Konfigurer Power BI-rapportserver med Microsoft Entra-programproxy

I denne artikel beskrives det, hvordan du bruger Microsoft Entra-programproxy til at oprette forbindelse til Power BI-rapportserver og SQL Server Reporting Services (SSRS) 2016 og nyere. Gennem denne integration kan brugere, der ikke er på virksomhedens netværk, få adgang til deres Power BI-rapportserver- og Reporting Services-rapporter fra deres klientbrowsere og være beskyttet af Microsoft Entra ID. Læs mere om fjernadgang til programmer i det lokale miljø via Microsoft Entra-programproxy.

Detaljer for miljø

Vi brugte disse værdier i det eksempel, vi oprettede.

• Domæne: umacontoso.com
• Power BI-rapportserver: PBIRSAZUREAPP.umacontoso.com
• SQL Server-datakilde: SQLSERVERAZURE.umacontoso.com

Konfigurer Power BI-rapportserver

Når du har installeret Power BI-rapportserver (under forudsætning af en Azure VM), skal du konfigurere URL-adresserne til Power BI-rapportserver webtjeneste og webportal ved hjælp af følgende trin:

1. Opret indgående og udgående regler for VM-firewallen for port 80 (port 443, hvis du har konfigureret HTTPS URL-adresser). Opret også indgående og udgående regler for Azure VM fra Azure-portal til TCP-protokollen – Port 80.

2. Det DNS-navn, der er konfigureret for den virtuelle maskine i vores miljø, er pbirsazureapp.eastus.cloudapp.azure.com.

3. Konfigurer Power BI-rapportserver URL-adresse til ekstern webtjeneste og webportal ved at vælge knappen Tilføj avanceret knappen >, og tilføj værtsnavnet (DNS-navn) som vist her.

   

4. Vi udførte det forrige trin for både webtjeneste- og webportalsektionen og fik de URL-adresser, der er registreret på konfigurationsstyringen for rapportserveren:

   • https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer
   • https://pbirsazureapp.eastus.cloudapp.azure.com/Reports

5. I Azure-portal kan vi se to IP-adresser til den virtuelle maskine i netværksafsnittet

   • Offentlig IP.
   • Privat IP. Den offentlige IP-adresse bruges til at få adgang uden for den virtuelle maskine.

6. Derfor har vi tilføjet værtsfilposten på den virtuelle maskine (Power BI-rapportserver) for at inkludere den offentlige IP-adresse og værtsnavnet pbirsazureapp.eastus.cloudapp.azure.com.

7. Når du genstarter VM'en, kan den dynamiske IP-adresse ændre sig, og du skal måske tilføje den rigtige IP-adresse igen i værtsfilen. Du kan undgå dette ved at angive den offentlige IP-adresse til statisk i Azure-portal.

8. Url-adresserne til webtjenesten og webportalen skal være tilgængelige, når de ovenfor nævnte ændringer er foretaget.

9. Når du har adgang til URL-adressen https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer på serveren, bliver vi bedt om at angive legitimationsoplysninger tre gange og får vist en tom skærm.

10. Tilføj følgende post i registreringsdatabasen:

    HKEY\_LOCAL\_MACHINE \SYSTEM\CurrentControlset\Control \Lsa\ MSV1\_0 registreringsdatabasenøgle

11. Tilføj en ny værdi BackConnectionHostNames, en værdi med flere strenge, og angiv værtsnavnet pbirsazureapp.eastus.cloudapp.azure.com.

Derefter kan vi også få adgang til URL-adresserne på serveren.

Konfigurer Power BI-rapportserver til at arbejde med Kerberos

1. Konfigurer godkendelsestypen

Vi skal konfigurere godkendelsestypen for rapportserveren for at tillade begrænset Kerberos-delegering. Denne konfiguration udføres i filen rsreportserver.config .

Find afsnittet Authentication/AuthenticationTypes i filen rsreportserver.config.

Vi vil sikre os, at RSWindowsNegotiate er angivet og er først på listen over godkendelsestyper. Det skal ligne følgende.

<AuthenticationTypes>

    <RSWindowsNegotiate/>

</AuthenticationTypes>

Hvis du skal ændre konfigurationsfilen, skal du stoppe og genstarte rapportservertjenesten fra Report Server Configuration Manager for at sikre, at ændringerne træder i kraft.

2. Registrer tjenesteprincipalnavne (SPN'er)

Åbn kommandoprompten som administrator, og udfør følgende trin.

