Bridge ウィンドウのセキュリティ
Tableau Bridge は以下のセキュリティ設計に適用されます。
- すべての通信はプライベート ネットワーク ファイアウォールの背後から開始されるため、追加の例外を管理する必要はありません。
- Tableau Bridge と Tableau Cloud 間で転送されるデータは暗号化されます。
- データ ソースまたは仮想接続が Bridge レガシー スケジュールを使用するよう設定されている場合、データベースの認証資格情報は、Windows 認証資格情報マネージャーを使用してコンピューターに保存されます。更新スケジュールの場合、認証資格情報は、更新を実行するために選択されたクライアントに渡されます。
Bridge のセキュリティの詳細は以下のセクションに記載されています。
送信のセキュリティ
注: Tableau Bridge は、Tableau Cloud へのアウトバウンドのインターネット リクエストにポート 443 を使用し、証明書の検証にはポート 80 を使用します。
Tableau Bridge は、WebSocket (wss://) 接続を使用して Tableau Cloud 環境との安全な双方向通信を開始します。WebSocket 接続は永続的であり、Bridge と Tableau Cloud 間のデータのアップロードを調整します。接続が確立される前にすべてのユーザーが認証および承認され、すべての入力が Tableau Cloud 内の信頼できるソースからのものであることが検証されます。
認証
Bridge には 2 つの主な認証ポイントがあります。Tableau Cloud とプライベート ネットワーク ネットワーク データです。
クライアントのリンクが解除された場合、または新しいバージョンにアップグレードした場合は、ログインし直す必要はありません。このシナリオでは、Bridge は Windows 認証資格情報ストアにローカルに保存されている既存のトークンを使用します。
クライアントがシャットダウンされた場合、または Windows タスク バーの [終了] オプションが使用された場合は、もう一度ログインして認証資格情報を入力する必要があります。これにより、新しい更新トークンが作成され、Windows 認証資格情報ストアに保存されます。
認証資格情報マネージャーでトークンを確認し、TABLEAU_CONNECTIONS_online.tableau.com の Generic 資格情報を確認できます。
Tableau Cloud
Tableau Cloud に接続するには、ユーザーは Bridge クライアントを介して Tableau Cloud 認証資格情報を入力します。
1) 認証資格情報の入力後、2) 認可トークンが Tableau Cloud により返されます。3) トークンは Windows オペレーティング システム の認証資格情報マネージャーを使用してクライアントが実行されている PC に保存されます。Bridge はトークンを使用して、抽出の更新スケジュール情報のダウンロードなどのさまざまなタスクを行います。
プライベート ネットワーク データ
プライベート ネットワーク データにアクセスするには、一部のデータ ソースまたは仮想接続に、データベースの認証資格情報を使用した認証が必要です。コンテンツの接続タイプに応じて、クライアントは以下のいずれかの方法でデータベースの認証資格情報を処理します。
ライブ接続と更新スケジュールを使用した抽出接続では、データベースの認証資格情報は要求時に送信され、TLS 1.2 接続を使用します。
Bridge レガシー スケジュールを使用した抽出接続では、データ ソースにデータベースの認証資格情報が必要な場合、これらの認証資格情報をクライアントに直接入力する必要があります。データベースの認証資格情報は Windows オペレーティング システムの認証資格情報マネージャーを使用してコンピューターに保存されます。クライアントは、スケジュールされた更新時間に、データベースの認証資格情報をデータベース (同様にプライベート ネットワーク ファイアウォールの背後にある) に送信します。
クライアントは、プライベート ネットワーク データへのアクセスに対して、ドメインベースのセキュリティ (Active Directory) およびユーザー名/パスワード認証資格情報をサポートしています。
プライベート ネットワーク ファイアウォールへの変更
Bridge クライアントでは、 プライベート ネットワーク ファイアウォールに 変更を加える必要はありません。クライアントは、Tableau Cloud へのアウトバウンド接続を作成するだけで接続できます。アウトバウンド接続を可能にするために、クライアントはコンテンツが使用する接続タイプに応じて、以下のプロトコルを使用します。
ライブ接続と更新スケジュールを使用した抽出接続の場合は、セキュア WebSockets (wss://)。
Bridge レガシー スケジュールを使用した抽出接続の場合は、HTTP セキュア (https://)。
