Integrer en rapport med tokenbaseret identitet (SSO)

GÆLDER FOR: Appen ejer data Brugeren ejer data

Den tokenbaserede identitet gør det muligt for en ISV at bruge et Microsoft Entra-adgangstoken til at overføre en kundes identitet til en Azure SQL-database , der administreres i kundens lejer.

ISV-kunder, der opbevarer og administrerer deres data i Azure SQL Database , kan beskytte deres data i deres lejer, når de integrerer med Power BI Embedded i ISV-appen.

Når du genererer integreringstokenet, skal du angive brugerens identitet i Azure SQL ved at overføre den pågældende brugers Microsoft Entra-adgangstoken til Azure SQL-serveren. Adgangstokenet bruges derefter til kun at hente de relevante data for den pågældende bruger fra Azure SQL for den pågældende session.

Konfigurer tokenbaseret identitet

Den tokenbaserede identitet fungerer kun for DirectQuery-modeller på en kapacitet, der er forbundet til en Azure SQL Database, der er konfigureret til at tillade Microsoft Entra-godkendelse. Datakilden for den semantiske model skal være konfigureret til at bruge slutbrugernes OAuth2-legitimationsoplysninger for at bruge en tokenbaseret identitet. Få mere at vide om Microsoft Entra-godkendelse til Azure SQL Database.

Konfigurer på portalen

1. På Power BI-portalen skal du vælge Semantisk model > Flere indstillinger (tre prikker) > Indstillinger > Legitimationsoplysninger > for datakilde Rediger legitimationsoplysninger.

   

2. Markér afkrydsningsfeltet OAuth2 .

   

Konfigurer med API

Send et gateways – Opdater api-kald til datakilden med "useEndUserOAuth2Credentials" = True og "credentialType": "OAuth2" for den ønskede semantiske model. Anmodningens brødtekst skal se nogenlunde sådan ud:

{
  "credentialDetails": {
    "credentials": "{\"credentialData\":[{\"name\":\"accessToken\",\"value\":\"eyJ…\"}]}",
    "credentialType": "OAuth2",
    "encryptedConnection": "Encrypted",
    "encryptionAlgorithm": "None",
    "privacyLevel": "Organizational",
    "useEndUserOAuth2Credentials": true
  }
}

Opret et identitetstoken

Hvis du vil oprette et adgangstoken til Azure SQL, skal appen have Adgang til Azure SQL DB og Data Warehouse uddelegeret tilladelse til Azure SQL Database API på Microsoft Entra-appregistreringskonfigurationen i Azure-portal.

Godkend og hent et token for brugeren fra Azure AD v2-slutpunktet for følgende område: https://database.windows.net/.default

Se følgende MSAL-kodeeksempler for at få hjælp:

• Kodeeksempler til Microsoft-identitetsplatform godkendelse og godkendelse – Microsoft Entra | Microsoft Learn
• Microsoft-identitetsplatform og OAuth 2.0-godkendelseskodeflow

Generér integreringstoken

Hvis du vil integrere en rapport med tokenbaseret identitet, skal du generere et integreringstoken, der indeholder tokenets basisidentitet for den ønskede ISV-bruger. Se følgende eksempler for at oprette integreringstokens til forskellige scenarier.

Power BI-rapport med SSO

{
  "datasets": [
    {
      "id": "66ba5010-xxxx-xxxx-xxxx-f2bf0125abeb",
    }
  ],
  "reports": [
    {
      "allowEdit": false,
      "id": "9e6da541-xxxx-xxxx-xxxx-7d9442827cce"
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": "YourServerName.database.windows.net",
            "database": "YourDataBaseName"
          }
        }
      ]
    }
  ]
}

Sideinddelt rapport med SSO

{
  "reports": [
    {
      "allowEdit": false,
      "id": "2b0a27c7-xxxx-xxxx-xxxx-4d2036b42f90"
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": "YourServerName.database.windows.net",
            "database": "YourDataBaseName"
          }
        }
      ]
    }
  ]
}

Power BI-rapport med SSO og sikkerhed på rækkeniveau på den semantiske model

{
  "datasets": [
    {
      "id": "fff1a505-xxxx-xxxx-xxxx-e69f81e5b974",
    }
  ],
  "reports": [
    {
      "allowEdit": false,
      "id": "10ce71df-xxxx-xxxx-xxxx-814a916b700d"
    }
  ],
  "identities": [
    {
      "username": "YourUsername",
      "datasets": [
        "fff1a505-xxxx-xxxx-xxxx-e69f81e5b974"
      ],
      "roles": [
        "YourRole"
      ]
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": "YourServerName.database.windows.net",
            "database": "YourDataBaseName"
          }
        }
      ]
    }
  ]
}

Sideinddelt rapport, der er forbundet til en semantisk Power BI-model med sikkerhed på rækkeniveau, og SSO-datakilde, der er forbundet med DirectQuery til et andet Power BI-datasæt

{
  "datasets": [
    {
      "id": "35a4a948-xxxx-xxxx-xxxx-2e6ad7a02dc7",
      "xmlaPermissions": "ReadOnly"
    },
    {
      "id": "064ef46d-xxxx-xxxx-xxxx-fd6dda7a467b",
      "xmlaPermissions": "ReadOnly"
    }
  ],
  "reports": [
    {
      "allowEdit": false,
      "id": "9e81ebf7-xxxx-xxxx-xxxx-5a6294b43d55"
    }
  ],
  "identities": [
    {
      "username": "YourUsename",
      "datasets": [
        "35a4a948-xxxx-xxxx-xxxx-2e6ad7a02dc7"
      ],
      "roles": [
        "YourRole"
      ]
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": " YourServerName.database.windows.net",
            "database": " YourDatabaseName "
          }
        }
      ]
    }
  ]
}

I følgende eksempel vises en integreret Power BI-rapport med SSO og RLS anvendt på datasættet: