Konfigurace jednotného přihlašování založeného na protokolu Kerberos z služba Power BI na místní zdroje dat
Povolení jednotného přihlašování usnadňuje sestavám a řídicím panelům Power BI aktualizovat data z místních zdrojů a současně respektovat oprávnění na úrovni uživatele nakonfigurovaná pro tyto zdroje. Pomocí omezeného delegování Protokolu Kerberos povolte bezproblémové připojení k jednotnému přihlašování.
Tento článek popisuje kroky, které je potřeba provést při konfiguraci jednotného přihlašování založeného na protokolu Kerberos z služba Power BI do místních zdrojů dat.
Požadavky
Aby omezené delegování protokolu Kerberos fungovalo správně, musí být nakonfigurováno několik položek, včetně nastavení *Hlavní názvy služby (SPN) a nastavení delegování u účtů služby.
Poznámka:
Použití aliasů DNS s jednotným přihlašováním se nepodporuje.
Osnova konfigurace
Níže jsou popsané kroky potřebné ke konfiguraci jednotného přihlašování brány.
Dokončete všechny kroky v části 1: Základní konfigurace.
V závislosti na prostředí služby Active Directory a použitých zdrojích dat možná budete muset dokončit určitou nebo veškerou konfiguraci popsanou v části 2: Konfigurace specifická pro prostředí.
Možné scénáře, které mohou vyžadovat další konfiguraci, jsou uvedeny níže:
Scénář Přejděte na Vaše prostředí služby Active Directory je posílené zabezpečením. Přidání účtu služby brány do autorizační a přístupové skupiny systému Windows Účet služby brány a uživatelské účty, které brána zosobní, jsou v samostatných doménách nebo doménových strukturách. Přidání účtu služby brány do autorizační a přístupové skupiny systému Windows Nemáte nakonfigurovaný Microsoft Entra Připojení se synchronizací uživatelských účtů a hlavní název uživatele používaný v Power BI pro uživatele neodpovídá hlavnímu názvu uživatele (UPN) v místním prostředí Active Directory. Nastavení parametrů konfigurace mapování uživatelů na počítači brány Plánujete používat zdroj dat SAP HANA s jednotným přihlašováním. Dokončení kroků konfigurace specifických pro zdroj dat Plánujete použít zdroj dat SAP BW s jednotným přihlašováním. Dokončení kroků konfigurace specifických pro zdroj dat Plánujete používat zdroj dat Teradata s jednotným přihlašováním. Dokončení kroků konfigurace specifických pro zdroj dat Ověřte konfiguraci, jak je popsáno v části 3: Ověřte konfiguraci , abyste měli jistotu, že je jednotné přihlašování správně nastavené.
Oddíl 1: Základní konfigurace
Krok 1: Instalace a konfigurace místní brány dat Microsoftu
Místní brána dat podporuje místní upgrade a převzetí nastavení existujících bran.
Krok 2: Získání práv správce domény ke konfiguraci hlavních názvů služeb (SetSPN) a nastavení omezeného delegování protokolu Kerberos
Pokud chcete nakonfigurovat hlavní názvy služeb a nastavení delegování Kerberos, správce domény by se měl vyhnout udělení práv někomu, kdo nemá práva správce domény. V následující části se podrobněji podíváme na doporučené kroky konfigurace.
Krok 3: Konfigurace účtu služby Brány
Možnost A níže je požadovaná konfigurace, pokud nemáte nakonfigurované jak Microsoft Entra Připojení, tak uživatelské účty. V takovém případě se doporučuje možnost B.
Možnost A: Spuštění služby systému Windows brány jako účtu domény s hlavním název služby (SPN)
Ve standardní instalaci se brána spouští jako účet místní služby počítače NT Service\PBIEgwService.
Pokud chcete povolit omezené delegování protokolu Kerberos, musí brána běžet jako účet domény, pokud vaše instance Microsoft Entra už není synchronizovaná s místní instancí služby Active Directory (pomocí nástroje Microsoft Entra DirSync/Připojení). Pokud chcete přepnout na účet domény, přečtěte si informace o změně účtu služby brány.
