Kerberos-basiertes SSO vom Power BI-Dienst zu lokalen Datenquellen konfigurieren

Das Aktivieren von Single Sign-On (SSO) erleichtert power BI-Berichten und Dashboards das Aktualisieren von Daten aus lokalen Quellen und die Einhaltung von Berechtigungen auf Benutzerebene, die für diese Quellen konfiguriert sind. Verwenden Sie die eingeschränkte Kerberos-Delegierung , um eine nahtlose SSO-Konnektivität zu ermöglichen.

In diesem Artikel werden die Schritte beschrieben, die Sie ausführen müssen, um Kerberos-basiertes SSO vom Power BI-Dienst in lokale Datenquellen zu konfigurieren.

Voraussetzungen

Mehrere Elemente müssen so konfiguriert werden, dass die eingeschränkte Kerberos-Delegierung ordnungsgemäß funktioniert, einschließlich Dienstprinzipalnamen (SPNs) und Delegierungseinstellungen für Dienstkonten.

Hinweis

Die Verwendung von DNS-Aliasing mit SSO wird nicht unterstützt.

Konfigurationsgliederung

Die Schritte zur Konfiguration des Single Sign-On für das Gateway sind unten aufgeführt.

1. Führen Sie alle Schritte in Abschnitt 1: Grundlegende Konfiguration aus.

2. Je nach Ihrer Active Directory-Umgebung und den verwendeten Datenquellen müssen Sie möglicherweise einige oder alle konfigurationen ausführen, die in Abschnitt 2: Umgebungsspezifische Konfiguration beschrieben sind.

   Mögliche Szenarien, die möglicherweise zusätzliche Konfiguration erfordern, sind unten aufgeführt:

   Szenario	Gehe zu
   Ihre Active Directory-Umgebung ist sicherheitsfest.	Hinzufügen eines Gatewaydienstkontos zur Windows-Autorisierungs- und Zugriffsgruppe
   Das Gateway-Dienstkonto und die Benutzerkonten, als deren Benutzer das Gateway auftreten wird, befinden sich in separaten Domänen oder Wäldern.	Hinzufügen eines Gatewaydienstkontos zur Windows-Autorisierungs- und Zugriffsgruppe
   Microsoft Entra Connect ist ohne Benutzerkontensynchronisierung konfiguriert. Der UPN, der für Benutzer in Power BI verwendet wird, stimmt nicht mit dem UPN in Ihrer lokalen Active Directory-Umgebung überein.	Festlegen von Konfigurationsparametern für die Benutzerzuordnung auf dem Gatewaycomputer
   Sie planen die Verwendung einer SAP HANA-Datenquelle mit SSO.	Ausführen von Datenquellenspezifischen Konfigurationsschritten
   Sie planen die Verwendung einer SAP BW-Datenquelle mit SSO.	Ausführen von Datenquellenspezifischen Konfigurationsschritten
   Sie planen die Verwendung einer Teradata-Datenquelle mit SSO.	Ausführen von Datenquellenspezifischen Konfigurationsschritten

3. Überprüfen Sie Ihre Konfiguration wie in Abschnitt 3 beschrieben: Überprüfen Sie die Konfiguration , um sicherzustellen, dass SSO ordnungsgemäß eingerichtet ist.

Abschnitt 1: Grundlegende Konfiguration

Schritt 1: Installieren und Konfigurieren des lokalen Microsoft-Datengateways

Das lokale Datengateway unterstützt ein direktes Upgrade und die Übernahme vorhandener Gateways durch Einstellungen.

Schritt 2: Abrufen von Domänenadministratorrechten zum Konfigurieren von SPNs (SetSPN) und eingeschränkten Kerberos-Delegierungseinstellungen

Um SPNs- und Kerberos-Delegierungseinstellungen zu konfigurieren, sollte ein Domänenadministrator vermeiden, jemandem, der keine Domänenadministratorrechte besitzt, Rechte zu gewähren. Im folgenden Abschnitt behandeln wir die empfohlenen Konfigurationsschritte ausführlicher.

Schritt 3: Konfigurieren des Gatewaydienstkontos

Option A unten ist die erforderliche Konfiguration, es sei denn, Sie haben sowohl Microsoft Entra Connect konfiguriert und Benutzerkonten werden synchronisiert. In diesem Fall wird Option B empfohlen.

