ความปลอดภัยของ Windows สำหรับ Bridge
Tableau Bridge ใช้การออกแบบความปลอดภัยต่อไปนี้:
- การสื่อสารทั้งหมดเริ่มต้นจากเบื้องหลังไฟร์วอลล์เครือข่ายส่วนตัว และด้วยเหตุนี้คุณจึงไม่จำเป็นต้องจัดการข้อยกเว้นเพิ่มเติม
- ข้อมูลที่ส่งผ่านระหว่าง Tableau Bridge และ Tableau Cloud จะได้รับการเข้ารหัส
- ข้อมูลเข้าสู่ระบบฐานข้อมูลจะถูกเก็บไว้ในคอมพิวเตอร์โดยใช้โปรแกรมจัดการข้อมูลเข้าสู่ระบบของ Windows หากแหล่งข้อมูลหรือการเชื่อมต่อแบบเสมือนถูกตั้งค่าให้ใช้กำหนดการแบบ Bridge (ดั้งเดิม) สำหรับกำหนดการ "ออนไลน์" ข้อมูลเข้าสู่ระบบจะถูกส่งต่อไปยังไคลเอ็นต์ที่เลือกเพื่อดำเนินการรีเฟรช
คุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับความปลอดภัยของ Bridge ได้ด้านล่างนี้
ความปลอดภัยของการรับส่งข้อมูล
หมายเหตุ : Tableau Bridge ใช้พอร์ต 443 เพื่อส่งคำขออินเทอร์เน็ตขาออกไปยัง Tableau Cloud และพอร์ต 80 สำหรับการตรวจสอบใบรับรอง
Tableau Bridge เริ่มต้นการสื่อสารแบบสองทิศทางที่ปลอดภัยกับสภาพแวดล้อม Tableau Cloud ของคุณโดยใช้การเชื่อมต่อ WebSocket (wss://) การเชื่อมต่อ WebSocket เป็นแบบถาวรและประสานการอัปโหลดข้อมูลระหว่าง Bridge และ Tableau Cloud ผู้ใช้ทั้งหมดได้รับการรับรองความถูกต้องและได้รับอนุญาตก่อนทำการเชื่อมต่อ และอินพุตทั้งหมดได้รับการตรวจสอบความถูกต้องว่ามาจากแหล่งที่เชื่อถือได้ภายใน Tableau Cloud
การตรวจสอบสิทธิ์
มีจุดการตรวจสอบสิทธิ์หลัก 2 จุดสำหรับ Bridge ได้แก่ Tableau Cloud และข้อมูลเครือข่ายส่วนตัว
หากไคลเอ็นต์ถูกยกเลิกการเชื่อมโยงหรือคุณอัปเกรดเป็นเวอร์ชันใหม่ คุณไม่จำเป็นต้องเข้าสู่ระบบอีกครั้ง ในสถานการณ์นี้ Bridge ใช้โทเค็นที่มีอยู่ซึ่งบันทึกไว้ในที่เก็บข้อมูลเข้าสู่ระบบของ Windows
หากไคลเอ็นต์ถูกปิด หรือใช้ตัวเลือก “ออก” บนทาสก์บาร์ของ Windows คุณจะต้องเข้าสู่ระบบใหม่และระบุข้อมูลเข้าสู่ระบบ ซึ่งจะสร้างโทเค็นการรีเฟรชใหม่ซึ่งบันทึกไว้ในที่เก็บข้อมูลเข้าสู่ระบบ Windows
คุณสามารถตรวจสอบโทเค็นได้ในตัวจัดการข้อมูลเข้าสู่ระบบ และตรวจสอบข้อมูลเข้าสู่ระบบทั่วไปสำหรับ TABLEAU_CONNECTIONS_online.tableau.com
Tableau Cloud
หากต้องการเชื่อมต่อกับ Tableau Cloud ข้อมูลเข้าสู่ระบบ Tableau Cloud ของผู้ใช้จะถูกป้อนผ่านไคลเอ็นต์ Bridge
หลังจาก 1) ป้อนข้อมูลเข้าสู่ระบบ 2) โทเค็นการให้สิทธิ์จะถูกส่งคืนโดย Tableau Cloud 3) โทเค็นถูกเก็บไว้ในคอมพิวเตอร์ที่ไคลเอ็นต์ทำงานโดยใช้โปรแกรมจัดการข้อมูลเข้าสู่ระบบของระบบปฏิบัติการ Windows Bridge ใช้โทเค็นเพื่อดำเนินงานต่างๆ เช่น ดาวน์โหลดข้อมูลกำหนดเวลารีเฟรชสำหรับการแยกข้อมูล
ข้อมูลเครือข่ายส่วนตัว
