Κοινή χρήση μέσω


Ενσωμάτωση περιεχομένου Power BI με κύρια υπηρεσία και μυστικό κωδικό εφαρμογής

Η κύρια υπηρεσία είναι μια μέθοδος ελέγχου ταυτότητας που μπορεί να χρησιμοποιηθεί για να επιτρέψει σε μια εφαρμογή Microsoft Entra πρόσβαση Υπηρεσία Power BI περιεχόμενο και API.

Όταν δημιουργείτε μια εφαρμογή Microsoft Entra, δημιουργείται ένα αντικείμενο κύριας υπηρεσίας. Το αντικείμενο κύριας υπηρεσίας, γνωστό επίσης ως κύρια υπηρεσία, επιτρέπει στο Αναγνωριστικό Microsoft Entra τον έλεγχο ταυτότητας της εφαρμογής σας. Μετά τον έλεγχο ταυτότητας, η εφαρμογή μπορεί να αποκτήσει πρόσβαση σε πόρους μισθωτή Microsoft Entra.

Για τον έλεγχο ταυτότητας, η κύρια υπηρεσία χρησιμοποιεί το αναγνωριστικό εφαρμογής της εφαρμογής Microsoft Entra και ένα από τα εξής:

  • Ένα πιστοποιητικό
  • Μυστικός κωδικός εφαρμογής

Αυτό το άρθρο περιγράφει τον έλεγχο ταυτότητας κύριας υπηρεσίας χρησιμοποιώντας ένα αναγνωριστικό εφαρμογής και έναν μυστικό κωδικό εφαρμογής.

Σημείωμα

Συνιστούμε να διασφαλίσετε τις υπηρεσίες παρασκηνίου χρησιμοποιώντας πιστοποιητικά αντί για κρυφά κλειδιά.

Μέθοδος

Για να χρησιμοποιήσετε την κύρια υπηρεσία και ένα αναγνωριστικό εφαρμογής για ενσωματωμένη ανάλυση, ακολουθήστε τα παρακάτω βήματα. Οι επόμενες ενότητες περιγράφουν αυτά τα βήματα λεπτομερώς.

  1. Δημιουργήστε μια εφαρμογή Microsoft Entra.

    1. Δημιουργήστε έναν μυστικό κωδικό για την εφαρμογή Σας Microsoft Entra.
    2. Αποκτήστε το αναγνωριστικό εφαρμογής και τον μυστικό κωδικό εφαρμογής.

    Σημείωμα

    Αυτά τα βήματα περιγράφονται στο βήμα 1. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία μιας εφαρμογής Microsoft Entra, ανατρέξτε στο θέμα Δημιουργία εφαρμογής Microsoft Entra.

  2. Δημιουργήστε μια ομάδα ασφαλείας Microsoft Entra.

  3. Ενεργοποιήστε τις ρυθμίσεις διαχειριστή Υπηρεσία Power BI.

  4. Προσθέστε την κύρια υπηρεσία στον χώρο εργασίας σας.

  5. Ενσωματώστε το περιεχόμενό σας.

Σημαντικό

Μια εφαρμογή Microsoft Entra δεν απαιτεί να ρυθμίσετε τυχόν δικαιώματα με ανάθεση ή δικαιώματα εφαρμογής στην πύλη Azure, όταν έχει δημιουργηθεί για μια κύρια υπηρεσία. Όταν δημιουργείτε μια εφαρμογή Microsoft Entra για μια κύρια υπηρεσία για πρόσβαση στο Power BI REST API, συνιστούμε να αποφύγετε την προσθήκη δικαιωμάτων. Δεν χρησιμοποιούνται ποτέ και μπορεί να προκαλέσουν σφάλματα που είναι δύσκολο να επιλύονται.

Βήμα 1 - Δημιουργία εφαρμογής Microsoft Entra

Δημιουργήστε μια εφαρμογή Microsoft Entra χρησιμοποιώντας μία από αυτές τις μεθόδους:

Δημιουργία εφαρμογής Microsoft Entra στην πύλη Azure

  1. Εισέλθετε στην Πύλη Azure.

  2. Αναζητήστε και επιλέξτε Καταχωρήσεις εφαρμογών.

    Στιγμιότυπο οθόνης της πύλης Azure, με καταχώρηση εφαρμογής στο πλαίσιο αναζήτησης. Επισημαίνεται αυτό το πλαίσιο και το εικονίδιο Καταχωρήσεις εφαρμογών.

  3. Επιλέξτε Νέα καταχώριση.

