Opret forbindelse til Power BI-rapportserver og SSRS fra Power BI-mobilapps

I denne artikel beskrives det, hvordan du konfigurerer dit miljø til at understøtte OAuth-godkendelse med Power BI-mobilappen for at oprette forbindelse til Power BI-rapportserver og SQL Server Reporting Services 2016 eller nyere.

Krav

Windows Server er påkrævet til WAP- (Web Programproxy) og AD FS-servere (Active Directory Federation Services). Du behøver ikke at have et Windows-domæne på funktionsniveau.

Hvis brugerne skal kunne føje en rapportserverforbindelse til deres Power BI-mobilapp, skal du give dem adgang til rapportserverens hjemmemappe.

Bemærk

Fra den 1. marts 2025 vil appen Power BI – Mobil ikke længere kunne oprette forbindelse til Rapportserver ved hjælp af OAuth-protokollen via AD FS, der er konfigureret på Windows Server 2016. Kunder, der bruger OAuth med AD FS konfigureret på Windows Server 2016 og WAP (Web Programproxy), skal opgradere deres AD FS-server til Windows Server 2019 eller nyere eller bruge Microsoft Entra-programproxy. Efter opgraderingen af Windows Server skal Power BI – Mobil appbrugere muligvis logge på Rapportserver igen.

Denne opgradering er nødvendiggjort af en ændring i det godkendelsesbibliotek, der bruges af mobilappen. Ændringen påvirker på ingen måde Microsofts support til AD FS på Windows Server 2016, men snarere kun muligheden for, at Power BI – Mobil app opretter forbindelse til den.

Konfiguration af DNS (Domain Name Services)

Den offentlige URL-adresse er den URL-adresse, som Power BI-mobilappen opretter forbindelse til. Det kan f.eks. se ud som følger.

https://reports.contoso.com

Din DNS-post for rapporter til den offentlige IP-adresse på WAP-serveren (Web Programproxy). Du skal også konfigurere en offentlig DNS-post for din AD FS-server. Du kan f.eks. have konfigureret AD FS-serveren med følgende URL-adresse.

https://fs.contoso.com

Din DNS-post for fs til den offentlige IP-adresse på WAP-serveren (Web Programproxy), da den udgives som en del af WAP-programmet.

Certifikater

Du skal konfigurere certifikater for både WAP-programmet og AD FS-serveren. Begge disse certifikater skal være en del af et gyldigt nøglecenter, som dine mobilenheder genkender.

Konfiguration af Reporting Services

Der er ikke meget at konfigurere på Reporting Services-siden. Du skal bare sørge for, at:

• Der er et gyldigt SPN (Service Principal Name) for at aktivere den korrekte Kerberos-godkendelse.
• Reporting Services-serveren er aktiveret til forhandling af godkendelse.
• Brugerne har adgang til rapportserverens hjemmemappe.

Tjenesteprincipalnavn (SPN)

SPN'et er et entydigt id for en tjeneste, der bruger Kerberos-godkendelse. Du skal sikre dig, at du har et korrekt HTTP-SPN til din rapportserver.

Du kan få oplysninger om, hvordan du konfigurerer det korrekte SPN (Service Principal Name) for din rapportserver, under Registrer et SPN (Service Principal Name) for en rapportserver.

Aktivering af aftal godkendelse

Hvis du vil gøre det muligt for en rapportserver at bruge Kerberos-godkendelse, skal du konfigurere godkendelsestypen for rapportserveren til at være RSWindowsNegotiate. Du gør det i filen rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Du kan få flere oplysninger under Rediger en Reporting Services-konfigurationsfil og Konfigurer Windows-godkendelse på en rapportserver.

Konfiguration af AD FS (Active Directory Federation Services)

Du skal konfigurere AD FS på en Windows-server i dit miljø. Konfigurationen kan udføres via Serverstyring og vælge Tilføj roller og funktioner under Administrer. Du kan få flere oplysninger under Active Directory Federation Services.

Vigtigt

Fra den 1. marts 2025 vil de Power BI – Mobil apps ikke længere kunne oprette forbindelse til Rapportserver via AD FS, der er konfigureret på Windows Server 2016. Se noten i starten af denne artikel.

Opret en programgruppe

På skærmen AD FS Management skal du oprette en programgruppe til Reporting Services, der indeholder oplysninger om de Power BI – Mobil apps.

Du kan oprette programgruppen ved hjælp af følgende trin.

1. Højreklik på Programgrupper i APPEN AD FS Management, og vælg Tilføj programgruppe...

   

2. Angiv et navn til programgruppen i guiden Tilføj programgruppe, og vælg Oprindeligt program, der har adgang til en web-API.

   

3. Vælg Næste.

4. Angiv et navn til det program, du tilføjer.

5. Selvom klient-id'et genereres automatisk for dig, skal du angive i 484d54fc-b481-4eee-9505-0258a1913020 for både iOS og Android.

6. Du vil tilføje følgende URL-adresser til omdirigering:

   Poster for Power BI – Mobil – iOS:
   msauth://code/mspbi-adal://com.microsoft.powerbimobile
   msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
   mspbi-adal://com.microsoft.powerbimobile
   mspbi-adalms://com.microsoft.powerbimobilems

   Android-apps skal kun bruge følgende trin:
   urn:ietf:wg:oauth:2.0:oob

   

7. Vælg Næste.

8. Angiv URL-adressen til rapportserveren. URL-adressen er den eksterne URL-adresse, der skal findes på webstedet Programproxy. Det skal være i følgende format.

   Bemærk

   Der er forskel på store og små bogstaver i denne URL-adresse!

   https://<report server url>/reports

   

9. Vælg Næste.

10. Vælg den adgangskontrolpolitik , der passer til organisationens behov.

    

11. Vælg Næste.

12. Vælg Næste.

13. Vælg Næste.

14. Vælg Luk.

Når du er færdig, kan du se, at egenskaberne for programgruppen ligner følgende.

