Essa página foi útil?
Sim Não

Configuração de proxies no Tableau Server

O Tableau Server no Windows agora inclui o Tableau Services Manager (TSM), que substitui o Utilitário de configuração e a ferramenta de linha comando tabadmin. Caso precise de ajuda para uma versão anterior do Tableau Server, consulte a página Ajuda do Tableau.

Na maioria das empresas, o Tableau Server precisa se comunicar com a Internet. O Tableau Server foi projetado para operar dentro de uma rede interna protegida. Não configure o Tableau Server diretamente na Internet ou em um DMZ. Em vez disso, a comunicação entre a rede e a Internet deve ser mediada com servidores proxy. O Servidor proxy avançado media o tráfego de dentro da rede para os destinos na Internet. Servidores de proxy reverso mediam o tráfego da Internet para destinos dentro da rede.

Quem deve ler este artigo?

Este artigo é para os profissionais de TI que têm experiência com soluções de redes gerais e de proxy de gateway. O artigo descreve como e quando o Tableau precisa de acesso à Internet e descreve como configurar sua rede e o Tableau para usar proxy reverso e de encaminhamento para acesso de e à Internet. Há diversas soluções de proxy de terceiros disponíveis, portanto, parte do conteúdo no artigo é necessariamente genérico.

Antes de configurar um servidor proxy, consulte Como se comunicar com a Internet.

Configurar um servidor proxy de encaminhamento

Para habilitar a comunicação do Tableau Server com a Internet, implante o Tableau Server com um servidor proxy de encaminhamento. Quando o Tableau Server precisa acessar a Internet, ele não envia a solicitação diretamente para a Internet. Em vez disso, ele envia a solicitação para o proxy de encaminhamento, que, por sua vez, encaminha a solicitação. Os proxies avançados ajudam os administradores a gerenciar o tráfego para fora da Internet, em tarefas como balanceamento de carga, bloqueio de acesso a sites etc.

Se você usa um proxy de encaminhamento, é necessário configurar os computadores que executam o Tableau Server na rede para enviar o tráfego para o proxy de encaminhamento.

Configuração do Tableau Server no Windows para trabalhar com um proxy de encaminhamento

As etapas para configurar as opções de Internet no computador com o Tableau Server dependem de qual cenário descreve melhor a sua empresa:

  • Sua empresa não usa uma solução de proxy de encaminhamento. Se a empresa não estiver executando uma solução de proxy e o computador no qual você está instalando o Tableau Server puder se comunicar com a Internet, não será necessário seguir os procedimentos especificados aqui.

  • Um solução de proxy é implantada e arquivos de configuração automática definem as configurações de conexão. Se a sua organização usa arquivos de configuração automática (como arquivos PAC ou .ins) para especificar informações de conexão com a Internet, é possível usar essas informações na caixa de diálogo Configurações de rede local (LAN) no Windows. Para obter mais informações, consulte Ativar detecção e configuração automática de configurações de navegador no site de suporte da Microsoft.

  • Uma solução de proxy está implantada, mas os arquivos de configuração automática ainda não estão implantados. Neste cenário, ajuste as configurações de LAN no computador com Windows que executa o Tableau Server para que as conexões ao servidor proxy sejam feitas sob o contexto de segurança da conta de usuário Run As. Também é necessário configurar localhost e outras instâncias internas do Tableau Server como exceções.

O procedimento a seguir descreve as etapas do último cenário, uma solução de proxy sem arquivos de configuração automática, onde o Tableau Server está sendo executado no Windows Server.

Observação: se estiver usando uma instalação distribuída do Tableau Server, execute os seguintes procedimentos no nó inicial do servidor e em cada nó adicional.

Etapa 1: adicionar a conta de usuário Run As ao grupo de Administradores Locais

Para realizar este procedimento, faça logon no computador com o Tableau Server como o usuário Run As. Por padrão, a política "logon local" não se aplica à conte de usuário Run As. Portanto, deve-se adicionar a conta de usuário Run As temporariamente ao grupo de Administradores Locais.

Caso ainda não tenha instalado o Tableau Server no computador, consulte Usuário Run As para obter mais informações sobre a criação da conta de usuário Run As. Caso já tenha instalado o Tableau Server e definido a configuração de usuário Run As, será possível determinar o nome da conta de usuário Run As fazendo logon no Tableau Server. O usuário Run As do Tableau Server é listado na guia Geral da janela Configuração do Tableau Server. Para acessar o utilitário de configuração, no menu Iniciar do Windows, pesquise Configurar o Tableau Server.