Option A: Ausführen des Windows-Gatewaydiensts als Domänenkonto mit SPN

Bei einer Standardinstallation wird das Gateway als computerlokales Dienstkonto, NT Service\PBIEgwService, ausgeführt.

Zum Aktivieren der eingeschränkten Kerberos-Delegierung muss das Gateway als Domänenkonto ausgeführt werden, es sei denn, Ihre Microsoft Entra-Instanz ist bereits mit Ihrer lokalen Active Directory-Instanz synchronisiert (mithilfe von Microsoft Entra DirSync/Connect). Informationen zum Wechseln zu einem Domänenkonto finden Sie unter Ändern des Gatewaydienstkontos.

Konfigurieren eines SPN für das Gatewaydienstkonto

Ermitteln Sie zunächst, ob bereits ein SPN für das Domänenkonto erstellt wurde, das als Gatewaydienstkonto verwendet wird:

1. Starten Sie als Domänenadministrator das Microsoft Management Console (MMC)-Snap-In für Active Directory-Benutzer und -Computer .

2. Klicken Sie im linken Bereich mit der rechten Maustaste auf den Domänennamen, wählen Sie " Suchen" aus, und geben Sie dann den Kontonamen des Gatewaydienstkontos ein.

3. Klicken Sie im Suchergebnis mit der rechten Maustaste auf das Gatewaydienstkonto, und wählen Sie "Eigenschaften" aus.

4. Wenn die Registerkarte " Delegierung " im Dialogfeld "Eigenschaften " angezeigt wird, wurde bereits ein SPN erstellt, und Sie können zur Konfiguration der eingeschränkten Kerberos-Delegierung springen.

5. Wenn im Dialogfeld Eigenschaften keine Delegierung-Registerkarte vorhanden ist, können Sie ein SPN manuell für das Konto erstellen, um diesen zu aktivieren. Verwenden Sie das setspn-Tool , das im Lieferumfang von Windows enthalten ist (Zum Erstellen des SPN benötigen Sie Domänenadministratorrechte).

   Angenommen, das Gatewaydienstkonto ist Contoso\GatewaySvc , und der Gatewaydienst wird auf dem Computer mit dem Namen MyGatewayMachine ausgeführt. Führen Sie den folgenden Befehl aus, um den SPN für das Gatewaydienstkonto festzulegen:

   setspn -S gateway/MyGatewayMachine Contoso\GatewaySvc

   Sie können den SPN auch mithilfe des MMC-Snap-In "Active Directory–Benutzer und –Computer" festlegen.

Option B: Konfigurieren des Computers für Microsoft Entra Connect

Wenn Microsoft Entra Connect konfiguriert ist und Benutzerkonten synchronisiert werden, muss der Gatewaydienst zur Laufzeit keine lokalen Microsoft Entra-Nachschlagevorgänge ausführen. Stattdessen können Sie einfach die SID (Local Service Security Identifier) für den Gatewaydienst verwenden, um alle erforderlichen Konfigurationen in der Microsoft Entra-ID abzuschließen. Die in diesem Artikel beschriebenen Schritte der eingeschränkten Kerberos-Delegierungskonfiguration entsprechen den konfigurationsschritten, die im Microsoft Entra-Kontext erforderlich sind. Sie werden auf das Computerobjekt des Gateways angewendet, das durch die lokale Dienst-SID in Microsoft Entra ID identifiziert wurde, anstelle des Domänenkontos. Die lokale Dienst-SID für NT SERVICE/PBIEgwService lautet wie folgt:

S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079

Um den SPN für diese SID für den Power BI-Gatewaycomputer zu erstellen, müssen Sie den folgenden Befehl über eine Administrator-Eingabeaufforderung ausführen (ersetzen Sie <COMPUTERNAME> durch den Namen des Power BI-Gatewaycomputers):

SetSPN -s HTTP/S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079 <COMPUTERNAME>

Hinweis

Je nach ihren lokalen Sicherheitseinstellungen müssen Sie möglicherweise das Gatewaydienstkonto NT SERVICE\PBIEgwService der lokalen Administratorgruppe auf dem Gatewaycomputer hinzufügen und dann den Gatewaydienst in der Gateway-App neu starten. Diese Option wird für Szenarien mit mehreren Gateways nicht unterstützt, da Active Directory eindeutige SPNs über eine gesamte Gesamtstruktur erzwingt. Verwenden Sie für diese Szenarien stattdessen Option A .