    Στιγμιότυπο οθόνης της σελίδας καταχωρήσεις εφαρμογών στην πύλη Azure. Επισημαίνεται η νέα καταχώρηση.

  4. Συμπληρώστε τις απαιτούμενες πληροφορίες:

    • Όνομα - Εισαγάγετε ένα όνομα για την εφαρμογή σας.
    • Υποστηριζόμενοι τύποι λογαριασμών - Επιλέξτε υποστηριζόμενους τύπους λογαριασμών.
    • (Προαιρετικό) URI ανακατεύθυνσης - Εισαγάγετε ένα URI, εάν είναι απαραίτητο.
  5. Επιλέξτε Καταχώρηση.

  6. Αφού καταχωρήσετε την εφαρμογή σας, το Αναγνωριστικό εφαρμογής είναι διαθέσιμο από την καρτέλα Επισκόπηση . Αντιγράψτε και αποθηκεύστε το Αναγνωριστικό εφαρμογής για μελλοντική χρήση.

    Στιγμιότυπο οθόνης της σελίδας Επισκόπηση της νέας εφαρμογής. Το Αναγνωριστικό εφαρμογής είναι αποκρυπτογραφημένο και επισημαίνεται.

  7. Επιλέξτε Πιστοποιητικά και μυστικά.

    Στιγμιότυπο οθόνης της σελίδας Επισκόπηση της νέας εφαρμογής. Στο παράθυρο περιήγησης, επισημαίνεται η ενότητα Πιστοποιητικά και μυστικά.

  8. Επιλέξτε Νέος μυστικός κωδικός προγράμματος-πελάτη.

    Στιγμιότυπο οθόνης που εμφανίζει μέρος της σελίδας

  9. Στο παράθυρο Προσθήκη μυστικού κωδικού προγράμματος-πελάτη, πληκτρολογήστε μια περιγραφή, καθορίστε πότε θέλετε να λήξει ο μυστικός κωδικός προγράμματος-πελάτη και επιλέξτε Προσθήκη.

  10. Αντιγράψτε και αποθηκεύστε την τιμή του μυστικού κωδικού προγράμματος-πελάτη.

    Στιγμιότυπο οθόνης της σελίδας Πιστοποιητικά και μυστικοί έλεγχοι για την εφαρμογή. Στην περιοχή Μυστικά προγράμματος-πελάτη, εμφανίζεται ένα νέο μυστικό. Επισημαίνεται η αποκρυπτογραφήσιμη τιμή του.

    Σημείωμα

    Αφού αποχωρήσετε από αυτό το παράθυρο, η τιμή του μυστικού κωδικού προγράμματος-πελάτη είναι κρυφή και δεν μπορείτε να την προβάλετε ή να την αντιγράψετε ξανά.

Δημιουργία εφαρμογής Microsoft Entra με χρήση του PowerShell

Το παρακάτω δείγμα δέσμης ενεργειών PowerShell δημιουργεί μια νέα εφαρμογή Microsoft Entra και μια κύρια υπηρεσία. Πριν εκτελέσετε αυτήν τη δέσμη ενεργειών:

Μετά την εκτέλεση της δέσμης ενεργειών, σημειώστε τις ακόλουθες πληροφορίες στο αποτέλεσμα της δέσμης ενεργειών:

  • Το αναγνωριστικό προγράμματος-πελάτη της νέας εφαρμογής
  • Το αναγνωριστικό αντικειμένου της νέας κύριας υπηρεσίας
  • Η τιμή του μυστικού κωδικού κύριας υπηρεσίας
# Sign in as a user who's allowed to create an app.
Connect-MgGraph -Scopes "Application.ReadWrite.All" 

# Create a new Azure AD web application.
$web = @{
    RedirectUris = "https://localhost:44322"
    HomePageUrl = "https://localhost:44322"
}
$params = @{
    DisplayName = "myAzureADApp"
    Web = $($web)
}
$app = New-MgApplication @params
Write-Host "Client ID of new app: " $($app.AppId)

# Create a service principal.
$ServicePrincipalID=@{
  "AppId" = $($app.AppId)
  }
$sp = New-MgServicePrincipal -BodyParameter $($ServicePrincipalId)
Write-Host "Object ID of new service principal: " $($sp.Id)

# Create a key for the service principal.
$credential = Add-MgServicePrincipalPassword -ServicePrincipalId $($sp.Id)
Write-Host "Credential of new service principal: " $($credential.SecretText)

Βήμα 2 - Δημιουργία ομάδας ασφαλείας Του Microsoft Entra

Η κύρια υπηρεσία σας δεν έχει πρόσβαση σε οποιοδήποτε περιεχόμενο Power BI και API σας. Για να δώσετε πρόσβαση στην κύρια υπηρεσία, δημιουργήστε μια ομάδα ασφαλείας στο Αναγνωριστικό Microsoft Entra. Στη συνέχεια, προσθέστε την κύρια υπηρεσία που δημιουργήσατε σε αυτήν την ομάδα ασφαλείας.