Adicione o usuário Run As User ao grupo de Administradores Locais usando as etapas em Adicionar um membro a um grupo local no site da Microsoft. Depois de terminar de configurar as informações de proxy de encaminhamento, você removerá a conta de usuário Run As do grupo Administradores locais.

Etapa 2: configurar o servidor proxy nas configurações de LAN do Windows

  1. Com a conta de usuário Run As, faça logon no computador no qual o Tableau Server está instalado ou será instalado.

  2. Abra a caixa de diálogo Configurações da Rede Local (LAN). (Uma forma rápida de chegar a essa caixa de diálogo é pesquisar por Internet Options no menu Iniciar do Windows. Na caixa de diálogo Propriedades da Internet, clique na guia Conexões e clique em Configurações LAN.)

  3. Em Servidor proxy, selecione Usar um servidor proxy para a rede local, digite o endereço e a porta do servidor proxy e selecione Não usar um servidor proxy para endereços locais.

Mantenha a caixa de diálogo aberta e vá para a próxima etapa.

Etapa 3: adicionar exceções para ignorar o servidor proxy

Você adiciona exceções a esta configuração de proxy para garantir que toda a comunicação em um cluster do Tableau Server (se tiver um agora ou terá um posteriormente) não seja roteada para o servidor proxy.

  1. Na caixa de diálogo Configurações da Rede Local (LAN), clique Avançadas. (Esta opção estará disponível somente se você selecionar a opção para usar um servidor proxy para a sua LAN.)

  2. Na caixa de diálogo Configurações de Proxy, digite localhost no campo Exceções. Insira também os nomes de servidor e endereços IP dos outros computadores com Tableau Server no mesmo cluster. Use ponto e vírgula para separar os itens.

  3. Feche a caixa de diálogo configurações de proxy e a caixa de diálogo Configurações de rede local (LAN).

  4. Na caixa de diálogo Opções da Internet, clique em OK para aplicar as definições.

Mantenha-se conectado ao computador e vá para a próxima etapa.

Etapa 4: verificar se as configurações de proxy não estão configuradas como variáveis de ambiente

Algumas empresas definem as configurações de proxy direto como variáveis de ambiente no sistema operacional Windows. Se essas configurações estiverem definidas no computador onde o Tableau Server é executado, verifique se não há conflito com as configurações preenchidas aqui.

  1. No computador onde o Tableau Server é executado, insira "configurações avançadas do sistema" na caixa de pesquisa e, em seguida, pressione Enter para abrir a caixa Propriedades do sistema.

  2. Em Propriedades do sistema, clique em Variáveis de ambiente.

  3. Vá até o campo Variáveis de sistema.

    Se http_proxy ou https_proxy for especificado, verifique se os valores não estão em conflito com o endereço do servidor proxy configurado na etapa anterior.

    • Se as configurações existentes não forem conflitantes, vá para a "Etapa 5: testar a configuração de proxy".

    • Se as configurações existentes entrarem em conflito, crie uma nova variável chamada no_proxy e insira o nome do host, o endereço IP e a porta do Tableau Server para o valor. Por exemplo, localhost,192.168.0.10:80. Para obter mais informações, consulte o artigo MSDN da Microsoft, Definir variáveis de ambiente.

  4. Clique em OK.

Etapa 5: testar as configurações de proxy

Para testar as novas configurações, To test the new configurations, while still logged on as the Run As User on the Tableau Server computer, open a web browser and test the following Tableau mapping URL:

Miami e Havana (água azul)

Esta é a URL:

https://maps.tableausoftware.com/tile/d/mode=named|from=tableau1_2_base/mode=named|from=tableau1_2_admin0_borders/mode=named|from=tableau1_2_place_labels/ol/6/17/27.png?apikey=ttab56540ba691a909b0f7d2af0f6fe7"

Se a configuração estiver funcionando, você verá um mapa de Miami e Havana. Isso indica que o computador do Tableau Server consegue acessar a Internet pelo proxy.

Etapa 6: remover a conta de usuário Run As do grupo de Administradores Locais

Após testar as configurações de proxy, remova a conta de usuário Run As do grupo de Administradores Locais. Deixar o usuário Run As no grupo de administradores sem necessidade aumenta as permissões do grupo de usuário Run As e coloca a segurança em risco.

Reinicie o Tableau Server para que todas as alterações sejam aplicadas.

