Windows-beveiliging van Bridge
In Tableau Bridge worden de volgende beveiligingsontwerpen toegepast:
- Alle communicatie wordt gestart achter de firewall van het privénetwerk en daarom hoeft u geen extra uitzonderingen te beheren.
- Data die tussen Tableau Bridge en Tableau Cloud worden verzonden, worden versleuteld.
- Databasereferenties worden op de computer opgeslagen met behulp van Windows-referentiebeheer als de databron of virtuele verbinding is ingesteld op het gebruik van verouderde Bridge-planningen. Voor vernieuwingsplanningen worden de referenties doorgegeven aan de client die is geselecteerd om de vernieuwing uit te voeren.
Meer informatie over de beveiliging van de brug vindt u in de onderstaande paragrafen.
Beveiliging van de overdracht
Opmerking: Tableau Bridge gebruikt poort 443 om uitgaande aanvragen naar internet naar Tableau Cloud te sturen en poort 80 voor certificaatvalidatiedoeleinden.
Tableau Bridge initieert veilige communicatie in twee richtingen met uw Tableau Cloud-omgeving via een WebSocket (wss://)-verbinding. De WebSocket-verbinding is permanent en coördineert het uploaden van data tussen Bridge en Tableau Cloud. Alle gebruikers worden geverifieerd en geautoriseerd voordat de verbinding tot stand wordt gebracht. Bovendien wordt gecontroleerd of alle invoer afkomstig is van vertrouwde bronnen binnen Tableau Cloud.
Verificatie
Er zijn twee primaire verificatiepunten voor Bridge: Tableau Cloud en privénetwerkdata.
Als de verbinding met de client wordt verbroken of als u een upgrade uitvoert naar een nieuwe versie van de client, hoeft u zich niet opnieuw aan te melden. In een dergelijk scenario gebruikt Bridge het bestaande token dat lokaal is opgeslagen in de Windows-referentieopslagplaats.
Als de client wordt afgesloten of als de optie Afsluiten op de taakbalk van Windows wordt gebruikt, moet u zich opnieuw aanmelden en uw referenties opgeven. Hierbij wordt een nieuw vernieuwingstoken gemaakt dat wordt opgeslagen in de Windows-referentieopslagplaats.
U kunt de tokens controleren in de referentiemanager en de algemene referenties controleren voor TABLEAU_CONNECTIONS_online.tableau.com.
Tableau Cloud
Om verbinding te maken met Tableau Cloud, worden de referenties van een Tableau Cloud-gebruiker ingevoerd bij de Bridge-client.
Nadat 1) de referenties zijn ingevoerd, wordt er 2) een autorisatietoken geretourneerd door Tableau Cloud. Het 3) token wordt opgeslagen op de computer waarop de client wordt uitgevoerd met behulp van de referentiemanager van het Windows-besturingssysteem. Bridge gebruikt het token om verschillende taken uit te voeren, zoals het downloaden van de vernieuwingsschema-informatie voor een extract.
Privénetwerkdata
Om toegang te krijgen tot data in een privénetwerk, is voor sommige databronnen of virtuele verbindingen verificatie met behulp van databasereferenties vereist. Afhankelijk van het verbindingstype van de inhoud verwerkt de client databasereferenties op een van de volgende manieren:
Voor live verbindingen en extractverbindingen waarvoor vernieuwingsplanningen worden gebruikt, worden databasereferenties op het moment van de aanvraag verzonden en wordt er gebruik gemaakt van een TLS 1.2-verbinding.
Voor extractverbindingen waarvoor verouderde Bridge-planningen worden gebruikt, moeten deze data, als de databron databasereferenties nodig heeft, rechtstreeks in de client worden ingevoerd. De databasereferenties worden op de computer opgeslagen met behulp van de referentiemanager van het Windows-besturingssysteem. De client stuurt de databasedata op het geplande vernieuwingstijdstip naar de database, die zich ook achter de firewall van het privénetwerk bevindt.
De client ondersteunt domeingebaseerde beveiliging (Active Directory) en gebruikersnaam/wachtwoordreferenties om toegang tot data in een privénetwerk te krijgen.
Wijzigingen in de firewall van het privénetwerk
Voor de Bridge-client zijn geen wijzigingen in de firewall van het privénetwerk vereist. Dit is mogelijk doordat de client alleen uitgaande verbindingen met Tableau Cloud maakt. Om uitgaande verbindingen toe te staan, gebruikt de client de volgende protocollen, afhankelijk van het verbindingstype dat door de inhoud wordt gebruikt:
Voor live verbindingen en extractverbindingen waarvoor vernieuwingsplanningen worden gebruikt: veilige WebSockets (wss://).
