Bridge 安全性
- 版本 :2022.1 及更高版本
Bridge 安全性
Tableau Bridge 应用以下安全性设计:
所有通信都是从私有网络防火墙后面发起的,因此不需要您管理额外的例外情况。
来自 Bridge 的在途数据已经过加密。
如果数据源或虚拟连接设置为使用 Online 或“Bridge(旧版)”计划,则数据库凭据使用 Windows 凭据管理器存储在计算机上。对于 Online 计划,凭据将传递给选择用于执行刷新的客户端。
您可以在以下部分中找到有关 Bridge 安全性的更多详细信息。
传输安全性
来往 Bridge 客户端的数据经由 TLS 1.2 连接传输。
身份验证
Bridge 有两个主要身份验证点。
Tableau Online
若要连接到 Tableau Online,请通过 Bridge 客户端输入一个用户 Tableau Online 凭据。
1) 输入凭据之后,2) Tableau Online 将返回一个身份验证令牌。3) 该令牌使用 Windows 操作系统的凭据管理器存储在运行客户端的计算机上。Bridge 使用令牌来执行各种任务,例如下载数据提取的刷新计划令牌。
私有网络数据
若要访问私有网络数据,某些数据源或虚拟连接需要使用数据库凭据进行身份验证。根据内容的连接类型,客户端将采用以下方式之一处理数据库凭据:
对于使用 Online 计划的实时连接和数据提取连接,数据库凭据会在请求时发送,并使用 TLS 1.2 连接。
对于使用 Bridge(旧版)计划的数据提取连接,如果数据源需要数据库凭据,则必须直接在客户端中输入这些凭据。数据库凭据使用 Windows 操作系统的凭据管理器存储在计算机上。客户端按计划的刷新时间将数据库凭据发送到同样位于私有网络防火墙后面的数据库。
客户端支持通过基于域的安全性 (Active Directory) 和用户名/密码凭据来访问私有网络数据。
对私有网络防火墙的更改
Bridge 客户端要求 无 对私有防火墙的更改。之所以无需更改,是因为客户端只会建立到 Tableau Online 的出站连接。为了允许出站连接,客户端使用以下协议,具体情况视内容使用的连接类型而定:
对于使用 Online 计划的实时连接和数据提取连接,使用安全 WebSockets (wss://) 协议。
对于使用 Bridge(旧版)计划的数据提取连接,使用 HTTP 安全 (https://) 协议。
访问私有网络数据
与私有网络数据的连接由 Bridge 客户端代表 Tableau Online 发起。发起连接的进程取决于内容类型和连接类型。
对于包含实时连接或虚拟连接的数据源,客户端将使用安全 WebSockets (wss://) 1) 建立与 Tableau Bridge 服务的持久连接,该服务是位于 Tableau Online 上的客户端的一部分。客户端随后将等待来自 Tableau Online 的响应,之后 2) 发起针对私有网络数据的实时查询。客户端 3) 将查询传递到私有网络数据,然后 4) 使用同一持久连接返回 5) 私有网络数据。
对于包含使用 Online 计划的数据提取连接的数据源,客户端将使用安全 WebSockets (wss://) 1) 建立与 Tableau Bridge 服务的持久连接,该服务是位于 Tableau Online 上的客户端的一部分。然后,客户端等待 Tableau Online 的请求,以获得新的刷新计划。当客户端收到请求时,2) 客户端使用数据源 (.tds) 文件的安全连接 (https://) 与 Tableau Online 联系。3/4) 然后客户端使用请求中的嵌入式凭据连接到私有网络数据。客户端 5) 创建数据的数据提取,然后 6) 使用 Tableau Bridge 服务将数据提取重新发布到 Tableau Online。步骤 2-6 可以并行进行,以允许发生多个刷新请求。
对于包含使用 Bridge(旧版)计划的数据提取连接的数据源,客户端 1) 使用安全连接 (https://) 与 Tableau Online 联系来查询新刷新计划和数据源 (.tds) 文件。如果 2) 此信息可用,3/4) 则客户端将在计划的时间使用存储的凭据连接到私有网络数据。客户端 5) 创建数据的数据提取,然后 6) 使用 Tableau Bridge 服务将数据提取重新发布到 Tableau Online。Tableau Bridge 服务是位于 Tableau Online 上的客户端的一部分。
其他安全注意事项
可选的转发代理筛选
为了确保只将数据传输到 Tableau Online,您可以从 Bridge 客户端中对出站连接实现基于域的筛选(转发代理筛选)。
以下列表包含部分限定的域名,Bridge 需要为出站连接使用这些域名:
*.online.tableau.com
*.newrelic.com,用于客户端应用程序性能监视
*.nr-data.net,用于客户端应用程序性能监视
*.cloudfront.net,用于静态内容的 CDN
*.akamai,某些 Tableau Online pod 的 CDN
*.compute-1.amazonaws.com,Amazon VPC 的公共 DNS 主机名,其形式为 ec2-<公共 ipv4 地址>.compute-1.amazonaws.com(适用于 us-east-1 区域)
*.compute.amazonaws.com,Amazon VPC 的公共 DNS 主机名,其形式 ec2-<公共 ipv4 地址>.compute.amazonaws.com(适用于 us-east-1 外的所有其他区域)。
*.salesforce.com,(可选)如果您的站点启用了带有 Tableau 身份验证(带有 MFA 的 Tableau)的多重身份验证 (MFA),并且您的环境正在使用阻止客户端访问其他必要服务的代理
crash-artifacts-747369.s3.amazonaws.com,用于接收崩溃转储报告
s3-us-west-2-w.amazonaws.com,用于接收崩溃转储报告
s3-w-a.us-west-2.amazonaws.com,用于接收崩溃转储报告