Del via


Integrer en rapport med tokenbaseret identitet (SSO)

GÆLDER FOR: Appen ejer data Brugeren ejer data

Den tokenbaserede identitet gør det muligt for en ISV at bruge et Microsoft Entra-adgangstoken til at overføre en kundes identitet til en Azure SQL-database , der administreres i kundens lejer.

ISV-kunder, der opbevarer og administrerer deres data i Azure SQL Database , kan beskytte deres data i deres lejer, når de integrerer med Power BI Embedded i ISV-appen.

Når du genererer integreringstokenet, skal du angive brugerens identitet i Azure SQL ved at overføre den pågældende brugers Microsoft Entra-adgangstoken til Azure SQL-serveren. Adgangstokenet bruges derefter til kun at hente de relevante data for den pågældende bruger fra Azure SQL for den pågældende session.

Skematisk tegning, der viser ISV'en, der sender den effektive identitet til SQL-lejeren, og kunden sender et integreringstoken tilbage.

Konfigurer tokenbaseret identitet

Den tokenbaserede identitet fungerer kun for DirectQuery-modeller på en kapacitet, der er forbundet til en Azure SQL Database, der er konfigureret til at tillade Microsoft Entra-godkendelse. Datakilden for den semantiske model skal være konfigureret til at bruge slutbrugernes OAuth2-legitimationsoplysninger for at bruge en tokenbaseret identitet. Få mere at vide om Microsoft Entra-godkendelse til Azure SQL Database.

  1. På Power BI-portalen skal du vælge Semantisk model > Flere indstillinger (tre prikker) > Indstillinger > Legitimationsoplysninger > for datakilde Rediger legitimationsoplysninger.

    Skærmbillede af indstillingen indstillinger for datasæt i Power BI-portalen.

  2. Markér afkrydsningsfeltet OAuth2 .

    Skærmbillede af konfigurer Azure SQL Server.

Opret et identitetstoken

Hvis du vil oprette et adgangstoken til Azure SQL, skal appen have Adgang til Azure SQL DB og Data Warehouse uddelegeret tilladelse til Azure SQL Database API på Microsoft Entra-appregistreringskonfigurationen i Azure-portal.

Skærmbillede af konfigurationsindstillinger for microsoft Entra-appregistrering i Azure-portal. Godkend og hent et token for brugeren fra Azure AD v2-slutpunktet for følgende område: https://database.windows.net/.default

Se følgende MSAL-kodeeksempler for at få hjælp:

Generér integreringstoken

Hvis du vil integrere en rapport med tokenbaseret identitet, skal du generere et integreringstoken, der indeholder tokenets basisidentitet for den ønskede ISV-bruger. Se følgende eksempler for at oprette integreringstokens til forskellige scenarier.

{
  "datasets": [
    {
      "id": "66ba5010-xxxx-xxxx-xxxx-f2bf0125abeb",
    }
  ],
  "reports": [
    {
      "allowEdit": false,
      "id": "9e6da541-xxxx-xxxx-xxxx-7d9442827cce"
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": "YourServerName.database.windows.net",
            "database": "YourDataBaseName"
          }
        }
      ]
    }
  ]
}

I følgende eksempel vises en integreret Power BI-rapport med SSO og RLS anvendt på datasættet:

Skærmbillede af en integreret Power BI-rapport med SSO og sikkerhed på rækkeniveau anvendt på datasættet.