Σημείωμα

Εάν θέλετε να ενεργοποιήσετε την πρόσβαση κύριας υπηρεσίας για ολόκληρο τον οργανισμό, παραλείψτε αυτό το βήμα.

Υπάρχουν δύο τρόποι για να δημιουργήσετε μια ομάδα ασφαλείας Microsoft Entra:

Δημιουργία ομάδας ασφαλείας με μη αυτόματο τρόπο

Για να δημιουργήσετε μια ομάδα ασφαλείας Azure με μη αυτόματο τρόπο, ακολουθήστε τις οδηγίες στην ενότητα Δημιουργία βασικής ομάδας και προσθήκη μελών.

Δημιουργία ομάδας ασφαλείας χρησιμοποιώντας το PowerShell

Το παρακάτω δείγμα δέσμης ενεργειών δημιουργεί μια νέα ομάδα ασφαλείας. Προσθέτει επίσης την κύρια υπηρεσία που δημιουργήσατε νωρίτερα στη νέα ομάδα ασφαλείας.

  • Πριν εκτελέσετε τη δέσμη ενεργειών, αντικαταστήστε <app-client-ID> το με το αναγνωριστικό προγράμματος-πελάτη που καταγράψατε προηγουμένως για τη νέα εφαρμογή σας.
  • Αφού εκτελέσετε τη δέσμη ενεργειών, σημειώστε το αναγνωριστικό αντικειμένου της νέας ομάδας ασφαλείας, το οποίο μπορείτε να βρείτε στην έξοδο δέσμης ενεργειών.
# Sign in as an admin.
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Get the service principal that you created earlier.
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '<app-client-ID>'"

# Create an Azure AD security group.
$group = New-MgGroup -DisplayName "securitygroup1" -SecurityEnabled -MailEnabled:$False -MailNickName "notSet"
Write-Host "Object ID of new security group: " $($group.Id)

# Add the service principal to the group.
New-MgGroupMember -GroupId $($group.Id) -DirectoryObjectId $($servicePrincipal.Id)

Βήμα 3 - Ενεργοποίηση των ρυθμίσεων διαχειριστή Υπηρεσία Power BI

Για να έχει πρόσβαση μια εφαρμογή Microsoft Entra στο περιεχόμενο και τα API του Power BI, ένας διαχειριστής του Power BI πρέπει να ενεργοποιήσει τις ακόλουθες ρυθμίσεις:

  • Ενσωμάτωση περιεχομένου σε εφαρμογές
  • Να επιτρέπεται στις κύριες υπηρεσίες η χρήση των API του Power BI

Στην πύλη Power BI Διαχείριση, μεταβείτε στις Ρυθμίσεις μισθωτή και κάντε κύλιση προς τα κάτω στην περιοχή Ρυθμίσεις προγραμματιστή.

  • Ενεργοποιήστε την ενσωμάτωση περιεχομένου σε εφαρμογές είτε για ολόκληρο τον οργανισμό, είτε για τη συγκεκριμένη ομάδα ασφαλείας που δημιουργήσατε στο αναγνωριστικό Του Microsoft Entra.

    Στιγμιότυπο οθόνης των ρυθμίσεων προγραμματιστή στην ενότητα Ρυθμίσεις μισθωτή της πύλης Διαχείριση. Η επιλογή για την ενσωμάτωση περιεχομένου σε εφαρμογές είναι ενεργοποιημένη.

  • Ενεργοποιήστε την επιλογή Να επιτρέπεται στις κύριες υπηρεσίες η χρήση API Power BI είτε για ολόκληρο τον οργανισμό είτε για τη συγκεκριμένη ομάδα ασφαλείας που δημιουργήσατε στο αναγνωριστικό Microsoft Entra.

    Στιγμιότυπο οθόνης της ενότητας Ρυθμίσεις προγραμματιστή. Η επιλογή για να επιτρέπεται στις κύριες υπηρεσίες να χρησιμοποιούν API του Power BI είναι ενεργοποιημένη για μία ομάδα ασφαλείας.