Como um proxy reverso funciona com o Tableau Server

Um proxy reverso é um servidor que recebe solicitações de clientes externos (Internet) e as encaminha para o Tableau Server. Por que usar um proxy reverso? A resposta básica é segurança. Um proxy reverso disponibiliza o Tableau Server para a Internet sem precisar expor o endereço IP individual do Tableau Server à Internet. Um proxy reverso também age como uma autenticação ou um dispositivo de passagem para que os dados não sejam armazenados de forma que pessoas de fora da empresa possam acessá-los. Este requisito pode ser importante para as organizações sujeitas a várias regulamentações de privacidade, como PCI, HIPAA ou SOX.

O diagrama a seguir ilustra o caminho de comunicação quando um cliente faz uma solicitação ao Tableau Server configurado para funcionar com um servidor proxy reverso.

  1. Um cliente externo inicia uma conexão com o Tableau Server. O cliente usa uma URL pública configurada para o servidor proxy reverso, como https://tableau.example.com. (O cliente não sabe que está acessando um proxy reverso).

  2. O proxy reverso mapeia essa solicitação, por sua vez, para uma solicitação no Tableau Server. O proxy reverso pode ser configurado para autenticar o cliente (usando SSL/TLS) como uma pré-condição para passar a solicitação ao Tableau Server.

  3. O Tableau Server recebe a solicitação e envia a resposta ao proxy reverso.

  4. O proxy reverso envia o conteúdo de volta ao cliente. Em relação ao cliente, ele acabou de ter uma interação com o Tableau Server e não tem como saber que a comunicação foi mediada pelo proxy reverso.

Servidores proxy e SSL

Para obter a melhor segurança, você deve configurar os servidores proxy reversos para usar SSL em qualquer tráfego externo à rede. Isso ajuda a garantir a privacidade, a integridade do conteúdo e a autenticação. A menos que você tenha implantado outras medidas de segurança para proteger o tráfego entre o seu gateway de internet e o Tableau Server, também recomendamos configurar o SSL entre o proxy do gateway e o Tableau Server. É possível usar certificados internos ou autoassinados para criptografar o tráfego entre Tableau Servers e outros computadores internos.

Acesso móvel

O Tableau Server adiciona um cabeçalho X-header a todas as respostas HTTP para sessões do Tableau Mobile. Por padrão, a maioria das soluções por proxy preservarão os X-headers. Se a sua solução por proxy não preserva os X-headers, então será necessário configurar seu servidor proxy para preservar o seguinte cabeçalho em todas as respostas HTTP para sessões de clientes móveis: X-Tableau: Tableau Server.

Se a autenticação foi configurada no gateway do servidor proxy, então o seu servidor proxy deve responder às solicitacões HTTP do Tableau Mobile com uma resposta HTTP 302. A resposta 302 deve incluir um redirecionamento para a página de logon do provedor de identidade. Para visualizar um diagrama que descreve a sequência de autenticação 302, consulte Sequência de autenticação do Tableau Mobile na comunidade do Tableau.

Proxy reverso e autenticação de usuário

O Tableau Server sempre autenticará os usuários. Isso significa que, mesmo que você esteja autenticando conexões de entrada no gateway de sua empresa, o Tableau Server ainda assim autenticará o usuário.

Contudo, nem todos os clientes serão compatíveis com a autenticação do usuário com um proxy reverso:

  • Para navegadores da Web compatíveis, use SAML, OpenID Connect, Kerberos, tíquetes confiáveis ou autenticação manual com um proxy reverso. Contudo, recomendamos um cenário transparente, no qual as solicitações de usuários não tenham a autenticação solicitada no gateway. Essa recomendação não proíbe o uso do SSL para autenticação de cliente/servidor no nível do sistema no proxy do gateway, na verdade, recomendamos veementemente a autenticação SSL no nível do sistema.

  • A versão de iOS do Tableau Mobile suporta autenticação SAML, Kerberos ou manual com um proxy reverso. A mesma recomendação acima se aplica.

  • O Tableau Desktop e a versão para Android do Tableau Mobile não são compatíveis com a autenticação com proxy reverso. Para esses clientes, use uma solução de VPN ou configure o proxy reverso para rotear o tráfego desses clientes diretamente para o Tableau Server para autenticação.

Se a sua empresa for autenticada com o Active Directory:

  • Active Directory com Habilitar logon automático (SSPI) não é compatível com o proxy reverso.
  • O Tableau Server deve ser configurado para proxy reverso antes de configurá-lo para Kerberos. Para obter mais informações, consulte Configurar o Kerberos.

Configurar o Tableau Server para funcionar com um servidor proxy reverso

Antes de configurar o Tableau Server, você precisará coletar as informações a seguir sobre a configuração do servidor proxy. Para configurar o Tableau Server, use o comando tsm configuration set. As informações de coleta obrigatória correspondem às opções necessárias ao executar tsm.