Konfigurace hlavního názvu služby (SPN) pro účet služby brány
Nejprve určete, jestli se pro účet domény použitý jako účet služby brány už vytvořil hlavní název služby ( SPN):
Jako správce domény spusťte modul snap-in Uživatelé a počítače služby Active Directory konzoly MMC (Microsoft Management Console).
V levém podokně klikněte pravým tlačítkem myši na název domény, vyberte Najít a zadejte název účtu služby brány.
Ve výsledku hledání klikněte pravým tlačítkem na účet služby brány a vyberte Vlastnosti.
Pokud je v dialogovém okně Vlastnosti zobrazená karta Delegování, je již vytvořený hlavní název služby (SPN) a můžete přeskočit ke konfiguraci omezeného delegování protokolu Kerberos.
Pokud v dialogovém okně Vlastnosti není karta Delegování, můžete v účtu ručně vytvořit hlavní název služby (SPN), abyste ho povolili. Použijte nástroj setspn, který je součástí Windows (k vytvoření hlavního názvu služby potřebujete oprávnění správce domény).
Předpokládejme například, že účet služby brány je Contoso\GatewaySvc a služba brány běží na počítači s názvem MyGatewayMachine. Pokud chcete nastavit hlavní název služby (SPN) pro účet služby brány, spusťte následující příkaz:
setspn -S gateway/MyGatewayMachine Contoso\GatewaySvc
Hlavní název služby (SPN) můžete také nastavit pomocí modulu snap-in Uživatelé a počítače služby Active Directory MMC.
Možnost B: Konfigurace počítače pro Připojení Microsoft Entra
Pokud je nakonfigurovaná služba Microsoft Entra Připojení a uživatelské účty se synchronizují, služba brány nemusí za běhu provádět místní vyhledávání Microsoft Entra. Místo toho můžete jednoduše použít identifikátor SID místní služby pro službu brány k dokončení veškeré požadované konfigurace v Microsoft Entra ID. Kroky konfigurace omezeného delegování Kerberos popsané v tomto článku jsou stejné jako kroky konfigurace vyžadované v kontextu Microsoft Entra. Použijí se u objektu počítače brány (jak je identifikováno identifikátorem SID místní služby) v MICROSOFT Entra ID místo účtu domény. Identifikátor SID místní služby pro NT SERVICE/PBIEgwService je následující:
S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079
Pokud chcete vytvořit hlavní název služby (SPN) pro tento identifikátor SID pro počítač služby Power BI Gateway, musíte z příkazového řádku pro správu spustit následující příkaz (nahraďte <COMPUTERNAME>
názvem počítače brány Power BI):
SetSPN -s HTTP/S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079 <COMPUTERNAME>
Poznámka:
V závislosti na místním nastavení zabezpečení možná budete muset přidat účet služby brány NT SERVICE\PBIEgwService do místní skupiny Správa istrators na počítači brány a pak restartovat službu brány v aplikaci brány. Tato možnost není podporována ve scénářích s více bránami, protože služba Active Directory vynucuje jedinečné hlavní názvy služby (SPN) v celé doménové struktuře. V těchto scénářích použijte místo toho možnost A .
Krok 4: Konfigurace omezeného delegování Kerberos
Můžete nakonfigurovat nastavení delegování pro standardní omezené delegování kerberos nebo omezené delegování kerberos založené na prostředcích. Další informace o rozdílech mezi dvěma přístupy k delegování najdete v přehledu omezeného delegování protokolu Kerberos.
Jsou vyžadovány následující účty služeb:
- Účet služby brány: Uživatel služby představující bránu ve službě Active Directory s hlavním názvem služby nakonfigurovaným v kroku 3.
- Účet služby Zdroj dat: Uživatel služby představující zdroj dat ve službě Active Directory s hlavní název služby (SPN) namapovaný na zdroj dat.
Poznámka:
Účty služby brány a zdroje dat musí být oddělené. Stejný účet služby nelze použít k reprezentaci brány i zdroje dat.
V závislosti na tom, který přístup chcete použít, přejděte k některé z následujících částí. Nedokončíte obě části:
- Možnost A: Standardní omezené delegování kerberos. Toto je výchozí doporučení pro většinu prostředí.
