Bridge-säkerhet i Windows

Gäller för: Tableau Cloud

Tableau Bridge tillämpar följande säkerhetspraxis:

  • All kommunikation initieras bakom det privata nätverkets brandvägg och kräver därför inte att du hanterar ytterligare undantag.
  • Data som förs över, till och från Bridge, är krypterad.
  • Inloggningsuppgifter för databasen lagras på datorn med Windows Autentiseringshanterare om datakällan eller den virtuella anslutningen är konfigurerad till att använda Bridge-scheman (äldre versioner). För onlinescheman skickas inloggningsuppgifterna vidare till klienten som är vald för att utföra uppdateringen.

Du kan hitta mer information om Bridge-säkerheten i avsnitten nedan.

Överföringssäkerhet

Data, till och från Bridge-klienten, överförs med en TLS 1.2-anslutning.

Obs! Tableau Bridge använder port 443 för att göra utgående internetförfrågningar till Tableau Cloud och port 80 för certifikatsvalidering.

Autentisering

Det finns två primära autentiseringspunkter för Bridge: Tableau Cloud och privata nätverksdata.

Tableau Cloud

En användares Tableau Cloud-inloggningsuppgifter anges via Bridge-klienten för att ansluta till Tableau Cloud.

1) Efter att inloggningsuppgifterna har angetts, 2) returneras en auktoriseringstoken av Tableau Cloud. 3) Denna token lagras på datorn där klienten körs med Windows Autentiseringshanterare. Bridge använder denna token för att utföra olika uppgifter såsom att ladda ner information om uppdateringsschemat för ett extrakt.

Data i privata nätverk

För att komma åt data i privata nätverk kräver vissa datakällor eller virtuella anslutningar autentisering med inloggningsuppgifterna för databasen. Beroende på innehållets anslutningstyp hanterar klienten inloggningsuppgifterna för databasen på något av följande sätt:

  • För liveanslutningar och extraktanslutningar som använder onlinescheman skickas inloggningsuppgifterna för databasen vid tidpunkten för begäran och använder en TLS 1.2-anslutning.

  • För extraktanslutningar som använder Bridge-scheman (äldre version) måste inloggningsuppgifterna anges direkt i klienten om datakällan kräver inloggningsuppgifter för databasen. Inloggningsuppgifterna för databasen lagras på datorn med Windows Autentiseringshanterare. Klienten skickar inloggningsuppgifterna för databasen till databasen, vilken även befinner sig bakom det privata nätverkets brandvägg, vid den schemalagda uppdateringstiden.

Klienten har stöd för domänbaserad säkerhet (Active Directory) och användarnamn/lösenordsuppgifter för att komma åt privata nätverksdata.

Ändringar av det privata nätverkets brandvägg

Bridge-klienten kräver inga ändringar i det privata nätverkets brandvägg. Klienten uppnår detta genom att endast tillämpa utgående anslutningar till Tableau Cloud. För att tillåta utgående anslutningar använder klienten följande protokoll, beroende på vilken typ av anslutning som används av innehållet:

  • För liveanslutningar och extraktanslutningar som använder onlinescheman används säkra WebSockets (wss://).

  • För extraktanslutningar som använder Bridge-scheman (äldre version) används HTTP Secure (https://).

Åtkomst till privata nätverksdata

Anslutningar till privata nätverksdata initieras av Bridge-klienten på uppdrag av Tableau Cloud. Processen med vilken anslutningen initieras beror på typen av innehåll och anslutning.

  • För datakällor med liveanslutningar eller virtuella anslutningar upprättar klienten 1) en beständig anslutning till en Tableau Bridge-tjänst, som är den del av klienten som finns på Tableau Cloud, med säkra WebSockets (wss://). Klienten väntar sedan på ett svar från Tableau Cloud innan 2) en livefråga initieras till privata nätverksdata. 3) Klienten skickar frågan till den privata nätverksdatan och 4) returnerar sedan den privata nätverksdatan med 5) samma beständiga anslutning.

  • För datakällor med extraktanslutningar som använder onlinescheman upprättar klienten 1) en beständig anslutning till en Tableau Bridge-tjänst, som är den del av klienten som finns på Tableau Cloud, med säkra WebSockets (wss://). Klienten väntar sedan på en begäran från Tableau Cloud om nya uppdateringsscheman. När klienten tar emot begäran, 2) kontaktar klienten Tableau Cloud med en säker anslutning (https://) för datakällans (.tds) filer. 3/4) Klienten ansluter sedan till den privata nätverksdatan med hjälp av de inbäddade inloggningsuppgifter som inkluderas i samma jobbegäran. 5) Klienten skapar ett extrakt av data och 6) publicerar sedan extraktet på nytt till Tableau Cloud med hjälp av Tableau Bridge-tjänsten. Steg 2–6 kan ske parallellt för att tillåta flera begäran om uppdateringar.

  • För datakällor med extraktanslutningar som använder Bridge-scheman (äldre version) kontaktar klienten 1) Tableau Cloud via en säker anslutning (https://) för nya uppdateringsscheman och datakällans (.tds) filer. 2) Om den här informationen är tillgänglig vid den schemalagda tiden, 3/4) ansluter klienten till den privata nätverksdatan med hjälp av de lagrade inloggningsuppgifterna. 5) Klienten skapar ett extrakt av data och 6) publicerar sedan extraktet på nytt till Tableau Cloud med hjälp av en Tableau Bridge-tjänst. Tjänsten Tableau Bridge är en del av klienten som finns på Tableau Cloud.

Valfri filtrering vid proxy för vidarebefordran

För att säkerställa att dina data endast överförs till Tableau Cloud kan du implementera domänbaserad filtrering på utgående anslutningar (filtrering vid proxy för vidarebefordran) från Bridge-klienten. Efter den första utgående anslutningen är kommunikationen dubbelriktad.

Följande lista innehåller de delvis kvalificerade domännamn som Bridge använder för utgående anslutningar:

  • *.online.tableau.com
  • *.Compute-1.amazonaws.com, Amazon VPC:s offentliga DNS-värdnamn, som har formen ec2-<public-ipv4-address>.compute-1.amazonaws.com, för us-east-1-regionen
  • *.compute.amazonaws.com, Amazon VPC:s offentliga DNS-värdnamn, som har formen ec2-<public-ipv4-address>.compute.amazonaws.com, för alla andra regioner (utanför us-east-1)
  • (Valfritt) *.Salesforce.com, om flerfaktorsautentisering (MFA) med Tableau-autentisering (Tableau med MFA) är aktiverad för din plats samt miljö används proxyservrar som hindrar klienter från att komma åt andra nödvändiga tjänster
  • (Valfritt) Crash-artifacts-747369.s3.amazonaws.com, används för att ta emot rapporter om krascher
  • (Valfritt) S3-us-west-2-w.amazonaws.com, används för att ta emot rapporter om krascher
  • (Valfritt) s3-w-a.us-west-2.amazonaws.com, används för att ta emot rapporter om krascher
  • (Valfritt) bam.nr-data.net, används för New Relics webbanalysplattformar.
  • (Valfritt) js-agent.newrelic.com, skickar prestandadata till New Relic.
Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!