Schritt 4: Konfigurieren der eingeschränkten Kerberos-Delegierung

Sie können Delegierungseinstellungen für Kerberos-Standarddelegierung mit Einschränkungen oder ressourcenbasierte Kerberos-Delegierung mit Einschränkungen konfigurieren. Weitere Informationen zu den Unterschieden zwischen den beiden Stellvertretungsansätzen finden Sie in der Übersicht über die eingeschränkte Kerberos-Delegierung.

Die folgenden Dienstkonten sind erforderlich:

• Gatewaydienstkonto: Dienstbenutzer, der das Gateway in Active Directory darstellt, mit einem SPN, der in Schritt 3 konfiguriert ist.
• Datenquellendienstkonto: Dienstbenutzer, der die Datenquelle in Active Directory darstellt, mit einem SPN, der der Datenquelle zugeordnet ist.

Hinweis

Die Gateway- und Datenquellendienstkonten müssen getrennt sein. Dasselbe Dienstkonto kann nicht verwendet werden, um sowohl das Gateway als auch die Datenquelle darzustellen.

Je nachdem, welcher Ansatz Sie verwenden möchten, fahren Sie mit einem der folgenden Abschnitte fort. Schließen Sie nicht beide Abschnitte ab.

• Option A: Standardmäßige Kerberos-Delegation mit Einschränkungen. Dies ist die Standardempfehlung für die meisten Umgebungen.
• Option B: Ressourcenbasierte eingeschränkte Kerberos-Delegierung. Dies ist erforderlich, wenn Ihre Datenquelle zu einer anderen Domäne als Ihrem Gateway gehört.

Option A: Standard Kerberos Eingeschränkte Delegierung

Wir legen nun die Delegierungseinstellungen für das Gatewaydienstkonto fest. Es gibt mehrere Tools, mit denen Sie diese Schritte ausführen können. Hier verwenden wir das MMC-Snap-In "Active Directory-Benutzer und -Computer", um Informationen im Verzeichnis zu administrieren und zu veröffentlichen. Sie ist standardmäßig auf Domänencontrollern verfügbar; auf anderen Computern können Sie sie über die Windows-Featurekonfiguration aktivieren.

Wir müssen die Kerberos-eingeschränkte Delegierung mit Protokollübergang konfigurieren. Bei eingeschränkter Delegierung müssen Sie explizit angeben, für welche Dienste Sie dem Gateway das Präsentieren delegierter Anmeldeinformationen gestatten. Beispielsweise akzeptiert nur SQL Server oder Ihr SAP HANA-Server Delegierungsaufrufe vom Gatewaydienstkonto.

In diesem Abschnitt wird davon ausgegangen, dass Sie BEREITS SPNs für Ihre zugrunde liegenden Datenquellen (z. B. SQL Server, SAP HANA, SAP BW, Teradata oder Spark) konfiguriert haben. Informationen zum Konfigurieren dieser Datenquellenserver-SPNs finden Sie in der technischen Dokumentation für den jeweiligen Datenbankserver und im Abschnitt "Welche SPN benötigt Ihre App?" im Blogbeitrag "Meine Kerberos-Prüfliste ".

In den folgenden Schritten wird eine lokale Umgebung mit zwei Computern in derselben Domäne vorausgesetzt: ein Gatewaycomputer und ein Datenbankserver mit SQL Server, der bereits für Kerberos-basiertes SSO konfiguriert wurde. Die Schritte können für eine der anderen unterstützten Datenquellen übernommen werden, solange die Datenquelle bereits für kerberosbasiertes Einmaliges Anmelden konfiguriert wurde. In diesem Beispiel verwenden wir die folgenden Einstellungen:

• Active Directory-Domäne (Netbios): Contoso
• Name des Gatewaycomputers: MyGatewayMachine
• Gatewaydienstkonto: Contoso\GatewaySvc
• Name des SQL Server-Datenquellencomputers: TestSQLServer
• SQL Server-Datenquellendienstkonto: Contoso\SQLService

So konfigurieren Sie die Delegierungseinstellungen:

1. Öffnen Sie das MMC-Snap-In „Active Directory-Benutzer und -Computer“ mit Domänenadministratorrechten.

2. Klicken Sie mit der rechten Maustaste auf das Gatewaydienstkonto (Contoso\GatewaySvc), und wählen Sie "Eigenschaften" aus.

