Del via

Konfigurer Power BI-rapportserver med Microsoft Entra-programproxy

  • Artikel

I denne artikel beskrives det, hvordan du bruger Microsoft Entra-programproxy til at oprette forbindelse til Power BI-rapportserver og SQL Server Reporting Services (SSRS) 2016 og nyere. Gennem denne integration kan brugere, der ikke er på virksomhedens netværk, få adgang til deres Power BI-rapportserver- og Reporting Services-rapporter fra deres klientbrowsere og være beskyttet af Microsoft Entra ID. Læs mere om fjernadgang til programmer i det lokale miljø via Microsoft Entra-programproxy.

Detaljer for miljø

Vi brugte disse værdier i det eksempel, vi oprettede.

  • Domæne: umacontoso.com
  • Power BI-rapportserver: PBIRSAZUREAPP.umacontoso.com
  • SQL Server-datakilde: SQLSERVERAZURE.umacontoso.com

Konfigurer Power BI-rapportserver

Når du har installeret Power BI-rapportserver (under forudsætning af en Azure VM), skal du konfigurere URL-adresserne til Power BI-rapportserver webtjeneste og webportal ved hjælp af følgende trin:

  1. Opret indgående og udgående regler for VM-firewallen for port 80 (port 443, hvis du har konfigureret HTTPS URL-adresser). Opret også indgående og udgående regler for Azure VM fra Azure-portal til TCP-protokollen – Port 80.

  2. Det DNS-navn, der er konfigureret for den virtuelle maskine i vores miljø, er pbirsazureapp.eastus.cloudapp.azure.com.

  3. Konfigurer Power BI-rapportserver URL-adresse til ekstern webtjeneste og webportal ved at vælge knappen Tilføj avanceret knappen >>Tilføj værtsheadernavn, og tilføj værtsnavnet (DNS-navn) som vist her.

    Konfigurationsstyring til rapportserver

  4. Vi udførte det forrige trin for både webtjeneste- og webportalsektionen og fik de URL-adresser, der er registreret på konfigurationsstyringen for rapportserveren:

    • https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer
    • https://pbirsazureapp.eastus.cloudapp.azure.com/Reports

  5. I Azure-portal kan vi se to IP-adresser til den virtuelle maskine i netværksafsnittet

    • Offentlig IP.
    • Privat IP.

    Den offentlige IP-adresse bruges til at få adgang uden for den virtuelle maskine.

  6. Derfor har vi tilføjet værtsfilposten på den virtuelle maskine (Power BI-rapportserver) for at inkludere den offentlige IP-adresse og værtsnavnet pbirsazureapp.eastus.cloudapp.azure.com.

  7. Bemærk, at når den virtuelle maskine genstartes, ændres den dynamiske IP-adresse muligvis, og du skal muligvis tilføje den rigtige IP-adresse igen i værtsfilen. Du kan undgå dette ved at angive den offentlige IP-adresse til statisk i Azure-portal.

  8. Url-adresserne til webtjenesten og webportalen skal være tilgængelige, når de ovenfor nævnte ændringer er foretaget.

  9. Når du har adgang til URL-adressen https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer på serveren, bliver vi bedt om at angive legitimationsoplysninger tre gange og får vist en tom skærm.

  10. Tilføj følgende post i registreringsdatabasen:

    HKEY\_LOCAL\_MACHINE \SYSTEM\CurrentControlset\Control \Lsa\ MSV1\_0 registreringsdatabasenøgle

  11. Tilføj en ny værdi BackConnectionHostNames, en værdi med flere strenge, og angiv værtsnavnet pbirsazureapp.eastus.cloudapp.azure.com.

Derefter kan vi også få adgang til URL-adresserne på serveren.

Konfigurer Power BI-rapportserver til at arbejde med Kerberos

1. Konfigurer godkendelsestypen

Vi skal konfigurere godkendelsestypen for rapportserveren for at tillade begrænset Kerberos-delegering. Denne konfiguration udføres i filen rsreportserver.config .

