Vložené analytické přístupové tokeny

PLATÍ PRO: Aplikace vlastní data Uživatel vlastní data

Využívání obsahu Power BI (například sestav, řídicích panelů a dlaždic) vyžaduje přístupový token. V závislosti na vašem řešení může být token Microsoft Entra, token pro vložení nebo obojí.

V řešení pro vložení pro vaše zákazníky aplikace vygeneruje token pro vložení, který uživatelům webu udělí přístup k obsahu Power BI.

Poznámka:

Když použijete vložení pro vaše řešení pro zákazníky , můžete k povolení přístupu k webové aplikaci použít libovolnou metodu ověřování.

V řešení pro vložení do vaší organizace se uživatelé vaší webové aplikace ověřují prostřednictvím Microsoft Entra ID pomocí vlastních přihlašovacích údajů. Vaši zákazníci mají přístup k obsahu Power BI, ke kterému mají oprávnění na službě Power BI.

Token Microsoft Entra

Pro vložení pro vaše zákazníky i vložení pro řešení vaší organizace potřebujete token Microsoft Entra. Token Microsoft Entra se vyžaduje pro všechny operace rozhraní REST API a vyprší po hodině.

• V řešení pro vložení pro vaše zákazníky se token Microsoft Entra použije k vygenerování tokenu pro vložení.

• V řešení pro vložení pro vaši organizaci se token Microsoft Entra používá pro přístup k Power BI.

Token Microsoft Entra můžete získat jedním z následujících způsobů:

• K získání tokenu použijte externí nástroj, například Bruno. Adresa URL požadavku je https://login.windows.net/{{tenantId}}/oauth2/token. Nahraďte {tenantID} svým ID tenanta.

• Postupujte podle ukázkových řešení v PowerBI-Developer-Samples. Příklad:

  • Informace o vložení pro zákazníky najdete v tomto AadService.cs souboru. Vyhledejte authorityUrl a scopeBase v AppOwnsData/Web.config.

  • Informace o integraci pro vaši organizaci najdete v souboru OwinOpenIdConnect.cs. Vyhledejte authorityUrl na adrese UserOwnsData/Web.config.

  Poznámka:

  Najdete hodnoty některých suverénních cloudů v části Vložení obsahu do aplikace pro státní správu a národní/regionální cloudy.

Token pro vložení

Když použijete vložení pro vaše řešení pro zákazníky , musí webová aplikace vědět, ke kterému obsahu Power BI má uživatel přístup. Pomocí rozhraní REST API pro vygenerování tokenu pro vložení, který určuje následující informace:

• Obsah, ke který má uživatel webové aplikace přístup

• Úroveň přístupu uživatele webové aplikace (zobrazení, vytvoření nebo úprava)

Další informace najdete v tématu Důležité informace o generování tokenu pro vložení.

Procesy ověřování

Tato část popisuje různé toky ověřování pro vložené pro zákazníky a vložené pro vaši organizaci.

Zabudovat pro vaše zákazníky

Vložené řešení pro vaše zákazníky používá neinteraktivní tok ověřování. Ve vložení pro vaše řešení pro zákazníky se uživatelé nepřihlašují k Microsoft Entra ID pro přístup k Power BI. Místo toho vaše webová aplikace používá rezervovanou identitu Microsoft Entra k ověření vůči ID Microsoft Entra a vygeneruje token pro vložení. Rezervovanou identitou může být buď principál služby, nebo hlavní uživatel:

• Služební principál Vaší webové aplikace používá objekt služebního principálu Microsoft Entra k ověření vůči ID Microsoft Entra a získání tokenu Microsoft Entra pouze pro aplikaci. Tuto metodu ověřování jen pro aplikaci doporučuje MICROSOFT Entra ID.

  Při použití služby principal musíte povolit přístup k API Power BI v nastavení pro správce služby Power BI. Povolení přístupu umožňuje webové aplikaci přístup k rozhraním REST API Power BI. Aby bylo možné používat operace rozhraní API v pracovním prostoru, musí být instanční objekt členem nebo správcem pracovního prostoru.

