Připojení k Server sestav Power BI a SSRS z mobilních aplikací Power BI

Tento článek popisuje, jak nakonfigurovat prostředí tak, aby podporovalo ověřování OAuth v mobilní aplikaci Power BI pro připojení k Server sestav Power BI a službě SQL Server Reporting Services 2016 nebo novějším.

Požadavky

Windows Server se vyžaduje pro servery webových proxy aplikací (WAP) a Active Directory Federation Services (AD FS) (AD FS). Nemusíte mít doménu na úrovni funkčnosti Windows.

Aby uživatelé mohli přidat připojení serveru sestav ke své mobilní aplikaci Power BI, musíte jim udělit přístup k domovské složce serveru sestav.

Poznámka:

Od 1. března 2025 se už aplikace Power BI Mobile nebude moct připojit k Serveru sestav pomocí protokolu OAuth prostřednictvím služby AD FS nakonfigurované ve Windows Serveru 2016. Zákazníci, kteří používají OAuth se službou AD FS nakonfigurovanou ve Windows Serveru 2016 a webovém proxy aplikací (WAP), budou muset upgradovat server SLUŽBY AD FS na Windows Server 2019 nebo novější nebo použít proxy aplikace Microsoft Entra. Po upgradu Windows Serveru se uživatelé aplikace Power BI Mobile možná budou muset znovu přihlásit k Serveru sestav.

Tento upgrade vyžaduje změna knihovny ověřování používané mobilní aplikací. Tato změna nijak neovlivní podporu služby AD FS ve Windows Serveru 2016, ale jenom schopnost aplikace Power BI Mobile se k ní připojit.

Konfigurace DNS (Domain Name Services)

Veřejná adresa URL je adresa URL, ke které se mobilní aplikace Power BI připojí. Může vypadat například nějak takto.

https://reports.contoso.com

Váš záznam DNS pro sestavy na veřejnou IP adresu serveru webových proxy aplikací (WAP). Musíte také nakonfigurovat veřejný záznam DNS pro váš server AD FS. Server SLUŽBY AD FS jste například nakonfigurovali s následující adresou URL.

https://fs.contoso.com

Váš záznam DNS pro fs na veřejnou IP adresu serveru webového proxy aplikací (WAP), protože bude publikován jako součást aplikace WAP.

Certifikáty

Musíte nakonfigurovat certifikáty pro aplikaci WAP i server SLUŽBY AD FS. Oba tyto certifikáty musí být součástí platné certifikační autority, kterou vaše mobilní zařízení rozpozná.

Konfigurace služby Reporting Services

Na straně služby Reporting Services není potřeba moc konfigurovat. Stačí se ujistit, že:

• Existuje platný hlavní název služby (SPN), který umožňuje správné ověřování protokolem Kerberos.
• Server služby Reporting Services je povolený pro vyjednávání ověřování.
• Uživatelé mají přístup k domovské složce serveru sestav.

Hlavní název služby (SPN)

Hlavní název služby (SPN) je jedinečný identifikátor služby, která používá ověřování protokolem Kerberos. Musíte se ujistit, že máte pro server sestav správný hlavní název služby HTTP.

Informace o tom, jak nakonfigurovat správný hlavní název služby (SPN) pro server sestav, najdete v tématu Registrace hlavního názvu služby (SPN) pro server sestav.

Povolení ověřování vyjednat

Pokud chcete serveru sestav povolit použití ověřování protokolem Kerberos, musíte nakonfigurovat typ ověřování serveru sestav tak, aby byl RSWindowsNegotiate. Provedete to v souboru rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Další informace naleznete v tématu Úprava konfiguračního souboru služby Reporting Services a konfigurace ověřování systému Windows na serveru sestav.

Konfigurace Active Directory Federation Services (AD FS) (AD FS)

Službu AD FS musíte nakonfigurovat na windows serveru ve vašem prostředí. Konfiguraci můžete provést prostřednictvím Správce serveru a výběrem možnosti Přidat role a funkce v části Spravovat. Další informace najdete v tématu Active Directory Federation Services (AD FS).

