ความปลอดภัยของ Windows สำหรับ Bridge

Tableau Bridge ใช้การออกแบบความปลอดภัยต่อไปนี้:

  • การสื่อสารทั้งหมดเริ่มต้นจากเบื้องหลังไฟร์วอลล์เครือข่ายส่วนตัว และด้วยเหตุนี้คุณจึงไม่จำเป็นต้องจัดการข้อยกเว้นเพิ่มเติม
  • ข้อมูลที่รับส่งจาก Bridge ถูกเข้ารหัส
  • ข้อมูลเข้าสู่ระบบฐานข้อมูลจะถูกเก็บไว้ในคอมพิวเตอร์โดยใช้โปรแกรมจัดการข้อมูลเข้าสู่ระบบของ Windows หากแหล่งข้อมูลหรือการเชื่อมต่อแบบเสมือนถูกตั้งค่าให้ใช้กำหนดการแบบ Bridge (ดั้งเดิม) สำหรับกำหนดการ "ออนไลน์" ข้อมูลเข้าสู่ระบบจะถูกส่งต่อไปยังไคลเอ็นต์ที่เลือกเพื่อดำเนินการรีเฟรช

คุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับความปลอดภัยของ Bridge ได้ด้านล่างนี้

ความปลอดภัยของการรับส่งข้อมูล

ข้อมูลที่รับส่งจากไคลเอ็นต์ Bridge โดยการเชื่อมต่อ TLS 1.2

หมายเหตุ : Tableau Bridge ใช้พอร์ต 443 เพื่อส่งคำขออินเทอร์เน็ตขาออกไปยัง Tableau Cloud และพอร์ต 80 สำหรับการตรวจสอบใบรับรอง

การตรวจสอบสิทธิ์

มีจุดการตรวจสอบสิทธิ์หลัก 2 จุดสำหรับ Bridge ได้แก่ Tableau Cloud และข้อมูลเครือข่ายส่วนตัว

Tableau Cloud

หากต้องการเชื่อมต่อกับ Tableau Cloud ข้อมูลเข้าสู่ระบบ Tableau Cloud ของผู้ใช้จะถูกป้อนผ่านไคลเอ็นต์ Bridge

หลังจาก 1) ป้อนข้อมูลเข้าสู่ระบบ 2) โทเค็นการให้สิทธิ์จะถูกส่งคืนโดย Tableau Cloud 3) โทเค็นถูกเก็บไว้ในคอมพิวเตอร์ที่ไคลเอ็นต์ทำงานโดยใช้โปรแกรมจัดการข้อมูลเข้าสู่ระบบของระบบปฏิบัติการ Windows Bridge ใช้โทเค็นเพื่อดำเนินงานต่างๆ เช่น ดาวน์โหลดข้อมูลกำหนดเวลารีเฟรชสำหรับการแยกข้อมูล

ข้อมูลเครือข่ายส่วนตัว

หากต้องการเข้าถึงข้อมูลเครือข่ายส่วนตัว บางแหล่งข้อมูลหรือการเชื่อมต่อแบบเสมือนต้องมีการตรวจสอบสิทธิ์โดยใช้ข้อมูลเข้าสู่ระบบฐานข้อมูล ไคลเอ็นต์จะจัดการกับข้อมูลเข้าสู่ระบบฐานข้อมูลด้วยวิธีใดวิธีหนึ่งต่อไปนี้ขึ้นอยู่กับประเภทการเชื่อมต่อของเนื้อหา:

  • สำหรับการเชื่อมต่อแบบสดและแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์" ข้อมูลเข้าสู่ระบบฐานข้อมูลจะถูกส่งตามเวลาที่ขอและใช้การเชื่อมต่อ TLS 1.2

  • สำหรับการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ Bridge (ดั้งเดิม) หากแหล่งข้อมูลต้องการข้อมูลเข้าสู่ระบบฐานข้อมูล ข้อมูลเข้าสู่ระบบเหล่านี้ต้องป้อนในไคลเอ็นต์โดยตรง ข้อมูลเข้าสู่ระบบฐานข้อมูลถูกเก็บไว้ในคอมพิวเตอร์โดยใช้โปรแกรมจัดการข้อมูลเข้าสู่ระบบของระบบปฏิบัติการ Windows ไคลเอ็นต์ส่งข้อมูลเข้าสู่ระบบฐานข้อมูลไปยังฐานข้อมูล ซึ่งอยู่หลังไฟร์วอลล์เครือข่ายส่วนตัวตามเวลารีเฟรชตามกำหนดการ

ไคลเอ็นต์รองรับการักษาความปลอดภัยบนโดเมน (Active Directory) และข้อมูลเข้าสู่ระบบชื่อผู้ใช้/รหัสผ่านเพื่อเข้าถึงข้อมูลเครือข่ายส่วนตัว

การเปลี่ยนแปลงไฟร์วอลล์เครือข่ายส่วนตัว

ไคลเอ็นต์ Bridge ไม่ จำเป็น ต้องมีการเปลี่ยนแปลงไฟร์วอลล์เครือข่ายส่วนตัว ไคลเอ็นต์ประสบความสำเร็จโดยทำการเชื่อมต่อขาออกกับ Tableau Cloud หากต้องการอนุญาตการเชื่อมต่อขาออก ไคลเอ็นต์ต้องใช้โปรโตคอลต่อไปนี้ซึ่งขึ้นอยู่กับประเภทการเชื่อมต่อที่ใช้โดยเนื้อหา:

  • สำหรับการเชื่อมต่อแบบสดและแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์" Secure WebSockets (wss://)

  • สำหรับการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ Bridge (ดั้งเดิม) HTTP Secure (https://)

การเข้าถึงข้อมูลเครือข่ายส่วนตัว

การเชื่อมต่อกับข้อมูลเครือข่ายส่วนตัวเริ่มต้นโดยไคลเอ็นต์ Bridge ในนามของ Tableau Cloud กระบวนการเริ่มต้นโดยการเชื่อมต่อซึ่งขึ้นอยู่กับประเภทเนื้อหาและประเภทการเชื่อมต่อ

  • สำหรับแหล่งข้อมูลที่มีการเชื่อมต่อแบบสดหรือแบบเสมือน 1) ไคลเอ็นต์จะสร้างการเชื่อมต่อแบบถาวรกับบริการ Tableau Bridge ซึ่งเป็นส่วนหนึ่งของไคลเอ็นต์ที่อยู่บน Tableau Cloud โดยใช้ Secure WebSockets (wss://) จากนั้นไคลเอ็นต์จะรอการตอบกลับจาก Tableau Cloud ก่อน 2) เริ่มต้นการค้นหาข้อมูลแบบสดไปยังข้อมูลเครือข่ายส่วนตัว 3) ไคลเอ็นต์ส่งการค้นหาไปยังข้อมูลเครือข่ายส่วนตัว จากนั้น 4) ส่งคืนข้อมูลเครือข่ายส่วนตัวโดยใช้ 5) การเชื่อมต่อแบบถาวรเดียวกัน

  • สำหรับแหล่งข้อมูลที่มีการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์" 1) ไคลเอ็นต์จะสร้างการเชื่อมต่อแบบถาวรกับบริการ Tableau Bridge ซึ่งเป็นส่วนหนึ่งของไคลเอ็นต์ที่อยู่บน Tableau Cloud โดยใช้ Secure WebSockets (wss://) จากนั้นไคลเอ็นต์จะรอคำขอจาก Tableau Cloud สำหรับกำหนดเวลารีเฟรชใหม่ เมื่อไคลเอ็นต์ได้รับคำขอ 2) ไคลเอ็นต์จะติดต่อ Tableau Cloud โดยใช้การเชื่อมต่อที่ปลอดภัย (https://) สำหรับไฟล์แหล่งข้อมูล (.tds) 3/4) จากนั้นไคลเอ็นต์จะเชื่อมต่อกับข้อมูลเครือข่ายส่วนตัวโดยใช้ข้อมูลเข้าสู่ระบบแบบฝังที่รวมอยู่ในคำของาน 5) ไคลเอ็นต์จะสร้างการแยกข้อมูลของข้อมูล แล้ว 6) เผยแพร่การแยกข้อมูลอีกครั้งไปยัง Tableau Cloud โดยใช้บริการ Tableau Bridge ขั้นตอนที่ 2-6 สามารถเกิดขึ้นพร้อมกันเพื่อช่วยให้หลายคำขอรีเฟรชเกิดขึ้น

