Sdílet prostřednictvím

Připojení k Server sestav Power BI a SSRS pomocí OAuth

  • Článek

Pomocí OAuth se můžete připojit k Server sestav Power BI a službě SQL Server Reporting Services (SSRS) k zobrazení mobilních sestav nebo klíčových ukazatelů výkonu. Zjistěte, jak nakonfigurovat prostředí tak, aby podporovalo ověřování OAuth pomocí mobilní aplikace Power BI pro připojení k Server sestav Power BI a službě SQL Server Reporting Services 2016 nebo novějším.

Poznámka:

Zobrazení sestav Power BI hostovaných v Server sestav Power BI ověřování pomocí WAP se teď podporuje pro aplikace pro iOS a Android.

Požadavky

Windows Server 2016 se vyžaduje pro servery webových proxy aplikací (WAP) a Active Directory Federation Services (AD FS) (ADFS). Nemusíte mít doménu funkční úrovně Windows 2016.

Aby uživatelé mohli přidat připojení serveru sestav ke své mobilní aplikaci Power BI, musíte jim udělit přístup k domovské složce serveru sestav.

Konfigurace DNS (Domain Name Services)

Veřejná adresa URL je adresa URL, ke které se mobilní aplikace Power BI připojí. Může vypadat například nějak takto.

https://reports.contoso.com

Váš záznam DNS pro sestavy na veřejnou IP adresu serveru webových proxy aplikací (WAP). Musíte také nakonfigurovat veřejný záznam DNS pro váš server ADFS. Například jste server ADFS nakonfigurovali s následující adresou URL.

https://fs.contoso.com

Váš záznam DNS pro fs na veřejnou IP adresu serveru webového proxy aplikací (WAP), protože bude publikován jako součást aplikace WAP.

Certifikáty

Musíte nakonfigurovat certifikáty pro aplikaci WAP i pro server ADFS. Oba tyto certifikáty musí být součástí platné certifikační autority, kterou vaše mobilní zařízení rozpozná.

Konfigurace služby Reporting Services

Na straně služby Reporting Services není potřeba moc konfigurovat. Stačí se ujistit, že:

Hlavní název služby (SPN)

Hlavní název služby (SPN) je jedinečný identifikátor služby, která používá ověřování protokolem Kerberos. Musíte se ujistit, že máte pro server sestav správný hlavní název služby HTTP.

Informace o tom, jak nakonfigurovat správný hlavní název služby (SPN) pro server sestav, najdete v tématu Registrace hlavního názvu služby (SPN) pro server sestav.

Povolení ověřování vyjednat

Pokud chcete serveru sestav povolit použití ověřování protokolem Kerberos, musíte nakonfigurovat typ ověřování serveru sestav tak, aby byl RSWindowsNegotiate. Provedete to v souboru rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Další informace naleznete v tématu Úprava konfiguračního souboru služby Reporting Services a konfigurace ověřování systému Windows na serveru sestav.

Konfigurace Active Directory Federation Services (AD FS) (ADFS)

Službu AD FS musíte nakonfigurovat na serveru s Windows 2016 ve vašem prostředí. Konfiguraci můžete provést prostřednictvím Správce serveru a výběrem možnosti Přidat role a funkce v části Spravovat. Další informace najdete v tématu Active Directory Federation Services (AD FS).

Vytvoření skupiny aplikací

Na obrazovce Správa služby AD FS chcete vytvořit skupinu aplikací pro službu Reporting Services, která obsahuje informace pro aplikace Power BI Mobile.

Skupinu aplikací můžete vytvořit pomocí následujícího postupu.

  1. V aplikaci Správa služby AD FS klikněte pravým tlačítkem na Skupiny aplikací a vyberte Přidat skupinu aplikací...

    Přidání aplikace ADFS

  2. V Průvodci přidáním skupiny aplikací zadejte název skupiny aplikací a vyberte Nativní aplikace, která přistupuje k webovému rozhraní API.

    Průvodce skupinou aplikací ADFS 01

  3. Vyberte Další.

  4. Zadejte název aplikace, kterou přidáváte.

  5. I když se id klienta automaticky vygeneruje pro vás, zadejte 484d54fc-b481-4eee-9505-0258a1913020 pro iOS i Android.

  6. Chcete přidat následující adresy URL pro přesměrování:

    Položky pro Power BI Mobile – iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Aplikace pro Android potřebují jenom následující kroky:
    urn:ietf:wg:oauth:2.0:oob

    Průvodce skupinou aplikací ADFS 02

  7. Vyberte Další.

  8. Zadejte adresu URL serveru sestav. Adresa URL je externí adresa URL, která se dostane na webovou proxy aplikací. Měla by být v následujícím formátu.

    Poznámka:

    V této adrese URL se rozlišují malá a velká písmena.

    https://<report server url>/reports

    Průvodce skupinou aplikací ADFS 03

  9. Vyberte Další.

  10. Zvolte zásady řízení přístupu, které vyhovují potřebám vaší organizace.

    Průvodce skupinou aplikací ADFS 04

  11. Vyberte Další.

  12. Vyberte Další.

  13. Vyberte Další.

  14. Vyberte Zavřít.

Po dokončení by se měly zobrazit vlastnosti vaší skupiny aplikací podobně jako v následujícím příkladu.

