Tokens de acceso de análisis integrado

SE APLICA A: La aplicación es la propietaria de los datos El usuario es el propietario de los datos

El consumo de contenido de Power BI (como informes, paneles e iconos) requiere un token de acceso. En función de la solución, este puede ser un token de Microsoft Entra, un token de inserción o ambos.

En la solución Inserción para los clientes, la aplicación genera un token de inserción que concede a los usuarios web acceso al contenido de Power BI.

Nota:

Al emplear una solución de tipo Inserción para los clientes, puede usar cualquier método de autenticación para permitir el acceso a su aplicación web.

En la solución de tipo Inserción para la organización, los usuarios de su aplicación web se autenticarán en Microsoft Entra ID con sus propias credenciales. Después, tendrán acceso al contenido de Power BI al que tienen permiso de acceso en el servicio Power BI.

Token de Microsoft Entra

Tanto en el caso de la solución de tipo Inserción para los clientes como en la de Inserción para la organización, se necesita un token de Microsoft Entra. Este token de Microsoft Entra es necesario para todas las operaciones de la API de REST y expira al cabo de una hora.

• En lo que respecta a la solución de Inserción para los clientes, el token de Microsoft Entra se usa para generar el token de inserción.

• En el caso de la solución Inserción para la organización, el token de Microsoft Entra se utiliza para acceder a Power BI.

Puede adquirir un token de Microsoft Entra de una de las maneras siguientes:

• Use una herramienta externa, como Bruno, para adquirir un token. La dirección URL de la solicitud es https://login.windows.net/{{tenantId}}/oauth2/token. Reemplace {tenantID} por el identificador de inquilino.

• Siga las soluciones de ejemplo en PowerBI-Developer-Samples. Por ejemplo:

  • Para la inserción para los clientes, consulte este archivo AadService.cs. authorityUrl Busque y scopeBase en AppOwnsData/Web.config.

  • Para la inserción para la organización, consulte este archivo OwinOpenIdConnect.cs. Busque authorityUrl en UserOwnsData/Web.config.

  Nota

  Puede encontrar los valores authorityUrl y scopeBase de algunas nubes soberanas en Inserción de contenido en la aplicación para nubes gubernamentales y nacionales o regionales.

Token de inserción

Al utilizar la solución de tipo Inserción para los clientes, la aplicación web deberá saber a qué contenido de Power BI puede acceder el usuario. Use las API REST de token de inserción para generar un token de inserción, que especifica la información siguiente:

• Contenido al que el usuario de la aplicación web puede acceder

• Nivel de acceso del usuario de la aplicación web (visualización, creación o edición)

Para obtener más información, consulte Consideraciones para generar un token de inserción.

Flujos de autenticación

En esta sección se describen los flujos de autenticación distintos para las soluciones de tipo Inserción para los clientes e Inserción para la organización.

Insertar para los clientes

La solución de tipo Inserción para los clientes emplea un flujo de autenticación no interactivo. En una solución de Inserción para los clientes, los usuarios no inician sesión en Microsoft Entra ID para acceder a Power BI. En su lugar, la aplicación web usa una identidad reservada de Microsoft Entra para autenticarse en Microsoft Entra ID y generar el token de inserción. La identidad reservada puede ser una entidad de servicio o un usuario maestro:

• Entidad de servicio La aplicación web usa el objeto de entidad de servicio de Microsoft Entra para autenticarse en Microsoft Entra ID y obtener un token de Microsoft Entra de solo aplicación. Microsoft Entra ID recomienda este método de autenticación de solo aplicación.

  Al utilizar una entidad de servicio, es necesario habilitar el acceso a las API de Power BI en la configuración de administración del servicio Power BI. La habilitación de acceso permite a la aplicación web acceder a las API REST de Power BI. Para utilizar las operaciones de API en un área de trabajo, la entidad de servicio debe ser miembro o administrador del área de trabajo en cuestión.

• Usuario maestro La aplicación web usa una cuenta de usuario para autenticarse en Microsoft Entra ID y obtener el token de Microsoft Entra. La cuenta de usuario maestra debe tener una licencia Power BI Pro o Premium por usuario (PPU).

  Al emplear una cuenta de usuario maestra, debe definir los permisos delegados de la aplicación (también denominados "ámbitos"). El usuario principal o administrador de inquilinos deberá consentir el uso de dichos permisos mediante las API REST de Power BI.

Una vez realizada la autenticación en Microsoft Entra ID correctamente, la aplicación web genera un token de inserción para permitir a los usuarios acceder a contenido de Power BI específico.

Nota:

• Para realizar la inserción con la solución de tipo Inserción para los clientes, necesita una capacidad con una SKU de A, EM o P.
• Para pasar a producción, necesita una capacidad.

En el diagrama siguiente se muestra el flujo de autenticación para la solución de tipo Inserción para los clientes.

1. El usuario de la aplicación web se autentica en la aplicación web con el método de autenticación.

2. La aplicación web emplea una entidad de servicio o un usuario maestro para realizar la autenticación en Microsoft Entra ID.

3. La aplicación web obtiene un token de Microsoft Entra de Microsoft Entra ID y lo usa para acceder a las API de REST de Power BI. El método de autenticación que elija proporciona acceso a las API REST de Power BI, que depende de si el método de autenticación es una entidad de servicio o un usuario maestro.

4. La aplicación web llama a una operación de API REST de token de inserción y solicita un token de inserción. El token de inserción especifica el contenido de Power BI que se puede insertar.

5. La API REST devuelve el token de inserción a la aplicación web.

6. La aplicación web pasa el token de inserción al explorador web del usuario.

7. El usuario de la aplicación web emplea el token de inserción para acceder a Power BI.

Insertar para la organización

La solución de tipo Inserción para la organización emplea un flujo de autenticación interactivo. Los usuarios de la aplicación web se autentican en Microsoft Entra ID con sus propias credenciales de Power BI. Deben conceder los permisos de la API que se establecieron al registrar la aplicación en Microsoft Entra ID. Una ventana de diálogo de Microsoft Permisos solicitados pide a los usuarios que concedan estos permisos. Una vez concedido el consentimiento, el usuario puede insertar el contenido de Power BI al que el usuario tiene acceso.

Nota

• La solución de tipo Inserción para la organización no admite las SKU de A.

• Para pasar a producción, necesitará una de las siguientes configuraciones:

  • Todos los usuarios con licencias Pro.
  • Todos los usuarios con licencias PPU.
  • Una capacidad o una capacidad de Fabric F64 o superior. Esta configuración permite que todos los usuarios tengan licencias gratuitas.

En este diagrama se muestra un ejemplo del flujo de autenticación de la solución de tipo Inserción para la organización.

1. El usuario de la aplicación web accede a ella.

2. La aplicación web redirige al usuario de la aplicación web a Microsoft Entra ID.

3. El usuario de la aplicación web se autentica en Microsoft Entra ID con sus credenciales de Power BI.

4. Microsoft Entra ID redirige al usuario de la aplicación web a la aplicación web con el token de Microsoft Entra. En un escenario de concesión implícita, el token de acceso se devuelve al explorador del usuario.

5. La aplicación web pasa el token de Microsoft Entra al explorador web del usuario.

6. La aplicación web de Power BI emplea el token de Microsoft Entra para insertar contenido de Power BI al que el usuario de la aplicación web tiene permiso para acceder, como informes y paneles.

Contenido relacionado

• Consideraciones para generar un token de inserción
• Capacidad y SKU de los análisis incrustados de Power BI

¿Tiene alguna pregunta más? Pruebe a preguntar a la comunidad de Power BI.