Důležité

Od 1. března 2025 se už aplikace Power BI Mobile nebudou moct připojit k Serveru sestav prostřednictvím služby AD FS nakonfigurované ve Windows Serveru 2016. Podívejte se na poznámku na začátku tohoto článku.

Vytvoření skupiny aplikací

Na obrazovce Správa služby AD FS chcete vytvořit skupinu aplikací pro službu Reporting Services, která obsahuje informace pro aplikace Power BI Mobile.

Skupinu aplikací můžete vytvořit pomocí následujícího postupu.

1. V aplikaci Správa služby AD FS klikněte pravým tlačítkem na Skupiny aplikací a vyberte Přidat skupinu aplikací...

   

2. V Průvodci přidáním skupiny aplikací zadejte název skupiny aplikací a vyberte Nativní aplikace, která přistupuje k webovému rozhraní API.

   

3. Vyberte Další.

4. Zadejte název aplikace, kterou přidáváte.

5. I když se id klienta automaticky vygeneruje pro vás, zadejte 484d54fc-b481-4eee-9505-0258a1913020 pro iOS i Android.

6. Chcete přidat následující adresy URL pro přesměrování:

   Položky pro Power BI Mobile – iOS:
   msauth://code/mspbi-adal://com.microsoft.powerbimobile
   msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
   mspbi-adal://com.microsoft.powerbimobile
   mspbi-adalms://com.microsoft.powerbimobilems

   Aplikace pro Android potřebují jenom následující kroky:
   urn:ietf:wg:oauth:2.0:oob

   

7. Vyberte Další.

8. Zadejte adresu URL serveru sestav. Adresa URL je externí adresa URL, která se dostane na webovou proxy aplikací. Měla by být v následujícím formátu.

   Poznámka:

   V této adrese URL se rozlišují malá a velká písmena.

   https://<report server url>/reports

   

9. Vyberte Další.

10. Zvolte zásady řízení přístupu, které vyhovují potřebám vaší organizace.

    

11. Vyberte Další.

12. Vyberte Další.

13. Vyberte Další.

14. Vyberte Zavřít.

Po dokončení by se měly zobrazit vlastnosti vaší skupiny aplikací podobně jako v následujícím příkladu.

Teď na serveru SLUŽBY AD FS spusťte následující příkaz PowerShellu, abyste zajistili, že je aktualizace tokenu podporovaná.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Konfigurace webových proxy aplikací (WAP)

Chcete povolit roli Windows webového proxy aplikací (role) na serveru ve vašem prostředí. Musí být na serveru s Windows. Další informace najdete v tématu Webové proxy aplikací v systému Windows Server a publikování aplikací pomocí předběžného ověření služby AD FS.

Konfigurace omezeného delegování

Abychom mohli přejít z ověřování OAuth na ověřování systému Windows, musíme použít omezené delegování s přechodem protokolu. Toto je součástí konfigurace Protokolu Kerberos. Hlavní název služby Reporting Services jsme už definovali v rámci konfigurace služby Reporting Services.

Musíme nakonfigurovat omezené delegování na účtu počítače serveru WAP v rámci služby Active Directory. Pokud nemáte oprávnění ke službě Active Directory, možná budete muset spolupracovat se správcem domény.

Pokud chcete nakonfigurovat omezené delegování, chcete provést následující kroky.

1. Na počítači s nainstalovanými nástroji služby Active Directory spusťte Uživatelé a počítače služby Active Directory.

2. Vyhledejte účet počítače pro server WAP. Ve výchozím nastavení je v kontejneru počítačů.

3. Klikněte pravým tlačítkem myši na server WAP a přejděte na Vlastnosti.

4. Vyberte kartu Delegování.

5. Vyberte Důvěřovat tomuto počítači pro delegování pouze určeným službám a pak použijte libovolný ověřovací protokol.

   

   Tím se nastaví omezené delegování pro tento účet počítače serveru WAP. Pak musíme určit služby, na které může tento počítač delegovat.