3. Wählen Sie die Registerkarte " Delegierung" aus .

4. Wählen Sie „Vertrauen Sie diesem Computer nur für die Delegierung an spezifizierte Dienste”>„Beliebiges Authentifizierungsprotokoll verwenden”.

5. Wählen Sie unter "Dienste", denen dieses Konto delegierte Anmeldeinformationen präsentieren kann, "Hinzufügen" aus.

6. Wählen Sie im neuen Dialogfeld "Benutzer oder Computer" aus.

7. Geben Sie das Dienstkonto für die Datenquelle ein, und wählen Sie dann "OK" aus.

   Beispielsweise kann eine SQL Server-Datenquelle über ein Dienstkonto wie Contoso\SQLService verfügen. Für dieses Konto sollte bereits ein entsprechender SPN für die Datenquelle festgelegt worden sein.

8. Wählen Sie den SPN aus, den Sie für den Datenbankserver erstellt haben.

   In unserem Beispiel beginnt der SPN mit MSSQLSvc. Wenn Sie sowohl den FQDN als auch den NetBIOS SPN für Ihren Datenbankdienst hinzugefügt haben, wählen Sie beide aus. Möglicherweise wird nur eine angezeigt.

9. Wählen Sie OK aus.

   Nun sollte der SPN in der Liste der Dienste erscheinen, für die das Gateway-Dienstkonto delegierte Anmeldeinformationen präsentieren kann.

   

10. Um den Setupvorgang fortzusetzen, gewähren Sie dem Gateway-Dienstkonto lokale Richtlinienrechte auf dem Gateway-Computer.

Option B: Ressourcenbasierte eingeschränkte Kerberos-Delegierung

Sie verwenden ressourcenbasierte eingeschränkte Kerberos-Delegierung , um die SSO-Konnektivität für Windows Server 2012 und höhere Versionen zu aktivieren. Mit dieser Art von Delegierung können Front-End- und Back-End-Dienste in verschiedenen Domänen verwendet werden. Damit es funktioniert, muss die Back-End-Dienstdomäne der Front-End-Dienstdomäne vertrauen.

In den folgenden Schritten wird von einer lokalen Umgebung mit zwei Computern in unterschiedlichen Domänen ausgegangen: einem Gatewaycomputer und einem Datenbankserver mit SQL Server, der bereits für Kerberos-basiertes SSO konfiguriert wurde. Diese Schritte können für eine der anderen unterstützten Datenquellen übernommen werden, solange die Datenquelle bereits für Kerberos-basiertes SSO konfiguriert wurde. In diesem Beispiel verwenden wir die folgenden Einstellungen:

• Active Directory-Frontend-Domäne (Netbios): ContosoFrontEnd
• Active Directory-Back-End-Domäne (Netbios): ContosoBackEnd
• Name des Gatewaycomputers: MyGatewayMachine
• Gatewaydienstkonto: ContosoFrontEnd\GatewaySvc
• Name des SQL Server-Datenquellencomputers: TestSQLServer
• SQL Server-Datenquellendienstkonto: ContosoBackEnd\SQLService

Führen Sie die folgenden Konfigurationsschritte aus:

1. Verwenden Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer " auf dem Domänencontroller für die Domäne "ContosoFrontEnd ", und überprüfen Sie, ob keine Delegierungseinstellungen für das Gatewaydienstkonto angewendet werden.

   

2. Verwenden Sie Active Directory-Benutzer und -Computer auf dem Domänencontroller für die Domäne ContosoBackEnd , und überprüfen Sie, ob keine Delegierungseinstellungen für das Back-End-Dienstkonto angewendet werden.

   

3. Überprüfen Sie auf der Registerkarte "Attribut-Editor" der Kontoeigenschaften, ob das Attribut msDS-AllowedToActOnBehalfOfOtherIdentity nicht festgelegt ist.

   

4. Erstellen Sie in Active Directory-Benutzer und -Computern eine Gruppe auf dem Domänencontroller für die Domäne ContosoBackEnd . Fügen Sie das GatewaySvc-Gatewaydienstkonto zur ResourceDelGroup-Gruppe hinzu.

   Um Benutzer aus einer vertrauenswürdigen Domäne hinzuzufügen, muss diese Gruppe einen Bereich der lokalen Domäne aufweisen.