Registrer følgende SPN'er under kontoen Power BI-rapportserver tjenestekonto ved hjælp af følgende kommandoer

setspn -s http/Netbios name\_of\_Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

setspn -s http/FQDN\_of Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

Sample:

setspn -s http/pbirs contoso\pbirssvcacc
setspn -s http/pbirs.contoso.com contoso\pbirssvcacc

Registrer følgende SPN'er under SQL Server-tjenestekontoen ved hjælp af følgende kommandoer (for en standardforekomst af SQL Server):

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server: 1433 (PortNumber) <SQL service service account>

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server<SQL service service account>

Sample:

setspn -s MSSQLSVC/sqlserver.contoso.com:1433 contoso\sqlsvcacc
setspn -s MSSQLSVC/sqlserver.contoso.com contoso\sqlsvcacc

3. Konfigurer delegeringsindstillinger

Vi skal konfigurere delegeringsindstillingerne på rapportservertjenestekontoen.

1. Åbn Active Directory-brugere og -computere.

2. Åbn egenskaberne for rapportservertjenestekontoen i Active Directory-brugere og -computere.

3. Vi vil konfigurere begrænset delegering med protokoltransitering. Med begrænset delegering skal vi være eksplicitte om, hvilke tjenester vi vil delegere til.

4. Højreklik på rapportserver-servicekontoen og vælg Egenskaber.

5. Vælg fanen Delegering .

6. Vælg Hav kun tillid til denne bruger til delegering til angivne tjenester.

7. Vælg Brug en godkendelsesprotokol.

8. Under Tjenester , som denne konto kan præsentere delegerede legitimationsoplysninger til: Vælg Tilføj.

9. Vælg Brugere eller computere i den nye dialogboks.

10. Angiv tjenestekontoen for SQL Server-tjenesten, og vælg OK.

    Det begynder med MSSQLSVC.

11. Tilføj SPN'erne.

12. Vælg OK. Du bør kunne se SPN'et på listen nu.

Disse trin hjælper med at konfigurere Power BI-rapportserver til at arbejde med Kerberos-godkendelsesmekanismen og få testforbindelsen til datakilden til at fungere på din lokale computer.

Konfigurer Proxyconnector til Microsoft Entra-program

Se artiklen for at få oplysninger om konfiguration, der er relateret til programproxyconnectoren

Vi har installeret programproxyconnectoren på Power BI-rapportserver, men du kan konfigurere den på en separat server og sikre, at delegering er konfigureret korrekt.

Kontrollér, at der er tillid til connectoren til delegering

Kontrollér, at der er tillid til connectoren for delegering til det SPN, der er føjet til rapportserverens programgruppekonto.

Konfigurer Kerberos-begrænset delegering (KCD), så Microsoft Entra-programproxytjenesten kan delegere brugeridentiteter til rapportserverens programgruppekonto. Konfigurér KCD ved at aktivere applikationsproxy-connectoren til at hente Kerberos-billetter for dine brugere, der er autentificeret i Microsoft Entra ID. Derefter overfører serveren konteksten til destinationsprogrammet eller Power BI-rapportserver i dette tilfælde.

Hvis du vil konfigurere KCD, skal du gentage følgende trin for hver forbindelsesmaskine.

1. Log på en domænecontroller som domæneadministrator, og åbn derefter Active Directory-brugere og -computere.
2. Find den computer, som connectoren kører på.
3. Dobbeltklik på computeren, og vælg derefter fanen Delegering .
4. Angiv delegeringsindstillingerne til Hav kun tillid til denne computer for delegering til de angivne tjenester. Vælg derefter Brug en godkendelsesprotokol.
5. Vælg Tilføj, og vælg derefter Brugere eller Computere.
6. Angiv den tjenestekonto, du bruger til Power BI-rapportserver. Denne konto er den konto, du har føjet SPN'et til i konfigurationen af rapportserveren.
7. Vælg OK.
8. For at gemme ændringerne, vælg OK igen.

Publicer via Microsoft Entra-programproxy

Nu er du klar til at konfigurere Microsoft Entra-programproxy.

Publicer Power BI-rapportserver via programproxy med følgende indstillinger. Hvis du vil have en trinvis vejledning i, hvordan du publicerer et program via programproxy, skal du se Føj en app i det lokale miljø til Microsoft Entra ID.

• Intern URL-adresse : Angiv URL-adressen til den rapportserver, som connectoren kan oprette forbindelse til i virksomhedens netværk. Kontrollér, at denne URL-adresse er tilgængelig fra den server, som connectoren er installeret på. En bedste praksis er at bruge et domæne på øverste niveau, f.eks. for at undgå problemer med understier, der https://servername/ publiceres via programproxy. Brug f.eks. https://servername/ og ikke https://servername/reports/ eller https://servername/reportserver/. Vi konfigurerede vores miljø med https://pbirsazureapp.eastus.cloudapp.azure.com/.

  Note

  Vi anbefaler, at du bruger en sikker HTTPS-forbindelse til rapportserveren. Se Konfigurer SSL-forbindelser på en rapportserver i oprindelig tilstand for at få oplysninger om, hvordan du gør.

