di contenuto e di connessione dell'origine dati.

  • Per le origini dati con connessioni live o connessioni virtuali, il client 1) stabilisce una connessione permanente a un servizio Tableau Bridge, che fa parte del client che risiede in Tableau Online, utilizzando WebSocket sicuri (wss://). Il client attende quindi una risposta da Tableau Online prima di 2) avviare una query live sui dati della rete privata. Il client 3) passa la query ai dati della rete privata, quindi 4) restituisce i dati della rete privata utilizzando 5) la stessa connessione permanente.

  • Per le origini dati con connessioni di estrazione che utilizzano le pianificazioni Online, il client 1) stabilisce una connessione permanente a un servizio Tableau Bridge, che fa parte del client che risiede in Tableau Online, utilizzando WebSocket sicuri (wss://). Il client attende quindi una richiesta da Tableau Online per le nuove pianificazioni di aggiornamento. Quando riceve le richieste, 2) il client contatta Tableau Online utilizzando una connessione sicura (https://) per i file di origine dati (tds). 3/4) Il client si connette quindi ai dati della rete privata utilizzando le credenziali incorporate nella richiesta. Il client 5) crea un'estrazione dei dati e 6) ripubblica l'estrazione in Tableau Online utilizzando il servizio Tableau Bridge. I passaggi da 2 a 6 possono essere effettuati in parallelo per consentire l'esecuzione di più richieste di aggiornamento.

  • Per le origini dati con connessioni di estrazione che utilizzano le pianificazioni Bridge (legacy), il client 1) contatta Tableau Online utilizzando una connessione sicura (https://) per le nuove pianificazioni di aggiornamenti e i file di origine dati (con estensione tds). Se 2) queste informazioni sono disponibili, al momento pianificato 3/4) il client si connette ai dati della rete privata utilizzando le credenziali archiviate. Il client 5) crea un'estrazione dei dati e 6) ripubblica l'estrazione in Tableau Online utilizzando un servizio Tableau Bridge. Il servizio Tableau Bridge fa parte del client che risiede in Tableau Online.

Considerazioni aggiuntive sulla sicurezza

Filtro del proxy di inoltro facoltativo

Per garantire che i dati vengano trasmessi solo a Tableau Online, è possibile implementare il filtro basato su dominio sulle connessioni in uscita (filtro del proxy di inoltro) dal client Bridge.

Nell'elenco seguente sono elencati i nomi di dominio parzialmente qualificati di cui Bridge ha bisogno per le connessioni in uscita:

  • *.online.tableau.com
  • *.newrelic.com, utilizzato per monitorare le prestazioni delle applicazioni client
  • *.nr-data.net, utilizzato per monitorare le prestazioni delle applicazioni client
  • *.cloudfront.net, CDN utilizzato per il contenuto statico
  • *.akamai, CDN per alcuni contenitori Tableau Online
  • *.compute-1.amazonaws.com, nome host DNS pubblico di Amazon VPC, nel formato ec2-<indirizzo-ipv4-pubblico>.compute-1.amazonaws.com, per l'area us-east-1
  • *.compute.amazonaws.com, nome host DNS pubblico di Amazon VPC, nel formato ec2-<indirizzo-ipv4-pubblico>.compute.amazonaws.com, per tutte le altre aree (ad eccezione di us-east-1)
  • *.salesforce.com, facoltativamente, se l'autenticazione a più fattori (MFA) con autenticazione Tableau (Tableau con MFA) è abilitata per il sito e il tuo ambiente utilizza proxy che impediscono ai client di accedere ad altri servizi necessari
  • crash-artifacts-747369.s3.amazonaws.com, utilizzato per la ricezione di rapporti crash dump
  • s3-us-west-2-w.amazonaws.com, utilizzato per la ricezione di rapporti di crash dump
  • s3-w-a.us-west-2.amazonaws.com, utilizzato per la ricezione di rapporti crash dump
Grazie per il tuo feedback.