Bridge-säkerhet i Windows
Tableau Bridge tillämpar följande säkerhetspraxis:
- All kommunikation initieras bakom det privata nätverkets brandvägg och kräver därför inte att du hanterar ytterligare undantag.
- Data som överförs mellan Tableau Bridge och Tableau Cloud är krypterade.
- Inloggningsuppgifter för databasen lagras på datorn med Windows Autentiseringshanterare om datakällan eller den virtuella anslutningen är konfigurerad till att använda äldre Bridge-scheman. För uppdateringsscheman skickas inloggningsuppgifterna vidare till klienten som är vald för att utföra uppdateringen.
Du kan hitta mer information om Bridge-säkerheten i avsnitten nedan.
Överföringssäkerhet
Obs! Tableau Bridge använder port 443 för att göra utgående internetförfrågningar till Tableau Cloud och port 80 för certifikatsvalidering.
Tableau Bridge initierar en säker, dubbelriktad kommunikation till Tableau Cloud-miljön med en WebSocket-anslutning (wss://). WebSocket-anslutningen är beständig och koordinerar dataöverföringen mellan Bridge och Tableau Cloud. Alla användare autentiseras och auktoriseras innan anslutningen görs, och alla indata kontrolleras så att de kommer från betrodda källor inom Tableau Cloud.
Autentisering
Det finns två primära autentiseringspunkter för Bridge: Tableau Cloud och privata nätverksdata.
Du behöver inte logga in igen om klienten inte är länkad eller om du uppgraderar till en ny version. I ett sådant scenario använder Bridge den befintliga token som sparas lokalt i Windows-arkivet för inloggningsuppgifter.
Du måste logga in igen och ange inloggningsuppgifterna om klienten stängs av eller alternativet Avsluta i aktivitetsfältet i Windows används. Det skapar en ny uppdateringstoken som sparas i Windows-arkivet för inloggningsuppgifter.
Du kan kontrollera token i inloggningsuppgiftshanteraren och de allmänna inloggningsuppgifterna för TABLEAU_CONNECTIONS_online.tableau.com.
Tableau Cloud
En användares Tableau Cloud-inloggningsuppgifter anges via Bridge-klienten för att ansluta till Tableau Cloud.
1) Efter att inloggningsuppgifterna har angetts, 2) returneras en auktoriseringstoken av Tableau Cloud. 3) Denna token lagras på datorn där klienten körs med Windows Autentiseringshanterare. Bridge använder denna token för att utföra olika uppgifter såsom att ladda ner information om uppdateringsschemat för ett extrakt.
Data i privata nätverk
För att komma åt data i privata nätverk kräver vissa datakällor eller virtuella anslutningar autentisering med inloggningsuppgifterna för databasen. Beroende på innehållets anslutningstyp hanterar klienten inloggningsuppgifterna för databasen på något av följande sätt:
För liveanslutningar och extraktanslutningar som använder uppdateringsscheman skickas inloggningsuppgifterna för databasen vid tidpunkten för begäran och använder en TLS 1.2-anslutning.
För extraktanslutningar som använder äldre Bridge-scheman måste inloggningsuppgifterna anges direkt i klienten om datakällan kräver inloggningsuppgifter för databasen. Inloggningsuppgifterna för databasen lagras på datorn med Windows Autentiseringshanterare. Klienten skickar inloggningsuppgifterna för databasen till databasen, vilken även befinner sig bakom det privata nätverkets brandvägg, vid den schemalagda uppdateringstiden.
Klienten har stöd för domänbaserad säkerhet (Active Directory) och användarnamn/lösenordsuppgifter för att komma åt privata nätverksdata.
Ändringar av det privata nätverkets brandvägg
Bridge-klienten kräver inga ändringar i det privata nätverkets brandvägg. Klienten uppnår detta genom att endast tillämpa utgående anslutningar till Tableau Cloud. För att tillåta utgående anslutningar använder klienten följande protokoll, beroende på vilken typ av anslutning som används av innehållet:
För liveanslutningar och extraktanslutningar som använder uppdateringsscheman används säkra WebSockets (wss://).