หากต้องการเข้าถึงข้อมูลเครือข่ายส่วนตัว บางแหล่งข้อมูลหรือการเชื่อมต่อแบบเสมือนต้องมีการตรวจสอบสิทธิ์โดยใช้ข้อมูลเข้าสู่ระบบฐานข้อมูล ไคลเอ็นต์จะจัดการกับข้อมูลเข้าสู่ระบบฐานข้อมูลด้วยวิธีใดวิธีหนึ่งต่อไปนี้ขึ้นอยู่กับประเภทการเชื่อมต่อของเนื้อหา:
สำหรับการเชื่อมต่อแบบสดและแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์" ข้อมูลเข้าสู่ระบบฐานข้อมูลจะถูกส่งตามเวลาที่ขอและใช้การเชื่อมต่อ TLS 1.2
สำหรับการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ Bridge (ดั้งเดิม) หากแหล่งข้อมูลต้องการข้อมูลเข้าสู่ระบบฐานข้อมูล ข้อมูลเข้าสู่ระบบเหล่านี้ต้องป้อนในไคลเอ็นต์โดยตรง ข้อมูลเข้าสู่ระบบฐานข้อมูลถูกเก็บไว้ในคอมพิวเตอร์โดยใช้โปรแกรมจัดการข้อมูลเข้าสู่ระบบของระบบปฏิบัติการ Windows ไคลเอ็นต์ส่งข้อมูลเข้าสู่ระบบฐานข้อมูลไปยังฐานข้อมูล ซึ่งอยู่หลังไฟร์วอลล์เครือข่ายส่วนตัวตามเวลารีเฟรชตามกำหนดการ
ไคลเอ็นต์รองรับการักษาความปลอดภัยบนโดเมน (Active Directory) และข้อมูลเข้าสู่ระบบชื่อผู้ใช้/รหัสผ่านเพื่อเข้าถึงข้อมูลเครือข่ายส่วนตัว
การเปลี่ยนแปลงไฟร์วอลล์เครือข่ายส่วนตัว
ไคลเอ็นต์ Bridge ไม่ จำเป็น ต้องมีการเปลี่ยนแปลงไฟร์วอลล์เครือข่ายส่วนตัว ไคลเอ็นต์ประสบความสำเร็จโดยทำการเชื่อมต่อขาออกกับ Tableau Cloud หากต้องการอนุญาตการเชื่อมต่อขาออก ไคลเอ็นต์ต้องใช้โปรโตคอลต่อไปนี้ซึ่งขึ้นอยู่กับประเภทการเชื่อมต่อที่ใช้โดยเนื้อหา:
สำหรับการเชื่อมต่อแบบสดและแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์" Secure WebSockets (wss://)
สำหรับการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ Bridge (ดั้งเดิม) HTTP Secure (https://)
การเข้าถึงข้อมูลเครือข่ายส่วนตัว
การเชื่อมต่อกับข้อมูลเครือข่ายส่วนตัวเริ่มต้นโดยไคลเอ็นต์ Bridge ในนามของ Tableau Cloud กระบวนการเริ่มต้นโดยการเชื่อมต่อซึ่งขึ้นอยู่กับประเภทเนื้อหาและประเภทการเชื่อมต่อ
สำหรับแหล่งข้อมูลที่มีการเชื่อมต่อแบบสดหรือแบบเสมือน 1) ไคลเอ็นต์จะสร้างการเชื่อมต่อแบบถาวรกับบริการ Tableau Bridge ซึ่งเป็นส่วนหนึ่งของไคลเอ็นต์ที่อยู่บน Tableau Cloud โดยใช้ Secure WebSockets (wss://) จากนั้นไคลเอ็นต์จะรอการตอบกลับจาก Tableau Cloud ก่อน 2) เริ่มต้นการค้นหาข้อมูลแบบสดไปยังข้อมูลเครือข่ายส่วนตัว 3) ไคลเอ็นต์ส่งการค้นหาไปยังข้อมูลเครือข่ายส่วนตัว จากนั้น 4) ส่งคืนข้อมูลเครือข่ายส่วนตัวโดยใช้ 5) การเชื่อมต่อแบบถาวรเดียวกัน
