ความปลอดภัยของ Windows สำหรับ Bridge
Tableau Bridge ใช้การออกแบบความปลอดภัยต่อไปนี้:
- การสื่อสารทั้งหมดเริ่มต้นจากเบื้องหลังไฟร์วอลล์เครือข่ายส่วนตัว และด้วยเหตุนี้คุณจึงไม่จำเป็นต้องจัดการข้อยกเว้นเพิ่มเติม
- ข้อมูลที่รับส่งจาก Bridge ถูกเข้ารหัส
- ข้อมูลเข้าสู่ระบบฐานข้อมูลจะถูกเก็บไว้ในคอมพิวเตอร์โดยใช้โปรแกรมจัดการข้อมูลเข้าสู่ระบบของ Windows หากแหล่งข้อมูลหรือการเชื่อมต่อแบบเสมือนถูกตั้งค่าให้ใช้กำหนดการแบบ Bridge (ดั้งเดิม) สำหรับกำหนดการ "ออนไลน์" ข้อมูลเข้าสู่ระบบจะถูกส่งต่อไปยังไคลเอ็นต์ที่เลือกเพื่อดำเนินการรีเฟรช
คุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับความปลอดภัยของ Bridge ได้ด้านล่างนี้
ความปลอดภัยของการรับส่งข้อมูล
หมายเหตุ : Tableau Bridge ใช้พอร์ต 443 เพื่อส่งคำขออินเทอร์เน็ตขาออกไปยัง Tableau Cloud และพอร์ต 80 สำหรับการตรวจสอบใบรับรอง
Tableau Bridge เริ่มต้นการสื่อสารแบบสองทิศทางที่ปลอดภัยกับสภาพแวดล้อม Tableau Cloud ของคุณโดยใช้การเชื่อมต่อ WebSocket (wss://) การเชื่อมต่อ WebSocket เป็นแบบถาวรและประสานการอัปโหลดข้อมูลระหว่าง Bridge และ Tableau Cloud ผู้ใช้ทั้งหมดได้รับการรับรองความถูกต้องและได้รับอนุญาตก่อนทำการเชื่อมต่อ และอินพุตทั้งหมดได้รับการตรวจสอบความถูกต้องว่ามาจากแหล่งที่เชื่อถือได้ภายใน Tableau Cloud
การตรวจสอบสิทธิ์
มีจุดการตรวจสอบสิทธิ์หลัก 2 จุดสำหรับ Bridge ได้แก่ Tableau Cloud และข้อมูลเครือข่ายส่วนตัว
หากไคลเอ็นต์ถูกยกเลิกการเชื่อมโยงหรือคุณอัปเกรดเป็นเวอร์ชันใหม่ คุณไม่จำเป็นต้องเข้าสู่ระบบอีกครั้ง ในสถานการณ์นี้ Bridge ใช้โทเค็นที่มีอยู่ซึ่งบันทึกไว้ในที่เก็บข้อมูลเข้าสู่ระบบของ Windows
หากไคลเอ็นต์ถูกปิด หรือใช้ตัวเลือก “ออก” บนทาสก์บาร์ของ Windows คุณจะต้องเข้าสู่ระบบใหม่และระบุข้อมูลเข้าสู่ระบบ ซึ่งจะสร้างโทเค็นการรีเฟรชใหม่ซึ่งบันทึกไว้ในที่เก็บข้อมูลเข้าสู่ระบบ Windows
คุณสามารถตรวจสอบโทเค็นได้ในตัวจัดการข้อมูลเข้าสู่ระบบ และตรวจสอบข้อมูลเข้าสู่ระบบทั่วไปสำหรับ TABLEAU_CONNECTIONS_online.tableau.com
Tableau Cloud
หากต้องการเชื่อมต่อกับ Tableau Cloud ข้อมูลเข้าสู่ระบบ Tableau Cloud ของผู้ใช้จะถูกป้อนผ่านไคลเอ็นต์ Bridge
หลังจาก 1) ป้อนข้อมูลเข้าสู่ระบบ 2) โทเค็นการให้สิทธิ์จะถูกส่งคืนโดย Tableau Cloud 3) โทเค็นถูกเก็บไว้ในคอมพิวเตอร์ที่ไคลเอ็นต์ทำงานโดยใช้โปรแกรมจัดการข้อมูลเข้าสู่ระบบของระบบปฏิบัติการ Windows Bridge ใช้โทเค็นเพื่อดำเนินงานต่างๆ เช่น ดาวน์โหลดข้อมูลกำหนดเวลารีเฟรชสำหรับการแยกข้อมูล
ข้อมูลเครือข่ายส่วนตัว