- Možnost B: Omezené delegování Kerberos založené na prostředcích To se vyžaduje, pokud váš zdroj dat patří do jiné domény než vaše brána.
Možnost A: Standardní omezené delegování kerberos
Teď nastavíme nastavení delegování pro účet služby brány. K provedení těchto kroků můžete použít několik nástrojů. Tady použijeme modul snap-in Uživatelé a počítače služby Active Directory konzoly MMC ke správě a publikování informací v adresáři. Ve výchozím nastavení je k dispozici na řadičích domény; na jiných počítačích ji můžete povolit prostřednictvím konfigurace funkcí systému Windows.
Musíme nakonfigurovat omezené delegování Kerberos s přechodem protokolu. U omezeného delegování musíte být explicitní o tom, kterým službám povolíte bráně prezentovat delegované přihlašovací údaje. Například pouze SQL Server nebo server SAP HANA přijímá volání delegování z účtu služby brány.
V této části se předpokládá, že jste pro podkladové zdroje dat už nakonfigurovali hlavní názvy služeb (SPN) (například SQL Server, SAP HANA, SAP BW, Teradata nebo Spark). Informace o tom, jak tyto hlavní názvy služby serveru zdroje dat nakonfigurovat, najdete v technické dokumentaci příslušného databázového serveru a v části Co hlavní název služby aplikace vyžaduje? v blogovém příspěvku Můj kontrolní seznam kerberos.
V následujících krocích předpokládáme místní prostředí se dvěma počítači ve stejné doméně: počítačem brány a databázovým serverem s SQL Serverem, který už je nakonfigurovaný pro jednotné přihlašování založené na protokolu Kerberos. Tento postup je možné přijmout pro jeden z ostatních podporovaných zdrojů dat, pokud už je zdroj dat nakonfigurovaný pro jednotné přihlašování založené na protokolu Kerberos. V tomto příkladu použijeme následující nastavení:
- Doména služby Active Directory (Netbios): Contoso
- Název počítače brány: MyGatewayMachine
- Účet služby brány: Contoso\GatewaySvc
- Název počítače zdroje dat SQL Serveru: TestSQLServer
- Účet služby zdroje dat SQL Serveru: Contoso\SQLService
Tady je postup konfigurace nastavení delegování:
V případě oprávnění správce domény otevřete modul snap-in Uživatelé a počítače služby Active Directory konzoly MMC.
Klikněte pravým tlačítkem na účet služby brány (Contoso\GatewaySvc) a vyberte Vlastnosti.
Vyberte kartu Delegování.
Vyberte Důvěřovat tomuto počítači pro delegování určeným službám, pouze>použít jakýkoli ověřovací protokol.
V části Služby, ke kterým může tento účet prezentovat delegovaná pověření, vyberte Přidat.
V novém dialogovém okně vyberte Uživatelé nebo Počítače.
Zadejte účet služby pro zdroj dat a pak vyberte OK.
Například zdroj dat SQL Serveru může mít účet služby, jako je Contoso\SQLService. Pro tento účet by už měl být nastavený odpovídající hlavní název služby (SPN) pro tento zdroj dat.
Vyberte hlavní název služby(SPN), který jste vytvořili pro databázový server.
V našem příkladu hlavní název služby začíná msSQLSvc. Pokud jste pro svou databázovou službu přidali plně kvalifikovaný název domény i hlavní název služby NetBIOS, vyberte obojí. Může se zobrazit jenom jeden.
Vyberte OK.
Hlavní název služby byste teď měli vidět v seznamu služeb, ke kterým může účet služby brány prezentovat delegovaná pověření.
Chcete-li pokračovat v procesu nastavení, přejděte k udělení oprávnění k místním zásadám účtu služby brány na počítači brány.
Možnost B: Omezené delegování Kerberos založené na prostředcích
Omezené delegování Kerberos založené na prostředcích slouží k povolení připojení jednotného přihlašování pro Windows Server 2012 a novější verze. Tento typ delegování umožňuje, aby front-endové a back-endové služby byly v různých doménách. Aby fungovala, musí doména back-endové služby důvěřovat doméně front-endové služby.
