Segurança do Bridge

O Tableau Bridge aplica os seguintes designs de segurança:

  • Toda a comunicação é iniciada com a proteção do firewall local e, portanto, não exige que você gerencie exceções adicionais.
  • Os dados em trânsito, para dentro e para fora do Bridge, são criptografados.
  • As credenciais do banco de dados serão armazenadas no computador usando o gerenciador de credenciais do Windows se a fonte de dados estiver configurada para usar as agendas de atualização do Online (anteriormente denominadas Recommend) ou Bridge (herdado). Para as agendas de atualização do Online, as credenciais são repassadas ao cliente selecionado para realizar a atualização.

Encontre mais detalhes sobre a segurança do Bridge nas seções abaixo.

Segurança de transmissão

Os dados, de e para o cliente Bridge, são transmitidos por uma conexão TLS 1.2.

Autenticação

Há dois pontos de autenticação primários para o Bridge.

Tableau Online

Para se conectar ao Tableau Online, as credenciais do usuário do Tableau Online são inseridas por meio do cliente Bridge.

Depois que 1) as credenciais forem inseridas, 2) o Tableau Online retornará um token de autorização. O 3) token é armazenado no computador no qual o cliente está em execução, usando o gerenciador de credenciais do sistema operacional Windows. O Bridge usa o token para executar várias tarefas, como baixar as informações da agenda de atualização de uma extração.

Dados locais

Para acesso a dados locais, algumas fontes de dados exigem autenticação com as credenciais de banco de dados. Dependendo do tipo de conexão da fonte de dados, o cliente lida com as credenciais de banco de dados de uma das seguintes maneiras:

  • Em conexões em tempo real e conexões de extração que usam agendas de atualização Online (anteriormente denominadas Recommended), as credenciais do banco de dados são enviadas no momento da solicitação e usam uma conexão TLS 1.2.

  • Em conexões de extração que usam agendas do Bridge (herdado), se a fonte de dados exigir credenciais de banco de dados, essas credenciais deverão ser inseridas diretamente no cliente. As credenciais de banco de dados são armazenadas no computador usando o gerenciador de credenciais do sistema operacional Windows. O cliente envia as credenciais de banco de dados para o banco de dados, que também está protegido pelo firewall local, no horário da atualização agendada.

O cliente suporta segurança baseada em domínio (Active Directory) e as credenciais de nome de usuário/senha para acessar dados locais.

Alterações no firewall local

O cliente Bridge não requer alterações no firewall local. Isso ocorre porque o cliente faz apenas conexões de saída com o Tableau Online. Para permitir conexões de saída, o cliente usa os seguintes protocolos, dependendo do tipo de conexão usado pela fonte de dados:

  • Em conexões em tempo real e conexões de extração que usam agendas de atualização Online (anteriormente denominadas Recommended), secure WebSockets (wss://).

  • Em conexões de extração que usam agendas do Bridge (herdado), HTTP Secure (https://).

Acesso a dados locais

O cliente Bridge inicia as conexões com dados locais em nome do Tableau Online. O processo pelo qual a conexão é iniciada depende do tipo de conexão da fonte de dados.

  • Para conexões em tempo real, o cliente 1) estabelece uma conexão persistente com um serviço do Tableau Bridge, que é a parte do cliente que reside no Tableau Online, usando Secure WebSockets (wss://). O cliente aguarda uma resposta do Tableau Online antes de 2) iniciar uma consulta em tempo real aos dados locais. O cliente 3) transmite a consulta para os dados locais e, em seguida, 4) retorna os dados locais usando 5) a mesma conexão persistente.

  • Para conexões de extração que usam agendas de atualização Online (anteriormente denominadas Recommended), o cliente 1) estabelece uma conexão persistente com um serviço do Tableau Bridge, que é a parte do cliente que reside no Tableau Online, usando Secure WebSockets (wss://). Em seguida, o cliente aguarda uma solicitação do Tableau Online para novas agendas de atualização. Quando o cliente recebe as solicitações, 2) o cliente entra em contato com o Tableau Online usando uma conexão segura (https://) para os arquivos de fonte de dados (.tds). 3/4) Em seguida, o cliente se conecta aos dados no local usando as credenciais incorporadas na solicitação. O cliente 5) criará uma extração dos dados e 6) republicará a extração no Tableau Online usando o serviço do Tableau Bridge. As etapas de 2 a 6 podem estar ocorrendo em paralelo para permitir a ocorrência de várias solicitações de atualização.

  • Em conexões de extração que usam agendadas do Bridge (herdado), o cliente 1) entra em contato com o Tableau Online por uma conexão segura (https://) para novas agendas de atualização e arquivos de fonte de dados (.tds). Se 2) essas informações estiverem disponíveis no horário agendado, 3/4) o cliente se conectará aos dados locais usando as credenciais armazenadas. O cliente 5) criará uma extração dos dados e 6) republicará a extração no Tableau Online usando um serviço do Tableau Bridge. O serviço do Tableau Bridge é uma parte do cliente que reside no Tableau Online.

Considerações adicionais de segurança

Filtragem opcional do proxy de encaminhamento

Para garantir que os dados sejam transmitidos somente para o Tableau Online, você pode implementar a filtragem baseada em domínio nas conexões de saída (filtragem de proxy de encaminhamento) no cliente do Bridge.

A lista a seguir contém os nomes de domínio parcialmente qualificados que o Bridge requer para conexões de saída:

  • *.online.tableau.com
  • *.newrelic.com, usado para monitoramento de desempenho do aplicativo cliente
  • *.nr-data.net, usado para monitoramento de desempenho do aplicativo cliente
  • *.cloudfront.net, um CDN usado para conteúdo estático
  • *.akamai, um CDN para alguns módulos do Tableau Online
  • *.compute-1.amazonaws.com, o nome de host DNS público do Amazon VPC, que assume o formulário ec2-<public-ipv4-address>.compute-1.amazonaws.com, para a região eua-east-1
  • *.compute.amazonaws.com, o nome de host DNS público da Amazon VPC, que assume o formulário ec2-<public-ipv4-address>.compute.amazonaws.com, para todas as outras regiões (fora de us-east-1)
  • crash-artifacts-747369.s3.amazonaws.com, usado para receber relatórios de despejo de falha
  • s3-us-west-2-w.amazonaws.com, usado para receber relatórios de despejo de falha
  • s3-w-a.us-west-2.amazonaws.com, usado para receber relatórios de despejo de falha
Agradecemos seu feedback!