För extraktanslutningar som använder äldre Bridge-scheman används HTTP Secure (https://).
Åtkomst till privata nätverksdata
Anslutningar till privata nätverksdata initieras av Bridge-klienten på uppdrag av Tableau Cloud. Processen med vilken anslutningen initieras beror på typen av innehåll och anslutning.
För datakällor med liveanslutningar eller virtuella anslutningar upprättar klienten 1) en beständig anslutning till en Tableau Bridge-tjänst, som är den del av klienten som finns på Tableau Cloud, med säkra WebSockets (wss://). Klienten väntar sedan på ett svar från Tableau Cloud innan 2) en livefråga initieras till privata nätverksdata. 3) Klienten skickar frågan till den privata nätverksdatan och 4) returnerar sedan den privata nätverksdatan med 5) samma beständiga anslutning.
För datakällor med extraktanslutningar som använder uppdateringsscheman upprättar klienten 1) en beständig anslutning till en Tableau Bridge-tjänst, som är den del av klienten som finns på Tableau Cloud, med säkra WebSockets (wss://). Klienten väntar sedan på en begäran från Tableau Cloud om nya uppdateringsscheman. När klienten tar emot begäran, 2) kontaktar klienten Tableau Cloud med en säker anslutning (https://) för datakällans (.tds) filer. 3/4) Klienten ansluter sedan till den privata nätverksdatan med hjälp av de inbäddade inloggningsuppgifter som inkluderas i samma jobbegäran. 5) Klienten skapar ett extrakt av data och 6) publicerar sedan extraktet på nytt till Tableau Cloud med hjälp av Tableau Bridge-tjänsten. Steg 2–6 kan ske parallellt för att tillåta flera begäran om uppdateringar.
För datakällor med extraktanslutningar som använder äldre Bridge-scheman kontaktar klienten 1) Tableau Cloud via en säker anslutning (https://) för nya uppdateringsscheman och datakällans (.tds) filer. 2) Om den här informationen är tillgänglig vid den schemalagda tiden, 3/4) ansluter klienten till den privata nätverksdatan med hjälp av de lagrade inloggningsuppgifterna. 5) Klienten skapar ett extrakt av data och 6) publicerar sedan extraktet på nytt till Tableau Cloud med hjälp av en Tableau Bridge-tjänst. Tjänsten Tableau Bridge är en del av klienten som finns på Tableau Cloud.
Filtrering vid proxy för vidarebefordran
Vi rekommenderar att du implementerar domänbaserad filtrering för utgående anslutningar (filtrering vid proxy för vidarebefordran) från Bridge-klienten för att säkerställa att dina data endast överförs till Tableau Cloud. Efter den första utgående anslutningen är kommunikationen dubbelriktad.
Tableau Bridge stöder inte direkt eller manuell proxyautentisering.
Följande lista innehåller de delvis kvalificerade domännamn som Bridge använder för utgående anslutningar:
- *.online.tableau.com
- *.Compute-1.amazonaws.com, Amazon VPC:s offentliga DNS-värdnamn, som har formen ec2-<public-ipv4-address>.compute-1.amazonaws.com, för us-east-1-regionen
- *.compute.amazonaws.com, Amazon VPC:s offentliga DNS-värdnamn, som har formen ec2-<public-ipv4-address>.compute.amazonaws.com, för alla andra regioner (utanför us-east-1)
- (Valfritt) *.Salesforce.com, om flerfaktorsautentisering (MFA) med Tableau-autentisering (Tableau med MFA) är aktiverad för din plats samt miljö används proxyservrar som hindrar klienter från att komma åt andra nödvändiga tjänster
- (Valfritt) Crash-artifacts-747369.s3.amazonaws.com, används för att ta emot rapporter om krascher
- (Valfritt) S3-us-west-2-w.amazonaws.com, används för att ta emot rapporter om krascher
- (Valfritt) s3-w-a.us-west-2.amazonaws.com, används för att ta emot rapporter om krascher
- (Valfritt) bam.nr-data.net, används för New Relics webbanalysplattformar.
- (Valfritt) js-agent.newrelic.com, skickar prestandadata till New Relic.