  • สำหรับแหล่งข้อมูลที่มีการเชื่อมต่อแบบแยกข้อมูลที่ใช้กำหนดการ "ออนไลน์” 1) ไคลเอ็นต์จะติดต่อ Tableau Cloud โดยใช้การเชื่อมต่อที่ปลอดภัย (https://) สำหรับไฟล์แหล่งข้อมูล (.tds) หาก 2) ข้อมูลนี้พร้อมใช้งาน 3/4) ไคลเอ็นต์จจะเชื่อมต่อกับข้อมูลเครือข่ายส่วนตัวโดยใช้ข้อมูลเข้าสู่ระบบที่เก็บไว้ 5) ไคลเอ็นต์จะสร้างการแยกข้อมูลของข้อมูล แล้ว 6) เผยแพร่การแยกข้อมูลอีกครั้งไปยัง Tableau Cloud โดยใช้บริการ Tableau Bridge บริการ Tableau Bridge เป็นส่วนหนึ่งของไคลเอ็นต์ที่อยู่ใน Tableau Cloud

การกรองพร็อกซีแบบส่งต่อเสริม

เพื่อให้แน่ใจว่าข้อมูลของคุณถูกส่งไปยัง Tableau Cloud เท่านั้น คุณสามารถใช้การกรองตามโดเมนบนการเชื่อมต่อขาออก (การกรองพร็อกซีแบบส่งต่อ) จากไคลเอ็นต์ Bridge หลังจากการเชื่อมต่อขาออกครั้งแรก การสื่อสารเป็นแบบสองทิศทาง

รายการต่อไปนี้ประกอบด้วยชื่อโดเมนที่มีคุณสมบัติบางประการซึ่ง Bridge ใช้สำหรับการเชื่อมต่อขาออก:

  • *.online.tableau.com
  • *.compute-1.amazonaws.com ชื่อโฮสต์ DNS สาธารณะของ Amazon VPC ซึ่งอยู่ในรูปแบบ ec2-<public-ipv4-address>.compute-1.amazonaws.com สำหรับภูมิภาค us-east-1
  • *.compute.amazonaws.com ชื่อโฮสต์ DNS สาธารณะของ Amazon VPC ซึ่งอยู่ในรูปแบบ ec2-<public-ipv4-address>.compute.amazonaws.com สำหรับภูมิภาคอื่นๆ ทั้งหมด (นอกเหนือจาก us-east-1)
  • (ไม่บังคับ) *.salesforce.com หากเปิดใช้งานการตรวจสอบสิทธิ์หลายปัจจัย (MFA) กับการตรวจสอบสิทธิ์ Tableau (Tableau กับ MFA) สำหรับไซต์และสภาพแวดล้อมของคุณใช้พร็อกซีที่ป้องกันไคลเอ็นต์ไม่ให้เข้าถึงบริการที่จำเป็นอื่นๆ
  • (ไม่บังคับ) crash-artifacts-747369.s3.amazonaws.com, ใช้สำหรับรับรายงานไฟล์ดัมพ์ที่ล้มเหลว
  • (ไม่บังคับ) s3-us-west-2-w.amazonaws.com, ใช้สำหรับรับรายงานไฟล์ดัมพ์ที่ล้มเหลว
  • (ไม่บังคับ) s3-w-a.us-west-2.amazonaws.com, ใช้สำหรับรับรายงานไฟล์ดัมพ์ที่ล้มเหลว
  • (ไม่บังคับ) bam.nr-data.net, ใช้สำหรับแพลตฟอร์มการวิเคราะห์เว็บของ New Relic
  • (ไม่บังคับ) js-agent.newrelic.com, ส่งข้อมูลประสิทธิภาพไปยัง New Relic
ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