V následujících krocích předpokládáme místní prostředí se dvěma počítači v různých doménách: počítač brány a databázový server s SQL Serverem, který už je nakonfigurovaný pro jednotné přihlašování založené na protokolu Kerberos. Tyto kroky je možné přijmout pro jeden z dalších podporovaných zdrojů dat, pokud už je zdroj dat nakonfigurovaný pro jednotné přihlašování založené na protokolu Kerberos. V tomto příkladu použijeme následující nastavení:
- Front-endová doména služby Active Directory (Netbios): ContosoFrontEnd
- Back-endová doména služby Active Directory (Netbios): ContosoBackEnd
- Název počítače brány: MyGatewayMachine
- Účet služby brány: ContosoFrontEnd\GatewaySvc
- Název počítače zdroje dat SQL Serveru: TestSQLServer
- Účet služby zdroje dat SQL Serveru: ContosoBackEnd\SQLService
Proveďte následující kroky konfigurace:
Použijte modul snap-in Uživatelé a počítače služby Active Directory MMC na řadiči domény pro doménu ContosoFrontEnd a ověřte, že pro účet služby brány nejsou použita žádná nastavení delegování.
Použijte Uživatelé a počítače služby Active Directory na řadiči domény pro doménu ContosoBackEnd a ověřte, že pro účet back-endové služby nejsou použita žádná nastavení delegování.
Na kartě Editor atributů vlastností účtu ověřte, že atribut msDS-AllowedToActOnBehalfOfOtherIdentity není nastavený.
V Uživatelé a počítače služby Active Directory vytvořte skupinu na řadiči domény pro doménu ContosoBackEnd. Přidejte účet služby brány GatewaySvc do skupiny ResourceDelGroup.
Pokud chcete přidat uživatele z důvěryhodné domény, musí mít tato skupina obor Místní doména.
Otevřete příkazový řádek a spusťte v řadiči domény následující příkazy pro doménu ContosoBackEnd a aktualizujte atribut msDS-AllowedToActOnBehalfOfOtherIdentity účtu back-endové služby:
$c = Get-ADGroup ResourceDelGroup Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c
V Uživatelé a počítače služby Active Directory ověřte, že se aktualizace projeví na kartě Editor atributů ve vlastnostech účtu back-endové služby.
Krok 5: Povolení šifrování AES u účtů služby
U účtu služby brány a každého účtu služby zdroje dat, na který může brána delegovat, použijte následující nastavení:
Poznámka:
Pokud jsou pro účty služeb definované existující entypy, obraťte se na službu Active Directory Správa istrator, protože následující kroky přepíší existující hodnoty entypů a můžou narušit klienty.
V případě oprávnění správce domény otevřete modul snap-in Uživatelé a počítače služby Active Directory konzoly MMC.
Klikněte pravým tlačítkem myši na účet služby brány nebo zdroje dat a vyberte Vlastnosti.
Vyberte kartu Account (Účet).
V části Možnosti účtu povolte alespoň jednu (nebo obě) z následujících možností. Všimněte si, že pro všechny účty služeb je potřeba povolit stejné možnosti.
- Tento účet podporuje 128bitové šifrování Kerberos AES.
- Tento účet podporuje 256bitové šifrování Kerberos AES.
Poznámka:
Pokud si nejste jisti, které schéma šifrování použít, obraťte se na službu Active Directory Správa istrator.
Krok 6: Udělení oprávnění k místním zásadám účtu služby brány na počítači brány
Nakonec na počítači, na kterém běží služba brány (MyGatewayMachine v našem příkladu), udělte účtu služby brány místní zásady zosobnění klienta po ověření a jednat jako součást operačního systému (SeTcbPrivilege). Tuto konfiguraci proveďte pomocí Editoru místních zásad skupiny (gpedit.msc).
Na počítači brány spusťte gpedit.msc.
Přejděte do části Konfigurace>počítače se zásadami>místního počítače ve Windows Nastavení> Security Nastavení> Přiřazení uživatelských práv k místním zásadám.>
V části Přiřazení uživatelských práv v seznamu zásad vyberte po ověření zosobnit klienta.