A maioria das seguintes opções do tsm também é usada para configurar as implantações do Tableau Server que funcionam em segundo plano a um balanceador de carga. Para obter mais informações, consulte Adicionar um balanceador de carga.

Item Descrição Opção tsm configuration set correspondente
Endereço IP ou CNAME

Você pode inserir um endereço IP ou um CNAME nessa opção.

O endereço IP público ou os endereços do servidor proxy. O endereço IP deve estar no formato IPv4, como 203.0.113.0, e deve ser um IP estático.

Caso não consiga fornecer um IP estático ou, se estiver usando proxies em nuvem ou balanceadores de carga externos, é possível especificar o valor DNS de CNAME (nome canônico) que os clientes usarão para se conectar ao Tableau Server. Este valor CNAME deve ser configurado na solução de proxy reverso para se comunicar com o Tableau Server.

gateway.trusted
FQDN O nome de domínio totalmente qualificado que as pessoas usam para acessar o Tableau Server, como tableau.example.com. O Tableau Server não suporta alternância de contexto para essa opção. Por exemplo, a seguinte URL não é compatível: example.com/tableau. gateway.public.host
Não FQDN Qualquer nome de subdomínio para o servidor proxy. No exemplo tableau.example.com, o nome do subdomínio é tableau. gateway.trusted_hosts
Aliases Quaisquer nomes alternativos públicos do servidor proxy. Na maioria dos casos, os aliases são designados usando valores CNAME. Um exemplo seria um servidor proxy bigbox.example.com e entradas CNAME de ftp.example.com e www.example.com. gateway.trusted_hosts
Portas Os números de porta do tráfego do cliente para o servidor de proxy reverso.

gateway.public.port

Se estiver usando uma instalação distribuída do Tableau Server, execute os seguintes comandos tsm no nó inicial do cluster.

  1. Insira o seguinte comando para acessar o FQDN que os clientes usarão para chegar ao Tableau Server pelo servidor proxy, no qual name é o FQDN:

    tsm configuration set -k gateway.public.host -v "name"

    Por exemplo, se o Tableau Server for encontrado inserindo-se https://tableau.example.com no navegador, digite este comando:

    tsm configuration set -k gateway.public.host -v "tableau.example.com"

  2. Insira o seguinte comando para definir o endereço ou o CNAME do servidor proxy, no qual server_address é o endereço IPv4 ou o valor de CNAME:

    tsm configuration set -k gateway.trusted -v "server_ip_address"

    Se a empresa usar vários servidores proxy, insira vários endereços IPv4, separando-os com vírgulas. Intervalos de IP não são suportados. Para melhorar a inicialização do Tableau Server, reduza o número de entradas em gateway.trusted.

  3. Insira o comando a seguir para especificar nomes alternativos para o servidor proxy, como seu nome de domínio totalmente qualificado, nomes de domínio não totalmente qualificados e aliases. Se houver mais de um nome, separe-os por vírgula.

    tsm configuration set -k gateway.trusted_hosts -v "name1, name2, name3"

    Por exemplo:

    tsm configuration set -k gateway.trusted_hosts -v "proxy1.example.com, proxy1, ftp.example.com, www.example.com"

  4. Se o servidor proxy estiver usando SSL para se comunicar com a Internet, execute o seguinte comando, que diz ao Tableau que o servidor de proxy reverso está usando a porta 443 em vez da porta 80:

    tsm configuration set -k gateway.public.port -v 443

    Observação: se o servidor proxy estiver usando SSL para se comunicar com o Tableau Server, o SSL deverá ser configurado e estar habilitado no Tableau Server.

  5. Insira o comando a seguir para aplicar a alteração de configuração:

    tsm pending-changes apply

    O comando pending-changes apply exibe um prompt para informar que reiniciará o Tableau Server se o servidor estiver em execução. O prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Para obter mais informações, consulte tsm pending-changes apply.

Configurar o servidor proxy reverso para funcionar com o Tableau Server

Quando um cliente acessa o Tableau Server por um proxy reverso, cabeçalhos de mensagem específicos precisam ser preservados (ou adicionados). Especificamente, todos os servidores proxy na cadeia de mensagens precisam ser representados nas configurações gateway.trusted e gateway.trusted_hosts.

