Tableau Bridge 應用以下安全性設計:

  • 所有通訊都是從私人網路防火牆後面發起的,因此不需要管理其他例外情況。
  • 往來 Bridge 的傳輸中資料皆經過加密。
  • 若資料來源或虛擬連線設定為使用 Bridge(舊版)排程,則資料庫認證會使用 Windows 認證管理員儲存在電腦上。對於線上排程,認證將傳遞到選取為執行重新整理的用戶端。

您可以在下方找到 Bridge 安全性的更多詳細資料。

傳輸安全性

來往 Bridge 用戶端的資料經由 TLS 1.2 連線傳輸。

附註:Tableau Bridge 使用連接埠 443 向 Tableau Cloud 發出出站 Internet 請求,並使用連接埠 80 進行憑證驗證。

驗證

Bridge 有兩個主要的驗證點:Tableau Cloud 和私人網路資料。

Tableau Cloud

要連線到 Tableau Cloud,請在 Bridge 用戶端輸入使用者 Tableau Cloud 認證。

1) 輸入認證後,2) Tableau Cloud 將返回一個驗證權杖。3) 該權杖使用 Windows 作業系統的認證管理員存儲在執行用戶端的電腦上。Bridge 使用權杖來執行各種工作,例如下載擷取用的重新整理排程資訊。

私人網路資料

要存取私人網路資料,某些資料來源或虛擬連線需要使用資料庫認證進行驗證。根據內容的連線類型,用戶端會透過以下方式之一處理資料庫認證:

  • 對於即時連線和使用線上排程的擷取連線,資料庫認證會在請求時傳送,並使用 TLS 1.2 連線。

  • 對於使用 Bridge(舊版)排程的擷取連線,如果資料來源需要資料庫認證,則必須直接在用戶端中輸入這些認證。資料庫認證使用 Windows 作業系統的認證管理員儲存在電腦上。用戶端會在排程的重新整理時間將資料庫認證傳送到同樣位於私人網路防火牆後面的資料庫。

用戶端支援透過基於網域的安全性 (Active Directory) 和使用者名稱/密碼認證來存取私人網路資料。

變更私人網路防火牆

Bridge 用戶端不 需要 變更私人網路防火牆。用戶端透過只會建立到 Tableau Cloud 的出站連線實現。為允許出站連線,用戶端會根據內容使用的連線類型使用以下通訊協定:

  • 針對即時連線和使用線上排程的擷取連線,使用安全 WebSocket (wss://)。

  • 針對使用 Bridge(舊版)排程的擷取連線,使用 HTTP 安全 (https://)。

存取私人網路資料

與私人網路資料的連線由 Bridge 用戶端代表 Tableau Cloud 啟動。啟動連線的流程取決於內容類型和連線類型。

  • 對於具有即時連線或虛擬連線的資料來源,用戶端會使用安全 WebSockets (wss://) 1) 建立與 Tableau Bridge 服務的持久連線,該服務是位於 Tableau Cloud 上的用戶端的一部分。然後,用戶端會在 2) 啟動對私人網路資料的即時查詢之前等待來自 Tableau Cloud 的回應。用戶端 3) 將查詢傳遞給私人網路資料,然後 4) 使用同一持久連線 5) 傳回私人網路資料。

  • 對於具有使用線上排程的擷取連線的資料來源,用戶端會 1) 使用安全 WebSockets (wss://) 建立與 Tableau Bridge 服務的持久連線,該服務是 Tableau Cloud 上用戶端的一部分。然後,用戶端會等候 Tableau Cloud 針對新的重新整理排程發出請求。收到請求後,2) 用戶端會使用資料來源 (.tds) 檔案的安全連線 (https://) 聯絡 Tableau Cloud 。3/4) 然後用戶端使用作業請求中包含的內嵌認證連線到私人網路資料。用戶端會 5) 建立資料的擷取,然後 6) 使用 Tableau Bridge 服務將擷取重新發佈至 Tableau Cloud。步驟 2-6 可以並行進行,以允許發出多個重新整理請求。

  • 如果是使用 Bridge(舊版)排程的擷取連線的資料來源,用戶端會 1) 使用安全連線 (https://) 與 Tableau Cloud 聯絡,以便取得新的重新整理排程和資料來源 (.tds) 檔案。若 2) 此資訊可用,3/4) 則用戶端會在排程的時間使用儲存的認證連線到私人網路資料。用戶端隨後會 5) 建立資料的擷取,然後 6) 使用 Tableau Bridge 服務將擷取重新發佈到 Tableau Cloud。Tableau Bridge 服務是 Tableau Cloud 中用戶端的一部分。

其他安全性考量

選用的正向 Proxy 篩選

為了確保只將資料傳輸到 Tableau Cloud,可以從 Tableau Bridge 用戶端針對出站連線執行網域型篩選(正向 Proxy 篩選)。

以下清單包含部分符合 Bridge 在出站連線中需要使用的網域名稱:

  • *.online.tableau.com
  • *.compute-1.amazonaws.com,Amazon VPC 的公用 DNS 主機名稱,其格式為 ec2-<public-ipv4-address>.compute-1.amazonaws.com,用於 us-east-1 區域
  • *.compute.amazonaws.com,Amazon VPC 的公用 DNS 主機名稱,其格式為 ec2-<public-ipv4-address>.compute.amazonaws.com,用於(us-east-1 以外的)所有其他區域
  • *.salesforce.com(可選),若已為站點啟用針對 Tableau 的多重要素驗證 (MFA)(具備 MFA 功能的 Tableau),並且您的環境正在使用防止用戶端存取其他必要服務的 Proxy
  • crash-artifacts-747369.s3.amazonaws.com,用於接收當機傾印報告
  • s3-us-west-2-w.amazonaws.com,用於接收當機傾印報告
  • s3-w-a.us-west-2.amazonaws.com,用於接收當機傾印報告
  • bam.nr-data.net,用於 New Relic 的 Web 分析平台。
  • js-agent.newrelic.com,將效能資料傳送到 New Relic。
感謝您的意見回饋!