5. Öffnen Sie eine Eingabeaufforderung, und führen Sie die folgenden Befehle im Domänencontroller für die Domäne ContosoBackEnd aus, um das Attribut "msDS-AllowedToActOnBehalfOfOtherIdentity " des Back-End-Dienstkontos zu aktualisieren:

   $c = Get-ADGroup ResourceDelGroup
   Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c
   

6. Überprüfen Sie in Active Directory-Benutzern und -Computern, ob das Update auf der Registerkarte " Attribut-Editor " in den Eigenschaften für das Back-End-Dienstkonto widergespiegelt wird.

Schritt 5: Aktivieren der AES-Verschlüsselung für Dienstkonten

Wenden Sie die folgenden Einstellungen auf das Gatewaydienstkonto und jedes Datenquellendienstkonto an, an das das Gateway delegieren kann:

Hinweis

Wenn in den Dienstkonten vorhandene Enctypes definiert sind, wenden Sie sich an Ihren zuständigen Active Directory-Administrator, da die folgenden Schritte die vorhandenen Enctypes-Werte überschreiben und dadurch möglicherweise Probleme bei den Clients verursachen könnten.

1. Öffnen Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" mit Domänenadministratorrechten.

2. Klicken Sie mit der rechten Maustaste auf das Gateway-/Datenquellendienstkonto, und wählen Sie "Eigenschaften" aus.

3. Wählen Sie die Registerkarte Konto aus.

4. Aktivieren Sie unter "Kontooptionen" mindestens eine (oder beide) der folgenden Optionen. Beachten Sie, dass dieselben Optionen für alle Dienstkonten aktiviert werden müssen.

   • Dieses Konto unterstützt kerberos AES 128-Bit-Verschlüsselung
   • Dieses Konto unterstützt kerberos AES 256-Bit-Verschlüsselung

Hinweis

Wenn Sie nicht sicher sind, welches Verschlüsselungsschema verwendet werden soll, wenden Sie sich an Ihren Active Directory-Administrator.

Schritt 6: Gewähren Sie dem Gateway-Dienstkonto lokale Richtlinienrechte auf dem Gateway-Computer

Gewähren Sie auf dem Computer, auf dem der Gatewaydienst ausgeführt wird (MyGatewayMachine in unserem Beispiel), dem Gatewaydienstkonto die lokalen Richtlinien , die den Identitätswechsel eines Clients nach der Authentifizierung durchführen und als Teil des Betriebssystems (SeTcbPrivilege) fungieren. Führen Sie diese Konfiguration mit dem Editor für lokale Gruppenrichtlinien (gpedit.msc) aus.

1. Führen Sie auf dem Gatewaycomputer "gpedit.msc" aus.

2. Wechseln Sie zu Lokalen Computerrichtlinien>Computerkonfiguration>Windows-Einstellungen>Sicherheitseinstellungen>lokale Richtlinien>Benutzerrechtezuweisung.

   

3. Wählen Sie unter "Benutzerrechtezuweisung" in der Liste der Richtlinien die Option "Einen Client nach der Authentifizierung imitieren" aus.

   

4. Klicken Sie mit der rechten Maustaste auf die Richtlinie, öffnen Sie "Eigenschaften", und zeigen Sie dann die Liste der Konten an.

   Die Liste muss das Gatewaydienstkonto (Contoso\GatewaySvc oder ContosoFrontEnd\GatewaySvc abhängig vom Typ der eingeschränkten Delegierung) enthalten.

5. Wählen Sie unter "Benutzerrechtezuweisung" in der Liste der Richtlinien die Option "Als Teil des Betriebssystems (SeTcbPrivilege)" aus. Stellen Sie sicher, dass das Gatewaydienstkonto in der Liste der Konten enthalten ist.

6. Starten Sie den Lokalen Datengatewaydienstprozess neu.

Schritt 7: Windows-Konto kann auf den Gatewaycomputer zugreifen

SSO verwendet die Windows-Authentifizierung. Stellen Sie daher sicher, dass das Windows-Konto auf den Gatewaycomputer zugreifen kann. Wenn Sie nicht sicher sind, fügen Sie NT-AUTHORITY\Authenticated Users (S-1-5-11) zur Gruppe "Benutzer" des lokalen Computers hinzu.