Find afsnittet Authentication/AuthenticationTypes i filen rsreportserver.config.

Vi vil sikre os, at RSWindowsNegotiate er angivet og er først på listen over godkendelsestyper. Det skal ligne følgende.

<AuthenticationTypes>

    <RSWindowsNegotiate/>

</AuthenticationTypes>

Hvis du skal ændre konfigurationsfilen, skal du stoppe og genstarte rapportservertjenesten fra Report Server Configuration Manager for at sikre, at ændringerne træder i kraft.

2. Registrer tjenesteprincipalnavne (SPN'er)

Åbn kommandoprompten som administrator, og udfør følgende trin.

Registrer følgende SPN'er under kontoen Power BI-rapportserver tjenestekonto ved hjælp af følgende kommandoer

setspn -s http/ Netbios name\_of\_Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

setspn -s http/ FQDN\_of Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

Registrer følgende SPN'er under SQL Server-tjenestekontoen ved hjælp af følgende kommandoer (for en standardforekomst af SQL Server):

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server: 1433 (PortNumber) <SQL service service account>

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server<SQL service service account>

3. Konfigurer delegeringsindstillinger

Vi skal konfigurere delegeringsindstillingerne på rapportservertjenestekontoen.

  1. Åbn Active Directory-brugere og -computere.

  2. Åbn egenskaberne for rapportservertjenestekontoen i Active Directory-brugere og -computere.

  3. Vi vil konfigurere begrænset delegering med protokoltransitering. Med begrænset delegering skal vi være eksplicitte om, hvilke tjenester vi vil delegere til.

  4. Højreklik på kontoen til rapportservertjenesten, og vælg Egenskaber.

  5. Vælg fanen Delegering .

  6. Vælg Hav kun tillid til denne bruger til delegering til angivne tjenester.

  7. Vælg Brug en godkendelsesprotokol.

  8. Under Tjenester , som denne konto kan præsentere delegerede legitimationsoplysninger til: Vælg Tilføj.

  9. Vælg Brugere eller computere i den nye dialogboks.

  10. Angiv tjenestekontoen for SQL Server-tjenesten, og vælg OK.

    Det begynder med MSSQLSVC.

  11. Tilføj SPN'erne.

  12. Vælg OK. Du bør kunne se SPN'et på listen nu.

Disse trin hjælper med at konfigurere Power BI-rapportserver til at arbejde med Kerberos-godkendelsesmekanismen og få testforbindelsen til datakilden til at fungere på din lokale computer.

Konfigurer Proxyconnector til Microsoft Entra-program

Se artiklen for at få oplysninger om konfiguration, der er relateret til programproxyconnectoren

Vi har installeret programproxyconnectoren på Power BI-rapportserver, men du kan konfigurere den på en separat server og sikre, at delegering er konfigureret korrekt.

Kontrollér, at der er tillid til connectoren til delegering

Kontrollér, at der er tillid til connectoren for delegering til det SPN, der er føjet til rapportserverens programgruppekonto.

Konfigurer Kerberos-begrænset delegering (KCD), så Microsoft Entra-programproxytjenesten kan delegere brugeridentiteter til rapportserverens programgruppekonto. Konfigurer KCD ved at aktivere programproxyconnectoren til at hente Kerberos-billetter til de brugere, der er godkendt i Microsoft Entra ID. Derefter overfører serveren konteksten til destinationsprogrammet eller Power BI-rapportserver i dette tilfælde.

Hvis du vil konfigurere KCD, skal du gentage følgende trin for hver forbindelsesmaskine.