• Hlavní uživatel: Vaše webová aplikace používá uživatelský účet k ověření vůči ID Microsoft Entra a získání tokenu Microsoft Entra. Hlavní uživatelský účet musí mít licenci Power BI Pro nebo Premium na uživatele (PPU ).

  Pokud používáte hlavní uživatelský účet, musíte definovat delegovaná oprávnění vaší aplikace (označovaná také jako obory). Hlavní uživatel nebo správce tenanta musí udělit souhlas s používáním těchto oprávnění při používání rozhraní REST API Power BI.

Po úspěšném ověření u Microsoft Entra ID vygeneruje vaše webová aplikace token pro vložení, který uživatelům umožní přístup ke konkrétnímu obsahu Power BI.

Poznámka:

• Pokud chcete vložit pomocí řešení vložení pro vaše zákazníky, potřebujete kapacitu s A, EM nebo P SKU.
• Pokud chcete přejít do produkčního prostředí, potřebujete kapacitu.

Následující diagram znázorňuje tok ověřování pro vložení řešení pro vaše zákazníky.

1. Uživatel webové aplikace se autentizuje proti vaší webové aplikaci pomocí vaší metody autentizace.

2. Vaše webová aplikace používá aplikační identitu nebo hlavního uživatele k ověření vůči ID Microsoft Entra.

3. Vaše webová aplikace získá token Microsoft Entra z ID Microsoft Entra a použije ho pro přístup k rozhraním REST API Power BI. Metoda ověřování, kterou zvolíte, poskytuje přístup k rozhraní Power BI REST API, závisí na tom, zda je metoda ověřování aplikačním uživatelem nebo hlavním uživatelem.

4. Vaše webová aplikace volá operaci REST API Embed Token a požaduje vložený token. Token pro vložení určuje, který obsah Power BI se dá vložit.

5. Rozhraní REST API vrátí token pro vložení do vaší webové aplikace.

6. Webová aplikace předá token pro vložení do webového prohlížeče uživatele.

7. Uživatel webové aplikace používá token pro vložení pro přístup k Power BI.

Vložení pro vaši organizaci

Řešení pro embed ve vaší organizaci používá interaktivní autentizační tok. Uživatelé webové aplikace se ověřují v Microsoft Entra ID pomocí vlastních přihlašovacích údajů Power BI. Musí udělit souhlas s oprávněními rozhraní API, která byla nastavena při registraci aplikace s ID Microsoft Entra. V dialogovém okně požadovaná oprávnění Microsoftu se uživatelům zobrazí výzva k udělení těchto oprávnění. Po udělení souhlasu může uživatel vložit obsah Power BI, ke kterému má uživatel přístup.

Poznámka:

• Vložení pro řešení vaší organizace nepodporuje skladové položky A.

• K přechodu do produkčního prostředí budete potřebovat jednu z následujících konfigurací:

  • Všichni uživatelé s licencemi Pro.
  • Všichni uživatelé s licencemi PPU.
  • Kapacita nebo kapacita Fabric F64 nebo větší. Tato konfigurace umožňuje všem uživatelům mít bezplatné licence.

Tento diagram znázorňuje příklad ověřovacího toku pro řešení embed pro vaši organizaci.

1. Uživatel webové aplikace přistupuje k webové aplikaci.

2. Webová aplikace přesměruje uživatele webové aplikace na ID Microsoft Entra.

3. Uživatel webové aplikace se ověřuje pomocí ID Microsoft Entra s využitím svých přihlašovacích údajů Power BI.

4. Id Microsoft Entra přesměruje uživatele webové aplikace zpět na webovou aplikaci pomocí tokenu Microsoft Entra. Ve scénáři implicitního udělení se přístupový token vrátí do prohlížeče uživatele.

5. Webová aplikace předá token Microsoft Entra do webového prohlížeče uživatele.

6. Webová aplikace Power BI používá token Microsoft Entra k vložení obsahu Power BI, jako jsou sestavy a řídicí panely, ke kterým má uživatel webové aplikace oprávnění k přístupu.

Související obsah

• Důležité informace o generování tokenu pro vložení
• Kapacita a skladové položky ve vložených analytických možnostech Power BI

Máte ještě další otázky? Zkuste se zeptat Komunita Power BI