プライベート ネットワーク データへのアクセス
プライベート ネットワークのデータへの接続は、Bridge クライアントが Tableau Cloud の代理で開始します。接続を開始するプロセスは、コンテンツ タイプと接続タイプによって異なります。
ライブ接続または仮想接続があるデータ ソースの場合、クライアントは、1) Tableau Cloud にあるクライアントの一部である Tableau Bridge サービスに、セキュアな WebSockets (wss://) を使用して持続的な接続を設定します。次に、クライアントは Tableau Cloud からの応答を待ってから、2) プライベート ネットワーク データへのライブ クエリを実行します。クライアントは 3) そのクエリをプライベート ネットワーク データに送信し、次に 4) プライベート ネットワーク データを 5) 同じ持続的な接続を使用して返します。
更新スケジュールを使用する抽出接続があるデータ ソース場合、クライアントは、1) Tableau Cloud のクライアントの一部である Tableau Bridge サービスに、セキュアな WebSockets (wss://) を使用して持続的な接続を設定します。次に、クライアントは、新しい更新スケジュールを使用するために Tableau Cloud からの応答を待ちます。クライアントが要求を受信すると、2) クライアントはデータ ソース (.tds) ファイルのセキュアな接続 (https://) を介して Tableau Cloud に接続します。3/4) 次に、クライアントはジョブ要求に含まれている埋め込みの認証資格情報を使用してプライベート ネットワーク データに接続します。クライアントは、5) データの抽出を作成し、6) Tableau Bridge サービスを利用して抽出を Tableau Cloud にもう一度パブリッシュします。複数の更新要求を実行する場合は、ステップ 2 から 6 を並行して行うことができます。
Bridge (レガシー) スケジュールを使用する抽出接続があるデータ ソースの場合、クライアントは、1) 新しい更新スケジュールとデータ ソース (.tds) ファイルへのセキュアな接続 (https://) を使用して Tableau Cloud に接触します。2) 情報が、スケジュールされた時間に利用できる場合、3/4) クライアントは保存された認証資格情報を使用してプライベート ネットワーク データに接続します。クライアントは 5) データの抽出を作成してから、6) Tableau Bridge サービスを利用して抽出を Tableau Cloud にもう一度パブリッシュします。Tableau Bridge サービスは、Tableau Cloud にあるクライアントの一部です。
フォワード プロキシ フィルタリング
データが Tableau Cloud だけに転送されることを確実にするには、ドメインに基づくフィルタリングを Bridge クライアントからのアウトバウンド接続 (フォワード プロキシ フィルタリング) に実装することを推奨します。最初のアウトバウンド接続の後、通信は双方向になります。
Tableau Bridge では、パススルー認証または手動プロキシ認証はサポートされていません。
以下のリストには、Bridge がアウトバウンド接続で使用する部分修飾ドメイン名が記載されています。
- *.online.tableau.com
- *.compute-1.amazonaws.com、us-east-1 リージョン向け Amazon VPC のパブリック DNS ホスト名 (形式: ec2-<public-ipv4-address>.compute-1.amazonaws.com)
- *.Compute.amazonaws.com、他のすべてのリージョン向け (us-east-1 以外) Amazon VPCのパブリック DNS ホスト名 (形式: ec2-<public-ipv4-address>.compute.amazonaws.com)
- (オプション) *.salesforce.com、サイトで Tableau 認証 (Tableau with MFA) を使用した多要素認証 (MFA) が有効になっており、クライアントが他の必要なサービスにアクセスすることを防ぐプロキシが環境で使用されている場合。
- (オプション) crash-artifacts-747369.s3.amazonaws.com は、クラッシュ ダンプ レポートの受信に使用します
- (オプション) s3-us-west-2-w.amazonaws.com は、クラッシュ ダンプ レポートの受信に使用します
- (オプション) s3-us-west-2.amazonaws.com は、クラッシュ ダンプ レポートの受信に使用します
- (オプション) Bam.nr-data.net は、New Relic の Web 分析プラット フォームに使用します
- (オプション) Js-agent.newrelic.com は、パフォーマンス データを New Relic に送信します