Abschnitt 2: Umgebungsspezifische Konfiguration

Hinzufügen eines Gatewaydienstkontos zur Windows-Autorisierungs- und Zugriffsgruppe

Schließen Sie diesen Abschnitt ab, wenn eine der folgenden Situationen zutrifft:

• Ihre Active Directory-Umgebung ist sicherheitsfest.
• Das Gateway-Dienstkonto und die Benutzerkonten, als deren Benutzer das Gateway auftreten wird, befinden sich in separaten Domänen oder Wäldern.

Sie können das Gatewaydienstkonto auch der Windows-Autorisierungs- und Zugriffsgruppe hinzufügen, in Situationen, in denen die Domäne oder Gesamtstruktur nicht gehärtet wurde, aber es ist nicht erforderlich.

Weitere Informationen finden Sie unter Windows-Autorisierungszugriff.

Um diesen Konfigurationsschritt abzuschließen, sollte das Gateway-Dienstkonto in jeder Domäne, die Active Directory-Benutzer enthält, in der Lage sein, diese Benutzer zu imitieren.

1. Melden Sie sich bei einem Computer in der Domäne an, und starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer".
2. Suchen Sie die Gruppe Windows-Autorisierung und Zugriffsgruppe, die in der Regel im Builtin Container zu finden ist.
3. Doppelklicken Sie auf die Gruppe, und wählen Sie die Registerkarte " Mitglieder " aus.
4. Wählen Sie "Hinzufügen" aus, und ändern Sie den Domänenspeicherort in der Domäne, in der sich das Gatewaydienstkonto befindet.
5. Geben Sie den Namen des Gatewaydienstkontos ein, und wählen Sie " Namen überprüfen " aus, um zu überprüfen, ob auf das Gatewaydienstkonto zugegriffen werden kann.
6. Wählen Sie OK aus.
7. Wählen Sie Anwenden.
8. Starten Sie den Gatewaydienst neu.

Festlegen von Konfigurationsparametern für die Benutzerzuordnung auf dem Gatewaycomputer

Führen Sie diesen Abschnitt aus, wenn:

• Sie haben Microsoft Entra Connect nicht mit konfigurierter Synchronisierung des Benutzerkontos UND
• Der upN, der in Power BI für Benutzer verwendet wird, stimmt nicht mit dem UPN in Ihrer lokalen Active Directory-Umgebung überein.

Jeder active Directory-Benutzer, der auf diese Weise zugeordnet ist, muss über SSO-Berechtigungen für Ihre Datenquelle verfügen.

1. Öffnen Sie die Hauptkonfigurationsdatei des Gateways, Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll. Standardmäßig wird diese Datei unter C:\Program Files\On-premises data gateway gespeichert.

2. Legen Sie ADUserNameLookupProperty auf ein nicht verwendetes Active Directory-Attribut fest. Wir werden msDS-cloudExtensionAttribute1 in den folgenden Schritten verwenden. Dieses Attribut ist nur in Windows Server 2012 und höher verfügbar.

3. Legen Sie die ADUserNameReplacementProperty auf SAMAccountName fest, und speichern Sie dann die Konfigurationsdatei.

   Hinweis

   In Szenarien mit mehreren Domänen müssen Sie möglicherweise die ADUserNameReplacementProperty auf userPrincipalName festlegen, um die Domäneninformationen des Benutzers zu erhalten.

4. Klicken Sie auf der Registerkarte "Dienste " des Task-Managers mit der rechten Maustaste auf den Gatewaydienst, und wählen Sie "Neu starten" aus.

   

5. Legen Sie für jeden Power BI-Dienstbenutzer, für den Sie Kerberos-SSO aktivieren möchten, die msDS-cloudExtensionAttribute1 Eigenschaft eines lokalen Active Directory-Benutzers (mit SSO-Berechtigung für Ihre Datenquelle) auf den vollständigen Benutzernamen (UPN) des Power BI-Dienstbenutzers fest. Wenn Sie sich beispielsweise beim Power BI-Dienst als test@contoso.com anmelden und diesen Benutzer einem lokalen Active Directory-Benutzer mit SSO-Berechtigungen, wie etwa test@LOCALDOMAIN.COM, zuordnen möchten, legen Sie das msDS-cloudExtensionAttribute1-Attribut dieses Benutzers auf test@contoso.com fest.