6. V poli Služby vyberte Přidat...

   

7. Vybrat uživatele nebo počítače...

8. Zadejte účet služby, který používáte pro službu Reporting Services. Tento účet je účet, do který jste přidali hlavní název služby (SPN) v rámci konfigurace služby Reporting Services.

9. Vyberte hlavní název služby (SPN) pro službu Reporting Services a pak vyberte OK.

   Poznámka:

   Může se zobrazit pouze hlavní název služby NetBIOS. Ve skutečnosti vybere hlavní názvy pro rozhraní NetBIOS i plně kvalifikované názvy domén, pokud existují.

   

10. Výsledek by měl vypadat podobně jako v případě, že je zaškrtnuté políčko Rozbalené .

    

11. Vyberte OK.

Přidání aplikace WAP

I když můžete publikovat aplikace v konzole pro správu přístupu k sestavám, budeme chtít aplikaci vytvořit prostřednictvím PowerShellu. Tady je příkaz pro přidání aplikace.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication

Parametr	Komentáře
ADFSRelyingPartyName	Název webového rozhraní API, který jste vytvořili jako součást skupiny aplikací ve službě AD FS.
ExternalCertificateThumbprint	Certifikát, který se má použít pro externí uživatele. Je důležité, aby certifikát byl platný na mobilních zařízeních a pochází z důvěryhodné certifikační autority.
Back-endServerUrl	Adresa URL serveru sestav ze serveru WAP. Pokud je server WAP v DMZ, možná budete muset použít plně kvalifikovaný název domény. Ujistěte se, že tuto adresu URL můžete použít z webového prohlížeče na serveru WAP.
BackendServerAuthenticationSPN	Hlavní název služby( SPN), který jste vytvořili v rámci konfigurace služby Reporting Services.

Nastavení integrovaného ověřování pro aplikaci WAP

Po přidání aplikace WAP musíte nastavit BackendServerAuthenticationMode tak, aby používal IntegratedWindowsAuthentication. K jeho nastavení potřebujete ID z aplikace WAP.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Spuštěním následujícího příkazu nastavte BackendServerAuthenticationMode pomocí ID aplikace WAP.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Připojení pomocí mobilní aplikace Power BI

V mobilní aplikaci Power BI se chcete připojit k instanci služby Reporting Services. Uděláte to tak, že zadáte externí adresu URL pro vaši aplikaci WAP.

Když vyberete Připojit, budete přesměrováni na přihlašovací stránku služby AD FS. Zadejte platné přihlašovací údaje pro vaši doménu.

Po výběru možnosti Přihlásit se zobrazí prvky ze serveru služby Reporting Services.

Vícefaktorové ověřování

Vícefaktorové ověřování můžete povolit, aby se pro vaše prostředí povolilo další zabezpečení. Další informace najdete v tématu Konfigurace vícefaktorového ověřování Microsoft Entra jako zprostředkovatele ověřování ve službě AD FS.

Řešení problému

Zobrazí se chyba "Přihlášení k serveru SSRS se nezdařilo"

Fiddler můžete nastavit tak, aby fungoval jako proxy pro vaše mobilní zařízení, abyste viděli, jak daleko žádost provedla. Pokud chcete povolit proxy fiddleru pro vaše telefonní zařízení, musíte na počítači s Fiddlerem nastavit nástroj CertMaker pro iOS a Android . Doplněk je od Telerik for Fiddler.

Pokud přihlášení při použití Fiddleru funguje úspěšně, možná máte problém s certifikátem buď s aplikací WAP, nebo se serverem SLUŽBY AD FS.

Související obsah

• Registrace hlavního názvu služby (SPN) pro server sestav
• Úprava konfiguračního souboru služby Reporting Services
• Konfigurace ověřování systému Windows na serveru sestav
• Active Directory Federation Services (AD FS)
• Webová proxy aplikací ve Windows Serveru
• Publikování aplikací pomocí předběžného ověření služby AD FS
• Konfigurace vícefaktorového ověřování Microsoft Entra jako zprostředkovatele ověřování pomocí AD FS
  Máte ještě další otázky? Vyzkoušejte komunitu Power BI