Průvodce skupinou aplikací ADFS

Teď na serveru ADFS spusťte následující příkaz PowerShellu, abyste zajistili, že je aktualizace tokenu podporovaná.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Konfigurace webových proxy aplikací (WAP)

Chcete povolit roli Windows webového proxy aplikací (role) na serveru ve vašem prostředí. Musí být na serveru s Windows 2016. Další informace najdete v tématu Webové proxy aplikací ve Windows Serveru 2016 a publikování aplikací pomocí předběžného ověření služby AD FS.

Konfigurace omezeného delegování

Abychom mohli přejít z ověřování OAuth na ověřování systému Windows, musíme použít omezené delegování s přechodem protokolu. Toto je součástí konfigurace Protokolu Kerberos. Hlavní název služby Reporting Services jsme už definovali v rámci konfigurace služby Reporting Services.

Musíme nakonfigurovat omezené delegování na účtu počítače serveru WAP v rámci služby Active Directory. Pokud nemáte oprávnění ke službě Active Directory, možná budete muset spolupracovat se správcem domény.

Pokud chcete nakonfigurovat omezené delegování, chcete provést následující kroky.

  1. Na počítači s nainstalovanými nástroji služby Active Directory spusťte Uživatelé a počítače služby Active Directory.

  2. Vyhledejte účet počítače pro server WAP. Ve výchozím nastavení je v kontejneru počítačů.

  3. Klikněte pravým tlačítkem myši na server WAP a přejděte na Vlastnosti.

  4. Vyberte kartu Delegování.

  5. Vyberte Důvěřovat tomuto počítači pro delegování pouze určeným službám a pak použijte libovolný ověřovací protokol.

    Omezení WAP

    Tím se nastaví omezené delegování pro tento účet počítače serveru WAP. Pak musíme určit služby, na které může tento počítač delegovat.

  6. V poli Služby vyberte Přidat...

    Omezení WAP 02

  7. Vybrat uživatele nebo počítače...

  8. Zadejte účet služby, který používáte pro službu Reporting Services. Tento účet je účet, do který jste přidali hlavní název služby (SPN) v rámci konfigurace služby Reporting Services.

  9. Vyberte hlavní název služby (SPN) pro službu Reporting Services a pak vyberte OK.

    Poznámka:

    Může se zobrazit pouze hlavní název služby NetBIOS. Ve skutečnosti vybere hlavní názvy pro rozhraní NetBIOS i plně kvalifikované názvy domén, pokud existují.

    Omezení WAP 03

  10. Výsledek by měl vypadat podobně jako v případě, že je zaškrtnuté políčko Rozbalené .

    Omezení WAP 04

  11. Vyberte OK.

Přidání aplikace WAP

I když můžete publikovat aplikace v konzole pro správu přístupu k sestavám, budeme chtít aplikaci vytvořit prostřednictvím PowerShellu. Tady je příkaz pro přidání aplikace.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parametr Komentáře
ADFSRelyingPartyName Název webového rozhraní API, který jste vytvořili jako součást skupiny aplikací v ADFS.
ExternalCertificateThumbprint Certifikát, který se má použít pro externí uživatele. Je důležité, aby certifikát byl platný na mobilních zařízeních a pochází z důvěryhodné certifikační autority.
Back-endServerUrl Adresa URL serveru sestav ze serveru WAP. Pokud je server WAP v DMZ, možná budete muset použít plně kvalifikovaný název domény. Ujistěte se, že tuto adresu URL můžete použít z webového prohlížeče na serveru WAP.
BackendServerAuthenticationSPN Hlavní název služby( SPN), který jste vytvořili v rámci konfigurace služby Reporting Services.

Nastavení integrovaného ověřování pro aplikaci WAP

Po přidání aplikace WAP musíte nastavit BackendServerAuthenticationMode tak, aby používal IntegratedWindowsAuthentication. K jeho nastavení potřebujete ID z aplikace WAP.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Přidat skupinu aplikací

Spuštěním následujícího příkazu nastavte BackendServerAuthenticationMode pomocí ID aplikace WAP.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Průvodce přidáním skupiny aplikací

Připojení pomocí mobilní aplikace Power BI

V mobilní aplikaci Power BI se chcete připojit k instanci služby Reporting Services. Uděláte to tak, že zadáte externí adresu URL pro vaši aplikaci WAP.

Zadejte adresu serveru.

Když vyberete Připojit, budete přesměrováni na přihlašovací stránku ADFS. Zadejte platné přihlašovací údaje pro vaši doménu.

Přihlášení k ADFS

Po výběru možnosti Přihlásit se zobrazí prvky ze serveru služby Reporting Services.

Vícefaktorové ověřování

Vícefaktorové ověřování můžete povolit, aby se pro vaše prostředí povolilo další zabezpečení. Další informace najdete v tématu Konfigurace vícefaktorového ověřování Microsoft Entra jako zprostředkovatele ověřování ve službě AD FS.

Řešení problému

Zobrazí se chyba "Přihlášení k serveru SSRS se nezdařilo"

Chyba

Fiddler můžete nastavit tak, aby fungoval jako proxy pro vaše mobilní zařízení, abyste viděli, jak daleko žádost provedla. Pokud chcete povolit proxy fiddleru pro vaše telefonní zařízení, musíte na počítači s Fiddlerem nastavit nástroj CertMaker pro iOS a Android . Doplněk je od Telerik for Fiddler.

Pokud přihlášení při použití Fiddleru funguje úspěšně, může dojít k problému s certifikátem buď s aplikací WAP, nebo serverem ADFS.

Související obsah