Bridge Windows 보안
Tableau Bridge는 다음 보안 설계를 적용합니다.
- 모든 통신은 사설망 방화벽 뒤에서 시작되므로 추가 예외를 관리할 필요가 없습니다.
- Tableau Bridge와 Tableau Cloud 간에 전송되는 데이터는 암호화됩니다.
- 데이터베이스 자격 증명은 데이터 원본 또는 가상 연결이 Bridge(레거시) 일정을 사용하도록 설정된 경우 Windows 자격 증명 관리자를 사용하여 컴퓨터에 저장됩니다. Online 일정의 경우 새로 고침을 수행하도록 선택된 클라이언트에 자격 증명이 전달됩니다.
아래 섹션에서 Bridge 보안에 대한 자세한 내용을 확인할 수 있습니다.
전송 보안
참고: Tableau Bridge는 포트 443을 사용하여 Tableau Cloud에 대한 아웃바운드 인터넷 요청을 처리하고 포트 80을 사용하여 인증서 유효성 검사를 수행합니다.
Tableau Bridge는 WebSocket(wss://) 연결을 사용하여 Tableau Cloud 환경과의 안전한 양방향 통신을 시작합니다. WebSocket 연결은 영구적이며 Bridge와 Tableau Cloud 간의 데이터 업로드를 조정합니다. 모든 사용자는 연결이 이루어지기 전에 인증 및 권한이 부여되며, 모든 입력은 Tableau Cloud 내에서 신뢰할 수 있는 원본에서 온 것인지 확인됩니다.
인증
Bridge에는 Tableau Cloud 및 사설망 데이터라는 두 가지 기본 인증 지점이 있습니다.
클라이언트의 연결이 해제되거나 새 버전으로 업그레이드하는 경우 다시 로그인할 필요가 없습니다. 이 시나리오에서 Bridge는 Windows 자격 증명 저장소에 로컬로 저장된 기존 토큰을 사용합니다.
클라이언트가 종료되거나 Windows 작업 표시줄의 종료 옵션을 사용하는 경우 다시 로그인하여 자격 증명을 제공해야 합니다. 그러면 새 새로 고침 토큰이 만들어져 Windows 자격 증명 저장소에 저장됩니다.
자격 증명 관리자에서 토큰을 확인하고 TABLEAU_CONNECTIONS_online.tableau.com에 대한 일반 자격 증명을 확인할 수 있습니다.
Tableau Cloud
Tableau Cloud에 연결하기 위해 사용자가 Bridge 클라이언트를 통해 Tableau Cloud 자격 증명을 입력합니다.
1) 자격 증명이 입력되면 2) Tableau Cloud이 인증 토큰을 반환합니다. 3) 토큰은 클라이언트가 실행되는 컴퓨터에 Windows 운영 체제의 자격 증명 관리자를 사용하여 저장됩니다. Bridge는 토큰을 사용하여 추출 새로 고침 일정 정보를 다운로드하는 등의 다양한 작업을 수행합니다.
사설망 데이터
사설망 데이터에 액세스하려면 일부 데이터 원본 또는 가상 연결에서 데이터베이스 자격 증명을 사용하여 인증해야 합니다. 콘텐츠의 연결 유형에 따라 클라이언트는 다음 방법 중 하나를 사용하여 데이터베이스 자격 증명을 처리합니다.
라이브 연결 및 Online 일정을 사용하는 추출 연결에서는 데이터베이스 자격 증명이 요청 시간에 전송되며 TLS 1.2 연결이 사용됩니다.
Bridge(레거시) 일정을 사용하는 추출 연결에서 데이터 원본에 데이터베이스 자격 증명이 필요한 경우 이러한 자격 증명을 클라이언트에 직접 입력해야 합니다. 데이터베이스 자격 증명은 Windows 운영 체제의 자격 증명 관리자를 사용하여 컴퓨터에 저장됩니다. 클라이언트는 데이터베이스 자격 증명을 예약된 새로 고침 시간에 사설망 방화벽 뒤의 데이터베이스로 보냅니다.
클라이언트는 도메인 기반 보안(Active Directory)을 지원하며 사용자 이름/비밀번호 자격 증명을 사용하여 사설망 데이터에 액세스할 수 있습니다.
사설망 방화벽 변경
Bridge 클라이언트의 경우 사설망 방화벽을 변경할 필요가 없습니다. 클라이언트는 Tableau Cloud에 대한 아웃바운드 연결만 수행하기 때문입니다. 아웃바운드 연결을 허용하기 위해 클라이언트는 콘텐츠에 사용된 연결 유형에 따라 다음 프로토콜을 사용합니다.
라이브 연결 및 Online 일정을 사용하는 추출 연결의 경우 보안 WebSocket(wss://)이 사용됩니다.
Bridge(레거시) 일정을 사용하는 추출 연결의 경우 HTTP Secure(https://)가 사용됩니다.
사설망 데이터 액세스
사설망 데이터에 대한 연결은 Tableau Cloud을 대신하여 Bridge 클라이언트에서 시작됩니다. 연결을 시작하는 프로세스는 콘텐츠 유형 및 연결 유형에 따라 다릅니다.
라이브 연결 또는 가상 연결을 사용하는 데이터 원본의 경우 1) 클라이언트가 보안 WebSocket(wss://)을 사용하여 Tableau Cloud에 상주하는 클라이언트의 일부인 Tableau Bridge 서비스에 대한 영구 연결을 설정합니다. 그런 다음 Tableau Cloud의 응답을 기다립니다. 2) 응답이 오면 사설망 데이터에 대한 라이브 쿼리를 시작합니다. 3) 클라이언트가 사설망 데이터에 쿼리를 전달합니다. 4) 클라이언트가 동일한 영구 연결을 사용하여 5) 사설망 데이터를 반환합니다.
Online 일정을 사용하는 추출 연결이 포함된 데이터 원본의 경우 1) 클라이언트가 보안 WebSocket(wss://)을 사용하여 Tableau Cloud에 상주하는 클라이언트의 일부인 Tableau Bridge 서비스에 대한 영구 연결을 설정합니다. 그런 다음 클라이언트가 Tableau Cloud에서 새 새로 고침 일정에 대한 요청을 대기합니다. 클라이언트가 요청을 수신하면 2) 클라이언트는 데이터 원본(.tds) 파일에 대한 보안 연결(https://)을 사용하여 Tableau Cloud에 연결합니다. 3/4) 그런 다음 클라이언트는 작업 요청에 포함되는 내장된 자격 증명을 사용하여 사설망 데이터에 연결합니다. 클라이언트는 5) 데이터의 추출을 만든 다음 6) Tableau Bridge 서비스를 사용하여 이 추출을 Tableau Cloud에 다시 게시합니다. 여러 새로 고침 요청이 발생할 수 있도록 2-6단계를 병렬로 수행할 수 있습니다.
Bridge(레거시) 일정을 사용하는 추출 연결이 포함된 데이터 원본의 경우 클라이언트가 1) 새 새로 고침 일정 및 데이터 원본(.tds) 파일을 확인하기 위해 보안 연결(https://)을 사용하여 Tableau Cloud에 접속합니다. 2) 이 정보를 사용할 수 있는 경우 3/4) 클라이언트는 예약된 시간에 저장된 자격 증명을 사용하여 사설망 데이터에 연결합니다. 클라이언트는 5) 데이터의 추출을 만든 다음 6) Tableau Bridge 서비스를 사용하여 이 추출을 Tableau Cloud에 다시 게시합니다. Tableau Bridge 서비스는 Tableau Cloud에 상주하는 클라이언트의 일부입니다.
전방향 프록시 필터링
데이터를 Tableau Cloud에만 전송하려면 Bridge 클라이언트의 아웃바운드 연결에 도메인 기반 필터링(정방향 프록시 필터링)을 구현하는 것이 좋습니다. 초기 아웃바운드 연결 후 통신은 양방향 통신입니다.
Tableau Bridge는 통과 또는 수동 프록시 인증을 지원하지 않습니다.
다음 목록에는 Bridge의 아웃바운드 연결에 사용되는 부분적으로 정규화된 도메인 이름이 포함되어 있습니다.
- *.online.tableau.com
- *.compute-1.amazonaws.com: Amazon VPC의 공개 DNS 호스트 이름(us-east-1 지역의 예: ec2-<public-ipv4-address>.compute-1.amazonaws.com)
- *.compute.amazonaws.com: Amazon VPC의 공개 DNS 호스트 이름(us-east-1 이외의 다른 모든 지역의 예: ec2-<public-ipv4-address>.compute.amazonaws.com)
- (선택 사항) *.salesforce.com: 사이트에서 Tableau 인증과 MFA(다단계 인증)을 사용(Tableau 및 MFA)하고 환경에서 클라이언트가 다른 필수 서비스에 액세스하지 못하도록 하는 프록시를 사용 중인 경우 사용됨
- (선택 사항) crash-artifacts-747369.s3.amazonaws.com: 충돌 덤프 보고서의 수신에 사용됨
- (선택 사항) s3-us-west-2-w.amazonaws.com: 충돌 덤프 보고서의 수신에 사용됨
- (선택 사항) s3-w-a.us-west-2.amazonaws.com: 충돌 덤프 보고서의 수신에 사용됨
- (선택 사항) bam.nr-data.net: New Relic의 웹 분석 플랫폼에 사용됨
- (선택 사항) js-agent.newrelic.com: New Relic에 성능 데이터를 보냄