Voor extractverbindingen waarvoor verouderde Bridge-planningen worden gebruikt: HTTP-beveiligd (https://).
Toegang tot privénetwerkdata
Verbindingen met privénetwerkdata worden namens Tableau Cloud door de Bridge-client geïnitieerd. Het proces waarmee de verbinding tot stand wordt gebracht, is afhankelijk van het inhoudstype en het verbindingstype.
Voor databronnen met live verbindingen of virtuele verbindingen: de client 1) maakt via veilige WebSockets (wss://) een permanente verbinding met een Tableau Bridge-service, wat het deel van de client is dat zich in Tableau Cloud bevindt. De client wacht vervolgens op een reactie van Tableau Cloud voordat 2) er een live query naar de privénetwerkdata wordt gestart. De client 3) stuurt de query door naar de privénetwerkdata en 4) retourneert vervolgens de privénetwerkdata via 5) dezelfde permanente verbinding.
Voor databronnen met extractverbindingen waarvoor verniewingsplanningen worden gebruikt: de client 1) maakt via veilige WebSockets (wss://) een permanente verbinding met een Tableau Bridge-service, wat het deel van de client is dat zich op Tableau Cloud. De client wacht vervolgens op een aanvraag van Tableau Cloud voor nieuwe vernieuwingsschema's. Wanneer de client de aanvragen ontvangt, 2) neemt de client via een beveiligde verbinding (https://) contact op met Tableau Cloud voor de databronbestanden (.tds). 3/4) Vervolgens maakt de client met behulp van de in de taakaanvraag opgenomen referenties verbinding met de privénetwerkdata. De client 5) maakt een extract van de data en publiceert het extract vervolgens 6) opnieuw Tableau Cloud met behulp van de Tableau Bridge-service. De stappen 2 t/m 6 kunnen parallel worden uitgevoerd, zodat er meerdere vernieuwingsaanvragen kunnen worden uitgevoerd.
Voor databronnen met extractverbindingen die gebruikmaken van verouderde Bridge-planningen: de client 1) maakt contact met Tableau Cloud via een beveiligde verbinding (https://) voor nieuwe vernieuwingsschema's en databronbestanden (.tds). Als 2) deze informatie beschikbaar is, maakt de client met behulp van de opgeslagen referenties op het geplande tijdstip 3/4) verbinding met de privénetwerkdata. De client 5) maakt een extract van de data en publiceert het extract vervolgens 6) met behulp van een Tableau Bridge-service opnieuw naar Tableau Cloud. De Tableau Bridge-service is een onderdeel van de client die zich op Tableau Cloud bevindt.
Doorstuurproxyfiltering
Om ervoor te zorgen dat uw data worden doorgegeven aan Tableau Cloud, raden we aan domeingebaseerde filtering te implementeren op uitgaande verbindingen (doorstuurproxyfiltering) vanaf de Bridge-client. Na de eerste uitgaande verbinding verloopt de communicatie in twee richtingen.
Tableau Bridge ondersteunt geen pass-through of handmatige proxy-verificatie.
In de volgende lijst staat de gedeeltelijk gekwalificeerde domeinnamen die Bridge gebruikt voor uitgaande verbindingen:
- *.online.tableau.com
- *.compute-1.amazonaws.com, de openbare DNS-hostnaam van Amazon VPC, die de vorm ec2-<public-ipv4-address>.compute-1.amazonaws.com heeft voor de regio us-east-1
- *.compute.amazonaws.com, de openbare DNS-hostnaam van Amazon VPC, die de vorm ec2-<public-ipv4-address>.compute.amazonaws.com heeft voor alle andere regio's (buiten us-east-1)
- (optioneel) *.salesforce.com, als meervoudige verificatie (MFA) met Tableau-verificatie (Tableau met MFA) is ingeschakeld voor uw site en uw omgeving maakt gebruik van proxy's die voorkomen dat clients toegang krijgen tot andere noodzakelijke services.
- (optioneel) crash-artefacts-747369.s3.amazonaws.com, gebruikt voor het ontvangen van crashdump-rapporten
- (optioneel) s3-us-west-2-w.amazonaws.com, gebruikt voor het ontvangen van crashdump-rapporten
- (optioneel) s3-wa.us-west-2.amazonaws.com, gebruikt voor het ontvangen van crashdump-rapporten
- (optioneel) bam.nr-data.net, gebruikt voor de webanalyseplatforms van New Relic
- (optioneel) js-agent.newrelic.com, verzendt prestatiedata naar New Relic