Bridge Windows 安全性
Tableau Bridge 應用以下安全性設計:
- 所有通訊都是從私人網路防火牆後面發起的,因此不需要管理其他例外情況。
- 已為在 Tableau Bridge 與 Tableau Cloud 之間傳輸的資料加密。
- 若資料來源或虛擬連線設定為使用 Bridge 舊版排程,則資料庫認證會使用 Windows 認證管理員儲存在電腦上。對於重新整理排程,認證將傳遞到選取為執行重新整理的用戶端。
您可以在下方找到 Bridge 安全性的更多詳細資料。
傳輸安全性
附註:Tableau Bridge 使用連接埠 443 向 Tableau Cloud 發出出站 Internet 請求,並使用連接埠 80 進行憑證驗證。
Tableau Bridge 使用 WebSocket (wss://) 連線啟動與 Tableau Cloud 環境的安全雙向通訊。WebSocket 連線是持久的,可協調 Bridge 和 Tableau Cloud 之間的資料上傳。建立連線前,所有使用者都會經過身分驗證與授權,並且所有輸入都會經過驗證,確保來自 Tableau Cloud 中的可信任來源。
驗證
Bridge 有兩個主要的驗證點:Tableau Cloud 和私人網路資料。
如果用戶端取消連結或升級至新版本,則無需重新登入。在這種情況下,Bridge 使用本機保存在 Windows 憑證儲存區中的現有權杖。
如果關閉用戶端,或使用 Windows 工作列上的「登出」選項,則需要重新登入並提供憑證。這將建立一個新的重新整理權杖,並將其儲存到 Windows 憑證儲存區中。
可以在憑證管理員中檢查權杖並為 TABLEAU_CONNECTIONS_online.tableau.com 檢查通用憑證。
Tableau Cloud
要連線到 Tableau Cloud,請在 Bridge 用戶端輸入使用者 Tableau Cloud 認證。
1) 輸入認證後,2) Tableau Cloud 將返回一個驗證權杖。3) 該權杖使用 Windows 作業系統的認證管理員存儲在執行用戶端的電腦上。Bridge 使用權杖來執行各種工作,例如下載擷取用的重新整理排程資訊。
私人網路資料
要存取私人網路資料,某些資料來源或虛擬連線需要使用資料庫認證進行驗證。根據內容的連線類型,用戶端會透過以下方式之一處理資料庫認證:
對於即時連線和使用重新整理排程的擷取連線,資料庫認證會在請求時傳送,並使用 TLS 1.2 連線。
對於使用 Bridge 舊版排程的擷取連線,如果資料來源需要資料庫認證,則必須直接在用戶端中輸入這些認證。資料庫認證使用 Windows 作業系統的認證管理員儲存在電腦上。用戶端會在排程的重新整理時間將資料庫認證傳送到同樣位於私人網路防火牆後面的資料庫。
用戶端支援透過基於網域的安全性 (Active Directory) 和使用者名稱/密碼認證來存取私人網路資料。
變更私人網路防火牆
Bridge 用戶端 不需要 變更私人網路防火牆。用戶端透過只會建立到 Tableau Cloud 的出站連線實現。為允許出站連線,用戶端會根據內容使用的連線類型使用以下通訊協定:
對於即時連線和使用重新整理排程的擷取連線,安全 WebSocket (wss://)。
對於使用 Bridge 舊版排程的擷取連線,HTTP 安全 https://。
存取私人網路資料
與私人網路資料的連線由 Bridge 用戶端代表 Tableau Cloud 啟動。啟動連線的流程取決於內容類型和連線類型。
對於具有即時連線或虛擬連線的資料來源,用戶端會使用安全 WebSockets (wss://) 1) 建立與 Tableau Bridge 服務的持久連線,該服務是位於 Tableau Cloud 上的用戶端的一部分。然後,用戶端會在 2) 啟動對私人網路資料的即時查詢之前等待來自 Tableau Cloud 的回應。用戶端 3) 將查詢傳遞給私人網路資料,然後 4) 使用同一持久連線 5) 傳回私人網路資料。
對於具有使用重新整理排程擷取連線的資料來源,用戶端會 1) 使用安全 WebSockets (wss://) 建立與 Tableau Bridge 服務的持久連線,該服務是 Tableau Cloud 上用戶端的一部分。然後,用戶端會等候 Tableau Cloud 針對新的重新整理排程發出請求。收到請求後,2) 用戶端會使用資料來源 (.tds) 檔案的安全連線 (https://) 聯絡 Tableau Cloud 。3/4) 然後用戶端使用作業請求中包含的內嵌認證連線到私人網路資料。用戶端會 5) 建立資料的擷取,然後 6) 使用 Tableau Bridge 服務將擷取重新發佈至 Tableau Cloud。步驟 2-6 可以並行進行,以允許發出多個重新整理請求。
對於使用 Bridge 舊版排程擷取連線的資料來源,用戶端會 1) 使用安全連線 (https://) 與 Tableau Cloud 聯絡,以便取得新的重新整理排程和資料來源 (.tds) 檔案。若 2) 此資訊可用,3/4) 則用戶端會在排程的時間使用儲存的認證連線到私人網路資料。用戶端隨後會 5) 建立資料的擷取,然後 6) 使用 Tableau Bridge 服務將擷取重新發佈到 Tableau Cloud。Tableau Bridge 服務是 Tableau Cloud 中用戶端的一部分。
正向 Proxy 篩選
為確保只將資料傳輸到 Tableau Cloud,可在 Tableau Bridge 用戶端針對出站連線執行網域型篩選(正向 Proxy 篩選)。初始輸出連線後,通訊是雙向的。
Tableau Bridge 不支援直通或手動 Proxy 驗證。
以下清單包含部分 Bridge 在輸出連線中需要使用的完整網域名稱:
- *.online.tableau.com
- *.compute-1.amazonaws.com,Amazon VPC 的公用 DNS 主機名稱,其格式為 ec2-<public-ipv4-address>.compute-1.amazonaws.com,用於 us-east-1 區域
- *.compute.amazonaws.com,Amazon VPC 的公用 DNS 主機名稱,其格式為 ec2-<public-ipv4-address>.compute.amazonaws.com,用於(us-east-1 以外的)所有其他區域
- (選用)*.salesforce.com,若已為站台啟用使用 Tableau 的多重要素驗證 (MFA)(具備 MFA 功能的 Tableau),並且您的環境正在使用防止用戶端存取其他必要服務的 Proxy
- (選用)crash-artifacts-747369.s3.amazonaws.com,用於接收損毀傾印
- (選用)s3-us-west-2-w.amazonaws.com,用於接收損毀傾印報告
- (選用)s3-w-a.us-west-2.amazonaws.com,用於接收損毀傾印報告
- (選用)bam.nr-data.net,用於 New Relic 的網路分析平台
- (選用)js-agent.newrelic.com,向 New Relic 傳送績效資料