Klikněte pravým tlačítkem myši na zásadu, otevřete Vlastnosti a zobrazte seznam účtů.
Seznam musí obsahovat účet služby brány (Contoso\GatewaySvc nebo ContosoFrontEnd\GatewaySvc v závislosti na typu omezeného delegování).
V části Přiřazení uživatelských práv vyberte v seznamu zásad možnost Jednat jako součást operačního systému (SeTcbPrivilege ). Ujistěte se, že je účet služby brány zahrnutý v seznamu účtů.
Restartujte proces služby místní brány dat.
Krok 7: Účet Systému Windows má přístup k počítači brány
Jednotné přihlašování používá ověřování systému Windows, proto se ujistěte, že má účet Windows přístup k počítači brány. Pokud si nejste jistí, přidejte do místní skupiny Users uživatele NT-AUTHORITY\Authenticated Users (S-1-5-11).
Oddíl 2: Konfigurace specifická pro prostředí
Přidání účtu služby brány do autorizační a přístupové skupiny systému Windows
Pokud platí některá z následujících situací, dokončete tuto část:
- Vaše prostředí služby Active Directory je posílené zabezpečením.
- Pokud účet služby brány a uživatelské účty, které brána zosobní, jsou v samostatných doménách nebo doménových strukturách.
Účet služby brány můžete také přidat do skupiny autorizace a přístupu systému Windows v situacích, kdy doména nebo doménová struktura nebyla posílena, ale nevyžaduje se.
Další informace naleznete v tématu Autorizace systému Windows a přístupová skupina.
Chcete-li dokončit tento krok konfigurace, pro každou doménu, která obsahuje uživatele služby Active Directory, chcete, aby účet služby brány mohl zosobnit:
- Přihlaste se k počítači v doméně a spusťte modul snap-in Uživatelé a počítače služby Active Directory konzoly MMC.
- Vyhledejte skupinu Autorizace systému Windows a přístupová skupina, která se obvykle nachází v integrovaném kontejneru.
- Poklikejte na skupinu a klikněte na kartu Členové .
- Klikněte na Přidat a změňte umístění domény na doménu, ve které se nachází účet služby brány.
- Zadejte název účtu služby brány a kliknutím na Zkontrolovat názvy ověřte, že je účet služby brány přístupný.
- Klikněte na OK.
- Klikněte na tlačítko Použit.
- Restartujte službu brány.
Nastavení parametrů konfigurace mapování uživatelů na počítači brány
Dokončete tuto část, pokud:
- Nemáte nakonfigurovanou synchronizaci uživatelských účtů Microsoft Entra Připojení
- Hlavní název uživatele (UPN) používaný v Power BI pro uživatele neodpovídá hlavnímu názvu uživatele (UPN) v místním prostředí Active Directory.
Každý uživatel služby Active Directory namapovaný tímto způsobem musí mít oprávnění k jednotnému přihlašování pro váš zdroj dat.
Otevřete hlavní konfigurační soubor
Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll
brány . Ve výchozím nastavení je tento soubor uložen naC:\Program Files\On-premises data gateway
adrese .Nastavte adUserNameLookupProperty na nepoužívaný atribut Active Directory. Použijeme
msDS-cloudExtensionAttribute1
ho v následujících krocích. Tento atribut je k dispozici pouze ve Windows Serveru 2012 a novějším.Nastavte adUserNameReplacementProperty na
SAMAccountName
a pak konfigurační soubor uložte.Poznámka:
Ve scénářích s více doménami možná budete muset nastavit ADUserNameReplacementProperty tak, aby
userPrincipalName
se zachovaly informace o doméně uživatele.Na kartě Služby ve Správci úloh klikněte pravým tlačítkem na službu brány a vyberte Restartovat.