หากต้องการเข้าถึงข้อมูลเครือข่ายส่วนตัว บางแหล่งข้อมูลหรือการเชื่อมต่อแบบเสมือนต้องมีการตรวจสอบสิทธิ์โดยใช้ข้อมูลเข้าสู่ระบบฐานข้อมูล ไคลเอ็นต์จะจัดการกับข้อมูลเข้าสู่ระบบฐานข้อมูลด้วยวิธีใดวิธีหนึ่งต่อไปนี้ขึ้นอยู่กับประเภทการเชื่อมต่อของเนื้อหา:
สำหรับการเชื่อมต่อแบบสดและแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์" ข้อมูลเข้าสู่ระบบฐานข้อมูลจะถูกส่งตามเวลาที่ขอและใช้การเชื่อมต่อ TLS 1.2
สำหรับการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ Bridge (ดั้งเดิม) หากแหล่งข้อมูลต้องการข้อมูลเข้าสู่ระบบฐานข้อมูล ข้อมูลเข้าสู่ระบบเหล่านี้ต้องป้อนในไคลเอ็นต์โดยตรง ข้อมูลเข้าสู่ระบบฐานข้อมูลถูกเก็บไว้ในคอมพิวเตอร์โดยใช้โปรแกรมจัดการข้อมูลเข้าสู่ระบบของระบบปฏิบัติการ Windows ไคลเอ็นต์ส่งข้อมูลเข้าสู่ระบบฐานข้อมูลไปยังฐานข้อมูล ซึ่งอยู่หลังไฟร์วอลล์เครือข่ายส่วนตัวตามเวลารีเฟรชตามกำหนดการ
ไคลเอ็นต์รองรับการักษาความปลอดภัยบนโดเมน (Active Directory) และข้อมูลเข้าสู่ระบบชื่อผู้ใช้/รหัสผ่านเพื่อเข้าถึงข้อมูลเครือข่ายส่วนตัว
การเปลี่ยนแปลงไฟร์วอลล์เครือข่ายส่วนตัว
ไคลเอ็นต์ Bridge ไม่ จำเป็น ต้องมีการเปลี่ยนแปลงไฟร์วอลล์เครือข่ายส่วนตัว ไคลเอ็นต์ประสบความสำเร็จโดยทำการเชื่อมต่อขาออกกับ Tableau Cloud หากต้องการอนุญาตการเชื่อมต่อขาออก ไคลเอ็นต์ต้องใช้โปรโตคอลต่อไปนี้ซึ่งขึ้นอยู่กับประเภทการเชื่อมต่อที่ใช้โดยเนื้อหา:
สำหรับการเชื่อมต่อแบบสดและแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์" Secure WebSockets (wss://)
สำหรับการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ Bridge (ดั้งเดิม) HTTP Secure (https://)
การเข้าถึงข้อมูลเครือข่ายส่วนตัว
การเชื่อมต่อกับข้อมูลเครือข่ายส่วนตัวเริ่มต้นโดยไคลเอ็นต์ Bridge ในนามของ Tableau Cloud กระบวนการเริ่มต้นโดยการเชื่อมต่อซึ่งขึ้นอยู่กับประเภทเนื้อหาและประเภทการเชื่อมต่อ
สำหรับแหล่งข้อมูลที่มีการเชื่อมต่อแบบสดหรือแบบเสมือน 1) ไคลเอ็นต์จะสร้างการเชื่อมต่อแบบถาวรกับบริการ Tableau Bridge ซึ่งเป็นส่วนหนึ่งของไคลเอ็นต์ที่อยู่บน Tableau Cloud โดยใช้ Secure WebSockets (wss://) จากนั้นไคลเอ็นต์จะรอการตอบกลับจาก Tableau Cloud ก่อน 2) เริ่มต้นการค้นหาข้อมูลแบบสดไปยังข้อมูลเครือข่ายส่วนตัว 3) ไคลเอ็นต์ส่งการค้นหาไปยังข้อมูลเครือข่ายส่วนตัว จากนั้น 4) ส่งคืนข้อมูลเครือข่ายส่วนตัวโดยใช้ 5) การเชื่อมต่อแบบถาวรเดียวกัน