สำหรับแหล่งข้อมูลที่มีการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์" 1) ไคลเอ็นต์จะสร้างการเชื่อมต่อแบบถาวรกับบริการ Tableau Bridge ซึ่งเป็นส่วนหนึ่งของไคลเอ็นต์ที่อยู่บน Tableau Cloud โดยใช้ Secure WebSockets (wss://) จากนั้นไคลเอ็นต์จะรอคำขอจาก Tableau Cloud สำหรับกำหนดเวลารีเฟรชใหม่ เมื่อไคลเอ็นต์ได้รับคำขอ 2) ไคลเอ็นต์จะติดต่อ Tableau Cloud โดยใช้การเชื่อมต่อที่ปลอดภัย (https://) สำหรับไฟล์แหล่งข้อมูล (.tds) 3/4) จากนั้นไคลเอ็นต์จะเชื่อมต่อกับข้อมูลเครือข่ายส่วนตัวโดยใช้ข้อมูลเข้าสู่ระบบแบบฝังที่รวมอยู่ในคำของาน 5) ไคลเอ็นต์จะสร้างการแยกข้อมูลของข้อมูล แล้ว 6) เผยแพร่การแยกข้อมูลอีกครั้งไปยัง Tableau Cloud โดยใช้บริการ Tableau Bridge ขั้นตอนที่ 2-6 สามารถเกิดขึ้นพร้อมกันเพื่อช่วยให้หลายคำขอรีเฟรชเกิดขึ้น
สำหรับแหล่งข้อมูลที่มีการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์” 1) ไคลเอ็นต์จะติดต่อ Tableau Cloud โดยใช้การเชื่อมต่อที่ปลอดภัย (https://) สำหรับไฟล์แหล่งข้อมูล (.tds) หาก 2) ข้อมูลนี้พร้อมใช้งาน 3/4) ไคลเอ็นต์จจะเชื่อมต่อกับข้อมูลเครือข่ายส่วนตัวโดยใช้ข้อมูลเข้าสู่ระบบที่เก็บไว้ 5) ไคลเอ็นต์จะสร้างการแยกข้อมูลของข้อมูล แล้ว 6) เผยแพร่การแยกข้อมูลอีกครั้งไปยัง Tableau Cloud โดยใช้บริการ Tableau Bridge บริการ Tableau Bridge เป็นส่วนหนึ่งของไคลเอ็นต์ที่อยู่ใน Tableau Cloud
การกรองพร็อกซีส่งต่อ
เพื่อให้แน่ใจว่าข้อมูลของคุณถูกส่งไปยัง Tableau Cloud เท่านั้น เราขอแนะนำให้ใช้การกรองตามโดเมนบนการเชื่อมต่อขาออก (การกรองพร็อกซีแบบส่งต่อ) จากไคลเอ็นต์ Bridge หลังจากการเชื่อมต่อขาออกครั้งแรก การสื่อสารเป็นแบบสองทิศทาง
Tableau Bridge ไม่รองรับการตรวจสอบสิทธิ์พร็อกซีแบบส่งผ่านหรือด้วยตนเอง
รายการต่อไปนี้ประกอบด้วยชื่อโดเมนที่มีคุณสมบัติบางประการซึ่ง Bridge ใช้สำหรับการเชื่อมต่อขาออก:
- *.online.tableau.com
- *.compute-1.amazonaws.com ชื่อโฮสต์ DNS สาธารณะของ Amazon VPC ซึ่งอยู่ในรูปแบบ ec2-<public-ipv4-address>.compute-1.amazonaws.com สำหรับภูมิภาค us-east-1
- *.compute.amazonaws.com ชื่อโฮสต์ DNS สาธารณะของ Amazon VPC ซึ่งอยู่ในรูปแบบ ec2-<public-ipv4-address>.compute.amazonaws.com สำหรับภูมิภาคอื่นๆ ทั้งหมด (นอกเหนือจาก us-east-1)
- (ไม่บังคับ) *.salesforce.com หากเปิดใช้งานการตรวจสอบสิทธิ์หลายปัจจัย (MFA) กับการตรวจสอบสิทธิ์ Tableau (Tableau กับ MFA) สำหรับไซต์และสภาพแวดล้อมของคุณใช้พร็อกซีที่ป้องกันไคลเอ็นต์ไม่ให้เข้าถึงบริการที่จำเป็นอื่นๆ
- (ไม่บังคับ) crash-artifacts-747369.s3.amazonaws.com, ใช้สำหรับรับรายงานไฟล์ดัมพ์ที่ล้มเหลว
- (ไม่บังคับ) s3-us-west-2-w.amazonaws.com, ใช้สำหรับรับรายงานไฟล์ดัมพ์ที่ล้มเหลว
- (ไม่บังคับ) s3-w-a.us-west-2.amazonaws.com, ใช้สำหรับรับรายงานไฟล์ดัมพ์ที่ล้มเหลว
- (ไม่บังคับ) bam.nr-data.net, ใช้สำหรับแพลตฟอร์มการวิเคราะห์เว็บของ New Relic
- (ไม่บังคับ) js-agent.newrelic.com, ส่งข้อมูลประสิทธิภาพไปยัง New Relic