• Ekstern URL : Indtast den offentlige URL, som Power BI-mobilappen forbinder til. For eksempel kan det se ud som https://reports.contoso.com om, hvis et brugerdefineret domæne bruges. Hvis du vil bruge et brugerdefineret domæne, skal du overføre et certifikat til domænet og pege en DNS-post på standarddomænet msappproxy.net for dit program. Du kan finde detaljerede trin under Arbejde med brugerdefinerede domæner i Microsoft Entra-programproxy.

Vi konfigurerede den eksterne URL til at passe https://pbirsazureapp-umacontoso2410.msappproxy.net/ til vores miljø.

• Prægodkendelsesmetode: Microsoft Entra ID.
• Connectorgruppe: Standard.

Vi lavede ingen ændringer i sektionen Yderligere Indstillinger . Den er konfigureret til at fungere sammen med standardindstillingerne.

Important

Når applikationsproxyen konfigureres, sættes Backend Application Timeout-egenskaben til Default (85 sekunder). Hvis du har rapporter, der tager længere tid end 85 sekunder at udføre, skal du angive denne egenskab til Lang (180 sekunder), hvilket er den højest mulige timeoutværdi. Når de er konfigureret til Long, skal alle rapporter være færdige inden for 180 sekunder, ellers går de i timeout og resulterer i en fejl.

Konfigurer enkeltlogon

Når din app er publiceret, skal du konfigurere indstillingerne for enkeltlogon ved hjælp af følgende trin:

1. På programsiden på portalen skal du vælge Enkeltlogon.

2. Som Single Sign-on-tilstand skal du vælge Integreret Windows-godkendelse.

3. Angiv SPN for internt program til den værdi, du har angivet tidligere. Du kan identificere denne værdi ved hjælp af følgende trin:

   • Prøv at køre en rapport, eller udfør en testforbindelse til datakilden, så der oprettes en Kerberos-billet.
   • Når rapporten/testforbindelsen er udført, skal du åbne kommandoprompten og køre kommandoen: klist. I resultatafsnittet kan du se en billet med http/ SPN. Hvis det er det samme som det SPN, du konfigurerede med Power BI Report Server, så brug det SPN i dette afsnit.

4. Vælg den delegerede logonidentitet for den connector, der skal bruges på vegne af dine brugere. Du kan få flere oplysninger under Arbejde med forskellige identiteter i det lokale miljø og cloudmiljøet.

   Vi anbefaler, at du bruger brugerens hovednavn. I vores eksempel konfigurerede vi det til at arbejde med indstillingen Brugerens hovednavn :

   

5. Vælg Gem for at gemme ændringerne.

Afslut konfigurationen af dit program

Hvis du vil fuldføre konfigurationen af dit program, skal du gå til afsnittet Brugere og grupper og tildele brugere adgang til dette program.

1. Konfigurer afsnittet Godkendelse i Appregistrering for Power BI-rapportserver-programmet på følgende måde for OMdirigerings-URL-adresser og avancerede indstillinger:

   • Opret en ny URL-adresse til omdirigering, og konfigurer den med URI'en Type = Web og Redirect = https://pbirsazureapp-umacontoso2410.msappproxy.net/
   • I afsnittet Avancerede indstillinger skal du konfigurere URL-adressen til logout tilhttps://pbirsazureapp-umacontoso2410.msappproxy.net/?Appproxy=logout

   

2. Fortsæt med at konfigurere afsnittet Godkendelse i Appregistrering for Power BI-rapportserver-programmet på følgende måde for implicit tildeling, standardklienttype og understøttede kontotyper:

   • Angiv Implicit tildeling til id-tokens.
   • Angiv Standardklienttype til Nej.
   • Angiv understøttede kontotyper til Kun konti i denne organisationsmappe (kun UmaContoso – enkelt lejer).

   

   Warning

   Microsoft anbefaler, at du ikke bruger den implicitte tilskudsstrøm. I de fleste scenarier er der mere sikre alternativer tilgængelige og anbefales. Visse konfigurationer af denne strømning kræver en høj grad af tillid til applikationen og indebærer risici, som ikke findes i andre strømme. Du bør kun bruge dette flow, når andre mere sikre flow ikke er levedygtige. Du kan finde flere oplysninger under sikkerhedsproblemerne med implicit tildelingsflow.

3. Når single sign-on er sat op, og URL'en https://pbirsazureapp-umacontoso2410.msappproxy.net virker, skal vi sikre os, at den konto, vi logger ind med, er synkroniseret med den konto, som rettighederne gives til i Power BI Report Server.