Pro každého služba Power BI uživatele, pro kterého chcete povolit jednotné přihlašování kerberos, nastavte
msDS-cloudExtensionAttribute1
vlastnost místního uživatele služby Active Directory (s oprávněním jednotného přihlašování k vašemu zdroji dat) na úplné uživatelské jméno (UPN) uživatele služba Power BI. Pokud se například přihlásíte k služba Power BI jako test@contoso.com a chcete tohoto uživatele namapovat na místního uživatele služby Active Directory s oprávněními k jednotnému přihlašování, řekněme, test@LOCALDOMAIN.COMnastavte atribut tohoto uživatelemsDS-cloudExtensionAttribute1
na test@contoso.com.Vlastnost můžete nastavit
msDS-cloudExtensionAttribute1
pomocí modulu snap-in Uživatelé a počítače služby Active Directory konzoly MMC:Jako správce domény spusťte Uživatelé a počítače služby Active Directory.
Klikněte pravým tlačítkem myši na název domény, vyberte Najít a zadejte název účtu místního uživatele služby Active Directory, který chcete namapovat.
Vyberte kartu Editor atributů.
msDS-cloudExtensionAttribute1
Vyhledejte vlastnost a poklikejte na ni. Nastavte hodnotu na celé uživatelské jméno (UPN) uživatele, který používáte pro přihlášení k služba Power BI.Vyberte OK.
Vyberte Použít. Ověřte, že je ve sloupci Hodnota nastavena správná hodnota.
Dokončení kroků konfigurace specifických pro zdroj dat
Pro zdroje dat SAP HANA, SAP BW a Teradata se pro jednotné přihlašování brány vyžaduje další konfigurace:
- Protokol Kerberos použijte pro jednotné přihlašování (SSO) k SAP HANA.
- Jednotné přihlašování kerberos pro jednotné přihlašování k SAP BW pomocí knihovny CommonCryptoLib (sapcrypto.dll)
- Pro jednotné přihlašování (SSO) k Teradata použijte Kerberos.
Poznámka:
I když jiné knihovny SNC můžou fungovat i pro jednotné přihlašování BW, microsoft je oficiálně nepodporuje.
Oddíl 3: Ověření konfigurace
Krok 1: Konfigurace zdrojů dat v Power BI
Po dokončení všech kroků konfigurace pomocí stránky Spravovat bránu v Power BI nakonfigurujte zdroj dat tak, aby se používal pro jednotné přihlašování. Pokud máte více bran, ujistěte se, že jste vybrali bránu, kterou jste nakonfigurovali pro jednotné přihlašování kerberos. Potom v části Nastavení pro zdroj dat se ujistěte, že pro dotazy DirectQuery použijete jednotné přihlašování přes Kerberos nebo použijete jednotné přihlašování přes Kerberos pro directQuery a dotazy importu, zkontroluje se u sestav založených na DirectQuery a v sestavách založených na importu se kontroluje jednotné přihlašování přes Kerberos pro dotazy DirectQuery a import.
Nastavení Používají jednotné přihlašování přes Kerberos pro dotazy DirectQuery a pro dotazy DirectQuery a import používají jednotné přihlašování přes Kerberos a importují jiné chování pro sestavy založené na DirectQuery a sestavy založené na importu.
Použití jednotného přihlašování přes Kerberos pro dotazy DirectQuery:
- Pro sestavu založenou na DirectQuery se používají přihlašovací údaje pro jednotné přihlašování uživatele.
- Pro sestavu založenou na importu se přihlašovací údaje jednotného přihlašování nepoužívají, ale použijí se přihlašovací údaje zadané na stránce zdroje dat.
Použití jednotného přihlašování přes Kerberos pro dotazy DirectQuery a import:
- Pro sestavu založenou na DirectQuery se používají přihlašovací údaje pro jednotné přihlašování uživatele.
- Pro sestavu založenou na importu se použijí přihlašovací údaje jednotného přihlašování vlastníka sémantického modelu bez ohledu na uživatele, který aktivuje import.
Krok 2: Testování jednotného přihlašování
Přejděte do části Test konfigurace jednotného přihlašování (SSO), abyste rychle ověřili, že je vaše konfigurace správně nastavená, a vyřešte běžné problémy.
Krok 3: Spuštění sestavy Power BI
Při publikování vyberte bránu, kterou jste nakonfigurovali pro jednotné přihlašování, pokud máte více bran.
Související obsah
Další informace o místní bráně dat a DirectQuery najdete v následujících zdrojích informací: