Freigeben über


Eingebettete Analysezugriffstoken

GILT FÜR: Die App besitzt die Daten Der Benutzer besitzt die Daten

Das Verwenden von Power BI-Inhalten (z. B. von Berichten, Dashboards und Kacheln) erfordert ein Zugriffstoken. Abhängig von Ihrer Lösung kann es sich bei diesem Token entweder um ein Microsoft Entra-Token, ein Einbettungstoken oder beides handeln.

In der Lösung zum Einbetten für Ihre Kunden generiert die Anwendung ein Einbettungstoken, das Ihren Webbenutzern Zugriff auf Power BI-Inhalte gewährt.

Hinweis

Wenn Sie die Lösung zum Einbetten für Ihre Kunden verwenden, können Sie eine beliebige Authentifizierungsmethode verwenden, um den Zugriff auf Ihre Web-App zu gewähren.

Bei der Lösung zum Einbetten für Ihre Organisation müssen die Benutzer Ihrer Web-App sich mit ihren eigenen Anmeldeinformationen bei Microsoft Entra ID authentifizieren. Die Kunden haben Zugriff auf die Power BI-Inhalte, für die sie im Power BI-Dienst über Zugriffsberechtigungen verfügen.

Microsoft Entra-Token

Für die beiden Lösungen Einbetten für Ihre Kunden und Einbetten für Ihre Organisation benötigen Sie ein Microsoft Entra-Token. Dieses Microsoft Entra-Token ist für alle Vorgänge der REST-API erforderlich und läuft nach einer Stunde ab.

  • Im Szenario zum Einbetten für Ihre Kunden wird das Microsoft Entra-Token zum Generieren des Einbettungstokens verwendet.

  • Für die Lösung zum Einbetten für Ihre Organisation wird das Microsoft Entra-Token für den Zugriff auf Power BI verwendet.

Sie können ein Microsoft Entra-Token auf eine der folgenden Arten abrufen:

Einbettungstoken

Wenn Sie die Lösung zum Einbetten für Ihre Kunden verwenden, muss Ihre Web-App wissen, auf welche Power BI-Inhalte der Benutzer zugreifen kann. Verwenden Sie die REST-APIs für Einbettungstokens, um ein Einbettungstoken zu generieren, das die folgenden Informationen festlegt:

  • Inhalte, auf die der Benutzer Ihrer Web-App zugreifen kann

  • Die Zugriffsebene des Benutzers Ihrer Web-App (Anzeigen, Erstellen oder Bearbeiten)

Weitere Informationen finden Sie unter Überlegungen zum Generieren eines Einbettungstokens.

Authentifizierungsflows

In diesem Abschnitt werden die verschiedenen Authentifizierungsflows für die Lösungen zum Einbetten für Ihre Kunden und Einbetten für Ihre Organisation beschrieben.

Bei der Lösung zum Einbetten für Ihre Kund*innen wird ein Authentifizierungsflow ohne Interaktion verwendet. In einer Lösung zum Einbetten für Ihre Kunden melden sich Benutzer nicht bei Microsoft Entra ID an, um auf Power BI zuzugreifen. Stattdessen verwendet Ihre Web-App eine reservierte Microsoft Entra-Identität für die Authentifizierung bei Microsoft Entra ID und generiert das Einbettungstoken. Die reservierte Identität kann entweder ein Dienstprinzipal oder ein*e Masterbenutzer*in sein:

  • Dienstprinzipal Ihre Web-App verwendet das Microsoft Entra-Dienstprinzipalobjekt, um sich bei Microsoft Entra-ID zu authentifizieren und ein Nur-App-Microsoft Entra-Token abzurufen. Diese nur für Apps vorgesehene Authentifizierungsmethode wird von Microsoft Entra ID empfohlen.

    Wenn Sie einen Dienstprinzipal verwenden, müssen Sie in den Administratoreinstellungen des Power BI-Diensts den Zugriff auf Power BI-APIs aktivieren. Durch die Zugriffsberechtigung kann Ihre Web-App auf die Power BI-REST-APIs zugreifen. Zur Verwendung von API-Vorgängen in einem Arbeitsbereich muss der Dienstprinzipal ein Mitglied oder Administrator des Arbeitsbereichs sein.

  • Hauptbenutzer Ihre Web-App verwendet ein Benutzerkonto für die Authentifizierung bei Microsoft Entra ID und zum Abrufen des Microsoft Entra-Tokens. Der Masterbenutzer muss über eine Power BI Pro-Lizenz oder eine Premium-Einzelbenutzer (PPU)-Lizenz verfügen.

    Wenn Sie einen Masterbenutzer verwenden, müssen Sie die delegierten Berechtigungen Ihrer App (auch als Bereiche bezeichnet) definieren. Der Hauptbenutzer oder Mandantenadministrator muss seine Zustimmung für die Verwendung dieser Berechtigungen bei der Verwendung von Power BI-REST-APIs erteilen.

Nach erfolgreicher Authentifizierung bei Microsoft Entra ID generiert Ihre Web-App ein Einbettungstoken, um Benutzern den Zugriff auf spezifische Power BI-Inhalte zu gewähren.

Hinweis

  • Zum Einbetten mit der Lösung zum Einbetten für Ihre Kunden benötigen Sie eine Kapazität mit einer A-, EM- oder P-SKU.
  • Für eine Verwendung in Produktionsumgebungen benötigen Sie eine Kapazität.

Im folgenden Diagramm wird der Authentifizierungsablauf für die Lösung embed for your customers (Für Ihre Kunden einbetten) veranschaulicht.

Diagramm: Authentifizierungsablauf bei einer „Einbetten für Ihre Kunden“-Power BI Embedded Analytics-Lösung.

  1. Der Web-App-Benutzer authentifiziert sich mit Ihrer Authentifizierungsmethode bei Ihrer Web-App.

  2. Ihre Web-App verwendet einen Dienstprinzipal oder einen Masterbenutzer für die Authentifizierung bei Microsoft Entra ID.

  3. Ihre Web-App ruft ein Microsoft Entra-Token von Microsoft Entra ID ab und verwendet dieses für den Zugriff auf Power BI-REST-APIs. Die von Ihnen ausgewählte Authentifizierungsmethode gewährt Zugriff auf die Power BI-REST-APIS. Dies hängt davon ab, ob die Authentifizierungsmethode entweder ein Dienstprinzipal oder ein Masterbenutzer ist.

  4. Ihre Web-App ruft den REST-API-Vorgang Token einbetten auf und fordert das Einbettungstoken an. Das Einbettungstoken legt fest, welche Power BI-Inhalte eingebettet werden können.

  5. Die REST-API gibt das Einbettungstoken an Ihre Web-App zurück.

  6. Die Web-App übergibt das Einbettungstoken an den Webbrowser des Benutzers.

  7. Der Web-App-Benutzer verwendet das Einbettungstoken für den Zugriff auf Power BI.

Haben Sie dazu Fragen? Stellen Sie Ihre Frage in der Power BI-Community.