Tableau Bridge は以下のセキュリティ設計に適用されます。

  • すべての通信はプライベート ネットワーク ファイアウォールの背後から開始されるため、追加の例外を管理する必要はありません。
  • Bridge から/に転送されるデータは暗号化されています。
  • データ ソースまたは仮想接続が Online スケジュールまたは Bridge (レガシー) スケジュールを使用するよう設定されている場合、データベースの認証資格情報は、Windows 認証資格情報マネージャーを使用してコンピューターに保存されます。Online スケジュールの場合、認証資格情報は、更新を実行するために選択されたクライアントに渡されます。

Bridge のセキュリティの詳細は以下のセクションに記載されています。

送信のセキュリティ

Bridge クライアントへの/からのデータは、TLS 1.2 接続により転送されます。

認証

Bridge には 2 つの主な認証ポイントがあります。

Tableau Online

Tableau Online に接続するには、ユーザーは Bridge クライアントを介して Tableau Online 認証資格情報を入力します。

1) 認証資格情報の入力後、2) 認可トークンが Tableau Online により返されます。3) トークンは Windows オペレーティング システム の認証資格情報マネージャーを使用してクライアントが実行されている PC に保存されます。Bridge はトークンを使用して、抽出の更新スケジュール情報のダウンロードなどのさまざまなタスクを行います。

プライベート ネットワーク データ

プライベート ネットワーク データにアクセスするには、一部のデータ ソースまたは仮想接続に、データベースの認証資格情報を使用した認証が必要です。コンテンツの接続タイプに応じて、クライアントは以下のいずれかの方法でデータベースの認証資格情報を処理します。

  • ライブ接続と Online スケジュールを使用した抽出接続では、データベースの認証資格情報はリクエスト時に送信され、TLS 1.2 接続を使用します。

  • Bridge (レガシー) スケジュールを使用した抽出接続では、データ ソースにデータベースの認証資格情報が必要な場合、これらの認証資格情報をクライアントに直接入力する必要があります。データベースの認証資格情報は Windows オペレーティング システム の認証資格情報マネージャーを使用して PC に保存されます。クライアントは、スケジュールされた更新時間に、データベースの認証資格情報をデータベース (同様にプライベート ネットワーク ファイアウォールの背後にある) に送信します。

クライアントは、プライベート ネットワーク データへのアクセスに対して、ドメインベースのセキュリティ (Active Directory) およびユーザー名/パスワード認証資格情報をサポートしています。

プライベート ネットワーク ファイアウォールへの変更

Bridge クライアントでは、 プライベート ネットワーク ファイアウォールに 変更を加える必要はありません。クライアントは、Tableau Online へのアウトバウンド接続を作成するだけで接続できます。アウトバウンド接続を可能にするために、クライアントはコンテンツが使用する接続タイプに応じて、以下のプロトコルを使用します。

  • ライブ接続と Online スケジュールを使用した抽出接続の場合は、セキュア WebSockets (wss://)。

  • Bridge (レガシー) スケジュールを使用した抽出接続の場合は、HTTP セキュア (https://)。

プライベート ネットワーク データへのアクセス

プライベート ネットワーク データへの接続は、Bridge クライアントが Tableau Online の代理で開始します。接続を開始するプロセスは、コンテンツ タイプと接続タイプによって異なります。

  • ライブ接続または仮想接続があるデータ ソースの場合、クライアントは、1) Tableau Online にあるクライアントの一部である Tableau Bridge サービスに、セキュア WebSockets (wss://) を使用して持続的な接続を設定します。次に、クライアントは Tableau Online からの応答を待ってから、2) プライベート ネットワーク データへのライブ クエリを実行します。クライアントは 3) そのクエリをプライベート ネットワーク データに送信し、次に 4) プライベート ネットワーク データを 5) 同じ持続的な接続を使用して返します。

  • Online スケジュールを使用する抽出接続があるデータ ソース場合、クライアントは、1) Tableau Online のクライアントの一部である Tableau Bridge サービスに、セキュア WebSockets (wss://) を使用して持続的な接続を設定します。次に、クライアントは、新しい更新スケジュールを使用するために Tableau Online からの応答を待ちます。クライアントが要求を受信すると、2) クライアントはデータ ソース (.tds) ファイルのセキュアな接続 (https://) を介して Tableau Online に接続します。3/4) 次に、クライアントは要求に埋め込まれた認証資格情報を使用してプライベート ネットワーク データに接続します。クライアントは、5) データの抽出を作成し、6) Tableau Bridge サービスを利用して抽出を Tableau Online にもう一度パブリッシュします。複数の更新要求を実行する場合は、ステップ 2 から 6 を並行して行うことができます。

  • Bridge (レガシー) スケジュールを使用する抽出接続があるデータ ソースの場合、クライアントは、1) 新しい更新スケジュールとデータ ソース (.tds) ファイルのために、セキュアな接続 (https://) を使用して Tableau Online に接触します。2) 情報が、スケジュールされた時間に利用できる場合、3/4) クライアントは保存された認証資格情報を使用してプライベート ネットワーク データに接続します。クライアントは 5) データの抽出を作成してから、6) Tableau Bridge サービスを利用して抽出を Tableau Online にリパブリッシュします。Tableau Bridge サービスは、Tableau Online にあるクライアントの一部です。

セキュリティに関するその他の考慮事項

オプションのフォワード プロキシ フィルターリング

データが Tableau Online だけに確実に転送されるようにするために、ドメインベースのフィルターリングを Bridge クライアントからのアウトバウンド接続 (フォワード プロキシ フィルターリング) に実装できます。

以下のリストは、Bridge がアウトバウンド接続に必要とする部分修飾ドメイン名です。

  • *.online.tableau.com
  • *.newrelic.com、クライアント アプリケーションのパフォーマンス モニタリングに使用
  • *.nr-data.net、クライアント アプリケーションのパフォーマンス モニタリングに使用
  • *.cloudfront.net、静的コンテンツに使用される CDN
  • *.akamai、複数の Tableau Online ポッド用 CDN
  • *.compute-1.amazonaws.com、us-east-1 リージョン向け Amazon VPC のパブリック DNS ホスト名 (形式: ec2-<public-ipv4-address>.compute-1.amazonaws.com)
  • *.Compute.amazonaws.com、他のすべてのリージョン向け (us-east-1 以外) Amazon VPCのパブリック DNS ホスト名 (形式: ec2-<public-ipv4-address>.compute.amazonaws.com)
  • *.salesforce.com、オプションで、サイトと環境のために Tableau 認証で多要素認証 (MFA) が有効になっていて (Tableau with MFA)、クライアントが他の必要なサービスにアクセスすることを防ぐプロキシが環境で使用されている場合
  • crash-artifacts-747369.s3.amazonaws.com、クラッシュ ダンプ レポートの受信に使用
  • s3-us-west-2-w.amazonaws.com、クラッシュ ダンプ レポートの受信に使用
  • s3-us-west-2.amazonaws.com、クラッシュ ダンプ レポートの受信に使用
ありがとうございます!