4. Vi skal først konfigurere det brugerdefinerede domæne, vi planlægger at bruge ved login, og derefter sikre, at det er verificeret

5. I dette tilfælde har vi købt et domæne med navnet umacontoso.com og konfigureret DNS-zonen med posterne. Du kan også prøve at bruge onmicrosoft.com domænet og synkronisere det med AD i det lokale miljø.

   Se artiklen Selvstudium: Knyt et eksisterende brugerdefineret DNS-navn til Azure App Service for at få reference.

6. Når DNS-posten for det brugerdefinerede domæne er bekræftet, bør du kunne se status som Bekræftet , der svarer til domænet fra portalen.

   

7. Installér Microsoft Entra Connect på domænecontrollerserveren, og konfigurer den til at synkronisere med Microsoft Entra ID.

   

8. Når Microsoft Entra ID synkroniserer med on-premises AD, ser vi følgende status fra Azure-portalen:

   

9. Når synkroniseringen er fuldført, skal du også åbne AD-domæner og -tillidsforhold på domænecontrolleren. Højreklik på Active Directory-domæner og egenskaber for tillidsforhold, > og tilføj UPN'et. I vores miljø er det brugerdefinerede domæne, umacontoso.com vi har købt.

10. Når du har tilføjet UPN'et, skal du kunne konfigurere brugerkontiene med UPN'et, så Microsoft Entra-kontoen og AD-kontoen i det lokale miljø er tilsluttet, og tokenet genkendes under godkendelse.

    AD-domænenavnet vises på rullelisten i afsnittet Brugerlogonnavn , når du har gjort det forrige trin. Konfigurer brugernavnet, og vælg domænet på rullelisten i afsnittet Brugerlogonnavn i AD-brugeregenskaberne.

    

11. Når AD-synkroniseringen er fuldført, kan du se, at AD-kontoen i det lokale miljø vises i Azure-portal under afsnittet Brugere og grupper i programmet. Kilden til kontoen er Windows Server AD.

12. At logge ind med umasm@umacontoso.com svarer til at bruge Windows-legitimationsoplysninger Umacontoso\umasm.

    Disse forrige trin er gældende, hvis du har konfigureret AD i det lokale miljø og planlægger at synkronisere det med Microsoft Entra-id.

    Vellykket logon efter implementering af ovenstående trin:

    

    Efterfulgt af visningen af webportalen:

    

    Med en vellykket testforbindelse til datakilden ved hjælp af Kerberos som godkendelse:

    

Adgang fra Power BI-mobilapps

Konfigurer programregistreringen

Før Power BI-mobilappen kan oprette forbindelse og få adgang til Power BI-rapportserver, skal du konfigurere den programregistrering, der blev oprettet automatisk for dig i Publicer via Microsoft Entra-programproxy tidligere i denne artikel.

Note

Hvis du bruger politikker for betinget adgang, der kræver, at Power BI-mobilappen er en godkendt klientapp, kan du ikke bruge Microsoft Entra-programproxyen til at oprette forbindelse mellem Power BI-mobilappen og Power BI-rapportserver.

1. På siden Oversigt over Microsoft Entra ID skal du vælge Appregistreringer.

2. Søg efter det program, du har oprettet til Power BI-rapportserver, under fanen Alle programmer.

3. Vælg programmet, og vælg derefter Godkendelse.

4. Tilføj følgende Redirect-URI'er baseret på, hvilken platform du bruger.

   Når du konfigurerer appen til Power BI – Mobil iOS, skal du tilføje følgende omdirigerings-URI'er af typen Offentlig klient (Mobil og Desktop):

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Når du konfigurerer appen til Power BI – Mobil Android, skal du tilføje følgende omdirigerings-URI'er af typen Offentlig klient (Mobil og Desktop):

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Når du konfigurerer appen til både Power BI – Mobil iOS og Android, skal du føje følgende omdirigerings-URI af typen Offentlig klient (Mobil og Desktop) til listen over omdirigerings-URI'er, der er konfigureret til iOS:

   • urn:ietf:wg:oauth:2.0:oob

   Important

   Omdirigerings-URI'erne skal tilføjes, for at programmet fungerer korrekt.

Opret forbindelse fra Power BI-mobilappsene

1. Opret forbindelse til din rapportserverforekomst i Power BI-mobilappen. Hvis du vil oprette forbindelse, skal du angive den eksterne URL-adresse for det program, du publicerede via Programproxy.
2. Vælg Opret forbindelse. Du bliver henvist til Microsoft Entra-loginsiden.
3. Angiv gyldige legitimationsoplysninger for din bruger, og vælg Log på. Du ser elementerne fra din rapportserver.

Relateret indhold

• Opret forbindelse til rapportserver og SSRS fra Power BI-mobilprogrammer
• Aktivér fjernadgang til Power BI – Mobil med Microsoft Entra-programproxy

Har du flere spørgsmål? Prøv at spørge Power BI-community'et