Kør nu følgende PowerShell-kommando på AD FS-serveren for at sikre, at tokenopdatering understøttes.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Konfiguration af WAP (Web Programproxy)

Du vil aktivere Windows-rollen Web Programproxy (rolle) på en server i dit miljø. Den skal være på en Windows-server. Du kan få flere oplysninger under Web-Programproxy i Windows Server og udgivelsesprogrammer ved hjælp af AD FS-forhåndsgodkendelse.

Konfiguration af begrænset delegering

Hvis vi vil skifte fra OAuth-godkendelse til Windows-godkendelse, skal vi bruge begrænset delegering med protokolovergang. Dette er en del af Kerberos-konfigurationen. Vi har allerede defineret Reporting Services-SPN'et i Reporting Services-konfigurationen.

Vi skal konfigurere begrænset delegering på WAP Server-computerkontoen i Active Directory. Du skal muligvis samarbejde med en domæneadministrator, hvis du ikke har rettigheder til Active Directory.

Hvis du vil konfigurere begrænset delegering, skal du benytte følgende fremgangsmåde.

1. Start Active Directory-brugere og -computere på en computer, hvor Active Directory-værktøjerne er installeret.

2. Find computerkontoen til WAP-serveren. Som standard er den i computerobjektbeholderen.

3. Højreklik på WAP-serveren, og gå til Egenskaber.

4. Vælg fanen Delegering .

5. Vælg Hav kun tillid til denne computer til delegering til angivne tjenester, og brug derefter en hvilken som helst godkendelsesprotokol.

   

   Dette konfigurerer begrænset delegering for denne WAP Server-computerkonto. Vi skal derefter angive de tjenester, som denne computer har tilladelse til at delegere til.

6. Vælg Tilføj... under feltet Tjenester.

   

7. Vælg brugere eller computere...

8. Angiv den tjenestekonto, du bruger til Reporting Services. Denne konto er den konto, du har føjet SPN'et til i Reporting Services-konfigurationen.

9. Vælg SPN'et for Reporting Services, og vælg derefter OK.

   Bemærk

   Du kan kun se NetBIOS SPN. Den vælger faktisk både NetBIOS- og FQDN-SPN'er, hvis de begge findes.

   

10. Resultatet skal ligne følgende, når afkrydsningsfeltet Udvidet er markeret.

    

11. Vælg OK.

Tilføj WAP-program

Selvom du kan publicere programmer i Administrationskonsol til rapportadgang, skal vi oprette programmet via PowerShell. Her er kommandoen til at tilføje programmet.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication

Parameter	Kommentarer
ADFSRelyingPartyName	Det web-API-navn, du har oprettet som en del af programgruppen i AD FS.
ExternalCertificateThumbprint	Det certifikat, der skal bruges til eksterne brugere. Det er vigtigt, at certifikatet er gyldigt på mobilenheder og kommer fra et nøglecenter, der er tillid til.
BackendServerUrl	URL-adressen til rapportserveren fra WAP-serveren. Hvis WAP-serveren er i en DMZ, skal du muligvis bruge et fuldt kvalificeret domænenavn. Sørg for, at du kan trykke på denne URL-adresse fra webbrowseren på WAP-serveren.
BackendServerAuthenticationSPN	Det SPN, du oprettede som en del af Reporting Services-konfigurationen.

Angivelse af integreret godkendelse for WAP-programmet

Når du har tilføjet WAP-programmet, skal du angive BackendServerAuthenticationMode til at bruge IntegratedWindowsAuthentication. Du skal bruge id'et fra WAP-programmet for at kunne angive det.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Kør følgende kommando for at angive BackendServerAuthenticationMode ved hjælp af ID'et for WAP-programmet.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Oprettelse af forbindelse til Power BI – Mobil-appen

I Power BI-mobilappen vil du oprette forbindelse til din Reporting Services-forekomst. Det gør du ved at angive den eksterne URL-adresse til dit WAP-program .

Når du vælger Opret forbindelse, bliver du dirigeret til din AD FS-logonside. Angiv gyldige legitimationsoplysninger for dit domæne.

Når du har valgt Log på, kan du se elementerne fra reporting Services-serveren.

Multifaktorgodkendelse

Du kan aktivere multifaktorgodkendelse for at aktivere yderligere sikkerhed for dit miljø. Du kan få mere at vide under Konfigurer Microsoft Entra multifactor-godkendelse som godkendelsesprovider med AD FS.

Fejlfinding

Du får vist fejlmeddelelsen "Det lykkedes ikke at logge på SSRS-serveren"

Du kan konfigurere Fiddler til at fungere som proxy for dine mobilenheder for at se, hvor langt anmodningen er kommet. Hvis du vil aktivere en Fiddler-proxy for din telefonenhed, skal du konfigurere CertMaker til iOS og Android på den computer, der kører Fiddler. Tilføjelsesprogrammet er fra Telerik til Fiddler.

Hvis logon fungerer korrekt, når Du bruger Fiddler, kan du have et certifikatproblem med enten WAP-programmet eller AD FS-serveren.

Relateret indhold

• Registrer et tjenesteprincipalnavn (SPN) for en rapportserver
• Rediger en Reporting Services-konfigurationsfil
• Konfigurer Windows-godkendelse på en rapportserver
• Active Directory Federation Services
• Web Programproxy i Windows Server
• Publicering af programmer ved hjælp af AD FS-forhåndsgodkendelse
• Konfigurer Microsoft Entra multifactor-godkendelse som godkendelsesprovider ved hjælp af AD FS
  Har du flere spørgsmål? Prøv Power BI-community'et