O gráfico a seguir mostra cabeçalhos de exemplo de uma cadeia de mensagens de um salto na qual um servidor proxy está se comunicando diretamente com o Tableau Server:

O gráfico a seguir mostra cabeçalhos de exemplo de uma cadeia de mensagens de vários saltos, na qual a mensagem passa por dois servidores proxy antes de se conectar ao Tableau Server:

A tabela a seguir descreve o que são esses cabeçalhos e como eles estão relacionados às definições de configuração no Tableau Server:

Cabeçalhos Descrição Configurações relacionadas do Tableau Server
REMOTE_ADDR e X-FORWARDED-FOR (XFF) O Tableau Server precisa desses cabeçalhos para determinar o endereço IP de origem das solicitações. O cabeçalho X-FORWARDED-FOR precisa apresentar a cadeia de endereço IP para o Tableau Server na ordem em que as conexões aconteceram. O endereço IP definido emgateway.trusted deve ser igual ao IP apresentado em REMOTE_ADDR. Se você enviar vários endereços emgateway.trusted, um deles deve corresponder ao IP apresentado em REMOTE_ADDR.
HOST e X-FORWARDED HOST (XFH) Esses cabeçalhos são usados para gerar links absolutos para o Tableau Server quando ele responde ao cliente. O cabeçalho X-FORWARDED-HOST precisa apresentar nomes de host para o Tableau Server na ordem em que as conexões aconteceram. Os nomes de host que são apresentados no cabeçalho X-FORWARDED-HOST devem ser incluídos nos nomes de host especificados em gateway.trusted_hosts.
X-FORWARDED-PROTO (XFP) Este cabeçalho é necessário se o SSL estiver habilitado para o tráfego do cliente para o proxy, mas não para o tráfego do proxy para o Tableau Server.

Os cabeçalhos X-FORWARDED-PROTO são importantes para cenários em que HTTP ou HTTPS não são mantidos ao longo de cada salto da rota de mensagem. Por exemplo, se o proxy reverso necessita de SSL para solicitações externas, mas o tráfego entre o proxy reverso e o Tableau Server não está configurado para usar SSL, os cabeçalhos X-FORWARDED-PROTO são necessários. Algumas soluções de proxy acrescentam os cabeçalhos X-FORWARDED-PROTO automaticamente, enquanto outras não. Finalmente, dependendo da sua solução proxy, você pode ter que configurar o encaminhamento de porta para traduzir a solicitação da porta 443 à porta 80.

A configuração de porta no proxy reverso (conexões de entrada do cliente e conexões de saída para o Tableau Server) deve ser especificada nos parâmetros correspondentes: gateway.public.port, que é a porta que os clientes usam para se conectar ao proxy.

Se o servidor proxy estiver usando SSL para se comunicar com o Tableau Server, o SSL deve ser configurado e habilitado no Tableau Server.

Validar configuração de proxy reverso

Para validar a configuração do proxy reverso, publique pastas de trabalho e fontes de dados por meio da criação na Web do Tableau Server ou do Tableau Desktop. Ao se conectar por um navegador da Web com o Tableau Server na Internet, verifique se você está usando um navegador recomendado. Publique e visualize pastas de trabalho que usam fontes de dados existentes além de uma fonte de dados publicada por você. Use os links abaixo para se familiarizar com a conexão com o Tableau Server como um usuário final.

Tarefa Documentação
Visão geral da criação na Web. Usar o Tableau na Web
Faça logon no Tableau Server por meio do Tableau Desktop ou de um navegador da Web. Fazer logon no Tableau Server ou Online
Publique uma pasta de trabalho no Tableau Server. Publicar uma pasta de trabalho
Publique uma fonte de dados. Publicar uma fonte de dados
Abrir pasta de trabalho pelo Tableau Server. Como abrir pastas de trabalho no servidor
Sair do Server (com o Desktop). Fazer logon no Tableau Server ou Online
Baixar pasta de trabalho em um navegador da Web. Baixar pastas de trabalho
Verifique para certificar-se de que tabcmd (de um cliente não servidor) funciona. tabcmd

Tópicos relacionados

Autenticar clientes remotos do Tableau com o proxy de aplicativo do Microsoft Azure AD

O Tableau e a Microsoft fizeram uma parceria para garantir que você possa usar o proxy de aplicativo do Azure AD para fornecer acesso remoto a navegadores da Web e para a versão de iOS do aplicativo do Tableau Mobile. O Tableau Desktop e o aplicativo móvel do Android não reconhecem solicitações de autenticação por proxy reverso, e não são compatíveis com esse cenário.

Os links a seguir para o site da Microsoft fornecem uma documentação que descreve como habilitar esse cenário:

  1. Introdução ao proxy de aplicativo

  2. Instalar e registrar um conector

  3. Habilitar a entidade: Proxy de aplicativo do Azure Active Directory e Tableau

Ao configurar o proxy de aplicativo do Azure AD com a autenticação Kerberos, é importante configurar o proxy antes de configurar o Kerberos.