สำหรับแหล่งข้อมูลที่มีการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์" 1) ไคลเอ็นต์จะสร้างการเชื่อมต่อแบบถาวรกับบริการ Tableau Bridge ซึ่งเป็นส่วนหนึ่งของไคลเอ็นต์ที่อยู่บน Tableau Cloud โดยใช้ Secure WebSockets (wss://) จากนั้นไคลเอ็นต์จะรอคำขอจาก Tableau Cloud สำหรับกำหนดเวลารีเฟรชใหม่ เมื่อไคลเอ็นต์ได้รับคำขอ 2) ไคลเอ็นต์จะติดต่อ Tableau Cloud โดยใช้การเชื่อมต่อที่ปลอดภัย (https://) สำหรับไฟล์แหล่งข้อมูล (.tds) 3/4) จากนั้นไคลเอ็นต์จะเชื่อมต่อกับข้อมูลเครือข่ายส่วนตัวโดยใช้ข้อมูลเข้าสู่ระบบแบบฝังที่รวมอยู่ในคำของาน 5) ไคลเอ็นต์จะสร้างการแยกข้อมูลของข้อมูล แล้ว 6) เผยแพร่การแยกข้อมูลอีกครั้งไปยัง Tableau Cloud โดยใช้บริการ Tableau Bridge ขั้นตอนที่ 2-6 สามารถเกิดขึ้นพร้อมกันเพื่อช่วยให้หลายคำขอรีเฟรชเกิดขึ้น
สำหรับแหล่งข้อมูลที่มีการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์” 1) ไคลเอ็นต์จะติดต่อ Tableau Cloud โดยใช้การเชื่อมต่อที่ปลอดภัย (https://) สำหรับไฟล์แหล่งข้อมูล (.tds) หาก 2) ข้อมูลนี้พร้อมใช้งาน 3/4) ไคลเอ็นต์จจะเชื่อมต่อกับข้อมูลเครือข่ายส่วนตัวโดยใช้ข้อมูลเข้าสู่ระบบที่เก็บไว้ 5) ไคลเอ็นต์จะสร้างการแยกข้อมูลของข้อมูล แล้ว 6) เผยแพร่การแยกข้อมูลอีกครั้งไปยัง Tableau Cloud โดยใช้บริการ Tableau Bridge บริการ Tableau Bridge เป็นส่วนหนึ่งของไคลเอ็นต์ที่อยู่ใน Tableau Cloud
การกรองพร็อกซีส่งต่อ
เพื่อให้แน่ใจว่าข้อมูลของคุณถูกส่งไปยัง Tableau Cloud เท่านั้น เราขอแนะนำให้ใช้การกรองตามโดเมนบนการเชื่อมต่อขาออก (การกรองพร็อกซีแบบส่งต่อ) จากไคลเอ็นต์ Bridge หลังจากการเชื่อมต่อขาออกครั้งแรก การสื่อสารเป็นแบบสองทิศทาง
รายการต่อไปนี้ประกอบด้วยชื่อโดเมนที่มีคุณสมบัติบางประการซึ่ง Bridge ใช้สำหรับการเชื่อมต่อขาออก:
- *.online.tableau.com
- *.compute-1.amazonaws.com ชื่อโฮสต์ DNS สาธารณะของ Amazon VPC ซึ่งอยู่ในรูปแบบ ec2-<public-ipv4-address>.compute-1.amazonaws.com สำหรับภูมิภาค us-east-1
- *.compute.amazonaws.com ชื่อโฮสต์ DNS สาธารณะของ Amazon VPC ซึ่งอยู่ในรูปแบบ ec2-<public-ipv4-address>.compute.amazonaws.com สำหรับภูมิภาคอื่นๆ ทั้งหมด (นอกเหนือจาก us-east-1)
- (ไม่บังคับ) *.salesforce.com หากเปิดใช้งานการตรวจสอบสิทธิ์หลายปัจจัย (MFA) กับการตรวจสอบสิทธิ์ Tableau (Tableau กับ MFA) สำหรับไซต์และสภาพแวดล้อมของคุณใช้พร็อกซีที่ป้องกันไคลเอ็นต์ไม่ให้เข้าถึงบริการที่จำเป็นอื่นๆ
- (ไม่บังคับ) crash-artifacts-747369.s3.amazonaws.com, ใช้สำหรับรับรายงานไฟล์ดัมพ์ที่ล้มเหลว
- (ไม่บังคับ) s3-us-west-2-w.amazonaws.com, ใช้สำหรับรับรายงานไฟล์ดัมพ์ที่ล้มเหลว
- (ไม่บังคับ) s3-w-a.us-west-2.amazonaws.com, ใช้สำหรับรับรายงานไฟล์ดัมพ์ที่ล้มเหลว
- (ไม่บังคับ) bam.nr-data.net, ใช้สำหรับแพลตฟอร์มการวิเคราะห์เว็บของ New Relic
- (ไม่บังคับ) js-agent.newrelic.com, ส่งข้อมูลประสิทธิภาพไปยัง New Relic