   Sie können die msDS-cloudExtensionAttribute1 Eigenschaft mit dem MMC-Snap-In "Active Directory-Benutzer und -Computer" festlegen:

   1. Starten Sie Active Directory-Benutzer und -Computer als Domänenadministrator.

   2. Klicken Sie mit der rechten Maustaste auf den Domänennamen, wählen Sie " Suchen" aus, und geben Sie dann den Kontonamen des lokalen Active Directory-Benutzers ein, der zugeordnet werden soll.

   3. Wählen Sie die Registerkarte "Attribut-Editor" aus .

      Suchen Sie die msDS-cloudExtensionAttribute1 Eigenschaft, und doppelklicken Sie darauf. Legen Sie den Wert auf den vollständigen Benutzernamen (UPN) des Benutzers fest, den Sie zum Anmelden beim Power BI-Dienst verwenden.

   4. Wählen Sie OK aus.

      

   5. Wählen Sie Anwenden. Stellen Sie sicher, dass der richtige Wert in der Spalte "Wert " festgelegt wurde.

Ausführen von Datenquellenspezifischen Konfigurationsschritten

Für die Datenquellen SAP HANA, SAP BW und Teradata ist eine zusätzliche Konfiguration erforderlich, um sie mit Gateway-SSO verwenden zu können.

• Verwenden Sie Kerberos für SSO für SAP HANA.
• Verwenden Sie Kerberos Single Sign-On für SSO auf SAP BW mithilfe von CommonCryptoLib (sapcrypto.dll).
• Verwenden Sie Kerberos für SSO für Teradata.

Hinweis

Obwohl andere SNC-Bibliotheken möglicherweise auch für BW SSO funktionieren, werden sie von Microsoft nicht offiziell unterstützt.

Abschnitt 3: Überprüfen der Konfiguration

Schritt 1: Konfigurieren von Datenquellen in Power BI

Nachdem Sie alle Konfigurationsschritte abgeschlossen haben, verwenden Sie die Seite " Gateway verwalten " in Power BI, um die Datenquelle für SSO zu konfigurieren. Wenn Sie über mehrere Gateways verfügen, stellen Sie sicher, dass Sie das Gateway auswählen, das Sie für Kerberos-SSO konfiguriert haben. Stellen Sie dann unter "Einstellungen für die Datenquelle" sicher, dass SSO über Kerberos für DirectQuery-Abfragen oder SSO über Kerberos für DirectQuery- und Importabfragen auf DirectQuery-basierte Berichte überprüft und SSO über Kerberos für DirectQuery und Importabfragen auf importbasierte Berichte überprüft wird.

Die Einstellungen Verwenden von SSO über Kerberos für DirectQuery-Abfragen und Verwenden von SSO über Kerberos für DirectQuery- und Importabfragen bieten ein anderes Verhalten für DirectQuery-basierte Berichte und importbasierte Berichte.

Verwenden von SSO über Kerberos für DirectQuery-Abfragen:

• Für DirectQuery-basierte Berichte werden die SSO-Anmeldeinformationen des Benutzers verwendet.
• Bei importbasierten Berichten werden die SSO-Anmeldeinformationen nicht verwendet, aber die in der Datenquellenseite eingegebenen Anmeldeinformationen werden verwendet.

Verwenden von SSO über Kerberos für DirectQuery- und Importabfragen:

• Für DirectQuery-basierte Berichte werden die SSO-Anmeldeinformationen des Benutzers verwendet.
• Bei importbasierten Berichten werden die SSO-Anmeldeinformationen des Semantikmodellbesitzers verwendet, unabhängig vom Benutzer, der den Import auslöst.

Schritt 2: Test des Single Sign-On

Wechseln Sie zur Konfiguration "Einmaliges Anmelden testen" (Single Sign-On, SSO), um schnell zu überprüfen, ob Ihre Konfiguration ordnungsgemäß festgelegt ist, und beheben Sie häufig auftretende Probleme.

Schritt 3: Ausführen eines Power BI-Berichts

Wenn Sie veröffentlichen, wählen Sie das Gateway aus, das Sie für SSO konfiguriert haben, wenn Sie über mehrere Gateways verfügen.

Verwandte Inhalte

Weitere Informationen zum lokalen Datengateway und DirectQuery finden Sie in den folgenden Ressourcen:

• What is an on-premises data gateway? (Was ist ein lokales Datengateway?)
• DirectQuery in Power BI
• Datenquellen, die von DirectQuery unterstützt werden
• DirectQuery und SAP BW
• DirectQuery und SAP HANA