  1. Log på en domænecontroller som domæneadministrator, og åbn derefter Active Directory-brugere og -computere.
  2. Find den computer, som connectoren kører på.
  3. Dobbeltklik på computeren, og vælg derefter fanen Delegering .
  4. Angiv delegeringsindstillingerne til Hav kun tillid til denne computer for delegering til de angivne tjenester. Vælg derefter Brug en godkendelsesprotokol.
  5. Vælg Tilføj, og vælg derefter Brugere eller Computere.
  6. Angiv den tjenestekonto, du bruger til Power BI-rapportserver. Denne konto er den konto, du har føjet SPN'et til i konfigurationen af rapportserveren.
  7. Klik på OK.
  8. Klik på OK igen for at gemme ændringerne.

Publicer via Microsoft Entra-programproxy

Nu er du klar til at konfigurere Microsoft Entra-programproxy.

Publicer Power BI-rapportserver via programproxy med følgende indstillinger. Hvis du vil have en trinvis vejledning i, hvordan du publicerer et program via programproxy, skal du se Føj en app i det lokale miljø til Microsoft Entra ID.

  • Intern URL-adresse : Angiv URL-adressen til den rapportserver, som connectoren kan oprette forbindelse til i virksomhedens netværk. Kontrollér, at denne URL-adresse er tilgængelig fra den server, som connectoren er installeret på. En bedste praksis er at bruge et domæne på øverste niveau, f.eks. for at undgå problemer med understier, der https://servername/ publiceres via programproxy. Brug f.eks. https://servername/ og ikke https://servername/reports/ eller https://servername/reportserver/. Vi har konfigureret vores miljø med https://pbirsazureapp.eastus.cloudapp.azure.com/.

    Bemærk

    Vi anbefaler, at du bruger en sikker HTTPS-forbindelse til rapportserveren. Se Konfigurer SSL-forbindelser på en rapportserver i oprindelig tilstand for at få oplysninger om, hvordan du gør.

  • Ekstern URL-adresse : Angiv den offentlige URL-adresse, som Power BI-mobilappen opretter forbindelse til. Det kan f.eks. se ud https://reports.contoso.com , hvis der bruges et brugerdefineret domæne. Hvis du vil bruge et brugerdefineret domæne, skal du overføre et certifikat til domænet og pege en DNS-post på standarddomænet msappproxy.net for dit program. Du kan finde detaljerede trin under Arbejde med brugerdefinerede domæner i Microsoft Entra-programproxy.

Vi har konfigureret den eksterne URL-adresse til at være https://pbirsazureapp-umacontoso2410.msappproxy.net/ for vores miljø.

  • Prægodkendelsesmetode: Microsoft Entra ID.
  • Connectorgruppe: Standard.

Standardforbindelsesgruppe

Vi har ikke foretaget nogen ændringer i afsnittet Yderligere indstillinger . Den er konfigureret til at fungere sammen med standardindstillingerne.

Vigtigt

Når du konfigurerer programproxyen, skal du være opmærksom på , at egenskaben Timeout for backendprogram er angivet til Standard (85 sekunder). Hvis du har rapporter, der tager længere tid end 85 sekunder at udføre, skal du angive denne egenskab til Lang (180 sekunder), hvilket er den højest mulige timeoutværdi. Når den er konfigureret til Long, skal alle rapporter fuldføres inden for 180 sekunder, eller de får timeout og resulterer i en fejl.

Yderligere indstillinger

Konfigurer enkeltlogon

Når din app er publiceret, skal du konfigurere indstillingerne for enkeltlogon ved hjælp af følgende trin:

  1. På programsiden på portalen skal du vælge Enkeltlogon.

  2. Som Single Sign-on-tilstand skal du vælge Integreret Windows-godkendelse.

  3. Angiv SPN for internt program til den værdi, du har angivet tidligere. Du kan identificere denne værdi ved hjælp af følgende trin:

    • Prøv at køre en rapport, eller udfør en testforbindelse til datakilden, så der oprettes en Kerberos-billet.
    • Når rapporten/testforbindelsen er udført, skal du åbne kommandoprompten og køre kommandoen: klist. I resultatafsnittet kan du se en billet med http/ SPN. Hvis det er det samme som det SPN, du har konfigureret med Power BI-rapportserver, skal du bruge dette SPN i dette afsnit.

  4. Vælg den delegerede logonidentitet for den connector, der skal bruges på vegne af dine brugere. Du kan få flere oplysninger under Arbejde med forskellige identiteter i det lokale miljø og cloudmiljøet.

    Vi anbefaler, at du bruger brugerens hovednavn. I vores eksempel konfigurerede vi det til at arbejde med indstillingen Brugerens hovednavn :

    Konfigurer integreret Windows-godkendelse

  5. Klik på Gem for at gemme ændringerne.

Afslut konfigurationen af dit program

Hvis du vil fuldføre konfigurationen af dit program, skal du gå til afsnittet Brugere og grupper og tildele brugere adgang til dette program.

  1. Konfigurer afsnittet Godkendelse i Appregistrering for Power BI-rapportserver-programmet på følgende måde for OMdirigerings-URL-adresser og avancerede indstillinger:

    • Opret en ny URL-adresse til omdirigering, og konfigurer den med URI'en Type = Web og Redirect = https://pbirsazureapp-umacontoso2410.msappproxy.net/
    • I afsnittet Avancerede indstillinger skal du konfigurere URL-adressen til logout tilhttps://pbirsazureapp-umacontoso2410.msappproxy.net/?Appproxy=logout

    Skærmbillede, der viser ruden P BI R S-godkendelse med OmdirigeringS-R'er og Avancerede indstillinger.

  2. Fortsæt med at konfigurere afsnittet Godkendelse i Appregistrering for Power BI-rapportserver-programmet på følgende måde for implicit tildeling, standardklienttype og understøttede kontotyper:

    • Angiv Implicit tildeling til id-tokens.
    • Angiv Standardklienttype til Nej.
    • Angiv understøttede kontotyper til Kun konti i denne organisationsmappe (kun UmaContoso – enkelt lejer).

    Skærmbillede, der viser ruden P BI R S-godkendelse med de indstillinger, der er beskrevet.

  3. Når single sign-on er konfigureret, og URL-adressen https://pbirsazureapp-umacontoso2410.msappproxy.net fungerer, skal vi sørge for, at den konto, vi logger på med, synkroniseres med den konto, som tilladelserne er angivet til i Power BI-rapportserver.

  4. Vi skal først konfigurere det brugerdefinerede domæne, som vi planlægger at bruge i logon, og derefter kontrollere, at det er bekræftet

  5. I dette tilfælde har vi købt et domæne med navnet umacontoso.com og konfigureret DNS-zonen med posterne. Du kan også prøve at bruge onmicrosoft.com domænet og synkronisere det med AD i det lokale miljø.

    Se artiklen Selvstudium: Knyt et eksisterende brugerdefineret DNS-navn til Azure App Service for at få reference.

  6. Når DNS-posten for det brugerdefinerede domæne er bekræftet, bør du kunne se status som Bekræftet , der svarer til domænet fra portalen.

    Domænenavne

  7. Installér Microsoft Entra Connect på domænecontrollerserveren, og konfigurer den til at synkronisere med Microsoft Entra ID.

    Opret forbindelse til mapper

  8. Når Microsoft Entra-id'et er synkroniseret med AD i det lokale miljø, får vi vist følgende status fra Azure-portal:

    Azure-portal status

  9. Når synkroniseringen er fuldført, skal du også åbne AD-domæner og -tillidsforhold på domænecontrolleren. Højreklik på Active Directory-domæner og egenskaber for tillidsforhold, > og tilføj UPN'et. I vores miljø er det brugerdefinerede domæne, umacontoso.com vi har købt.

  10. Når du har tilføjet UPN'et, skal du kunne konfigurere brugerkontiene med UPN'et, så Microsoft Entra-kontoen og AD-kontoen i det lokale miljø er tilsluttet, og tokenet genkendes under godkendelse.

    AD-domænenavnet vises på rullelisten i afsnittet Brugerlogonnavn , når du har gjort det forrige trin. Konfigurer brugernavnet, og vælg domænet på rullelisten i afsnittet Brugerlogonnavn i AD-brugeregenskaberne.

    Active Directory-egenskaber

  11. Når AD-synkroniseringen er fuldført, kan du se, at AD-kontoen i det lokale miljø vises i Azure-portal under afsnittet Brugere og grupper i programmet. Kilden til kontoen er Windows Server AD.

  12. Hvis du logger på med umasm@umacontoso.com , svarer det til at bruge Windows-legitimationsoplysningerne Umacontoso\umasm.

    Disse forrige trin er gældende, hvis du har konfigureret AD i det lokale miljø og planlægger at synkronisere det med Microsoft Entra-id.

    Vellykket logon efter implementering af ovenstående trin:

    Logonskærmbillede

    Efterfulgt af visningen af webportalen:

    Power BI-rapportserver portal

    Med en vellykket testforbindelse til datakilden ved hjælp af Kerberos som godkendelse:

    der er oprettet forbindelse til Power BI-rapportserver portal

Adgang fra Power BI-mobilapps

Konfigurer programregistreringen

Før Power BI-mobilappen kan oprette forbindelse og få adgang til Power BI-rapportserver, skal du konfigurere den programregistrering, der blev oprettet automatisk for dig i Publicer via Microsoft Entra-programproxy tidligere i denne artikel.

Bemærk

Hvis du bruger politikker for betinget adgang, der kræver, at Power BI-mobilappen er en godkendt klientapp, kan du ikke bruge Microsoft Entra-programproxyen til at oprette forbindelse mellem Power BI-mobilappen og Power BI-rapportserver.

  1. På siden Oversigt over Microsoft Entra ID skal du vælge Appregistreringer.

  2. Søg efter det program, du har oprettet til Power BI-rapportserver, under fanen Alle programmer.

  3. Vælg programmet, og vælg derefter Godkendelse.

  4. Tilføj følgende omdirigerings-URI'er baseret på, hvilken platform du bruger.

    Når du konfigurerer appen til Power BI – Mobil iOS, skal du tilføje følgende omdirigerings-URI'er af typen Offentlig klient (Mobil og Desktop):

    • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
    • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
    • mspbi-adal://com.microsoft.powerbimobile
    • mspbi-adalms://com.microsoft.powerbimobilems

    Når du konfigurerer appen til Power BI – Mobil Android, skal du tilføje følgende omdirigerings-URI'er af typen Offentlig klient (Mobil og Desktop):

    • urn:ietf:wg:oauth:2.0:oob
    • mspbi-adal://com.microsoft.powerbimobile
    • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
    • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

    Når du konfigurerer appen til både Power BI – Mobil iOS og Android, skal du føje følgende omdirigerings-URI af typen Offentlig klient (Mobil og Desktop) til listen over omdirigerings-URI'er, der er konfigureret til iOS:

    • urn:ietf:wg:oauth:2.0:oob

    Vigtigt

    Omdirigerings-URI'erne skal tilføjes, for at programmet fungerer korrekt.

Opret forbindelse fra Power BI-mobilappsene

  1. Opret forbindelse til din rapportserverforekomst i Power BI-mobilappen. Hvis du vil oprette forbindelse, skal du angive den eksterne URL-adresse for det program, du publicerede via Programproxy.
  2. Vælg Opret forbindelse. Du bliver dirigeret til logonsiden til Microsoft Entra.
  3. Angiv gyldige legitimationsoplysninger for din bruger, og vælg Log på. Du kan se elementerne fra rapportserveren.

Relateret indhold

Har du flere spørgsmål? Prøv at spørge Power BI-community'et