    Σημαντικό

    Οι οντότητες υπηρεσίας έχουν πρόσβαση σε οποιεσδήποτε ρυθμίσεις μισθωτή για τις οποίες έχουν ενεργοποιηθεί. Ανάλογα με τις ρυθμίσεις διαχειριστή σας, αυτό περιλαμβάνει συγκεκριμένες ομάδες ασφαλείας ή ολόκληρο τον οργανισμό.

    Για να περιορίσετε την πρόσβαση κύριας υπηρεσίας σε συγκεκριμένες ρυθμίσεις μισθωτή, επιτρέψτε την πρόσβαση μόνο σε συγκεκριμένες ομάδες ασφαλείας. Εναλλακτικά, μπορείτε να δημιουργήσετε μια αποκλειστική ομάδα ασφαλείας για τις κύριες υπηρεσίες και εξαιρέστε την από τις επιθυμητές ρυθμίσεις μισθωτή.

Βήμα 4 - Προσθήκη της κύριας υπηρεσίας στον χώρο εργασίας σας

Η εφαρμογή Σας Microsoft Entra έχει πρόσβαση σε αναφορές, πίνακες εργαλείων και σημασιολογικά μοντέλα Power BI μόνο όταν έχει πρόσβαση στον χώρο εργασίας σας Power BI. Παρέχετε αυτή την πρόσβαση προσθέτοντας την κύρια υπηρεσία της εφαρμογής ή την ομάδα ασφαλείας στον χώρο εργασίας σας ως μέλος ή διαχειριστή.

Υπάρχουν τρεις τρόποι για να προσθέσετε μια κύρια υπηρεσία ή την ομάδα ασφαλείας της στον χώρο εργασίας σας:

Προσθήκη κύριας υπηρεσίας ή ομάδας ασφαλείας με μη αυτόματο τρόπο

  1. Στο Υπηρεσία Power BI, κάντε κύλιση στον χώρο εργασίας για τον οποίο θέλετε να ενεργοποιήσετε την πρόσβαση. Από το μενού Περισσότερα , επιλέξτε Πρόσβαση στον χώρο εργασίας.

    Στιγμιότυπο οθόνης που εμφανίζει το αναπτυγμένο μενού

  2. Στο τμήμα παραθύρου Πρόσβαση, στην περιοχή Προσθήκη διαχειριστών, μελών ή συμβαλλόντων, προσθέστε ένα από τα εξής:

    • Η κύρια υπηρεσία σας. Το όνομα της κύριας υπηρεσίας σας είναι το Εμφανιζόμενο όνομα της εφαρμογής Σας Microsoft Entra, όπως εμφανίζεται στην καρτέλα επισκόπησης της εφαρμογής σας Microsoft Entra.
    • Η ομάδα ασφαλείας που περιλαμβάνει την κύρια υπηρεσία σας.
  3. Στο αναπτυσσόμενο μενού, επιλέξτε Μέλος ή Διαχείριση.

  4. Επιλέξτε Προσθήκη.

Προσθήκη κύριας υπηρεσίας ή ομάδας ασφαλείας με χρήση του PowerShell

Οι παρακάτω ενότητες παρέχουν δείγματα δεσμών ενεργειών PowerShell για την προσθήκη μιας κύριας υπηρεσίας και μιας ομάδας ασφαλείας σε έναν χώρο εργασίας Power BI ως μέλος.

Προσθήκη κύριας υπηρεσίας ως μέλος χώρου εργασίας με το PowerShell

Η ακόλουθη δέσμη ενεργειών προσθέτει μια κύρια υπηρεσία ως μέλος του χώρου εργασίας. Πριν εκτελέσετε τη δέσμη ενεργειών:

  • Αντικαταστήστε <service-principal-object-ID> το με το αναγνωριστικό αντικειμένου που καταγράψατε νωρίτερα για τη νέα κύρια υπηρεσία.
  • Αντικαταστήστε <workspace-name> το με το όνομα του χώρου εργασίας στον οποίο θέλετε να εκχωρήσετε πρόσβαση στην κύρια υπηρεσία.
# Sign in to Power BI.
Login-PowerBI

# Set up the service principal ID.
$SPObjectID = "<service-principal-object-ID>"

# Get the workspace.
$pbiWorkspace = Get-PowerBIWorkspace -Filter "name eq '<workspace-name>'"

# Add the service principal to the workspace.
Add-PowerBIWorkspaceUser -Id $($pbiWorkspace.Id) -AccessRight Member -PrincipalType App -Identifier $($SPObjectID)

Προσθήκη ομάδας ασφαλείας ως μέλος χώρου εργασίας με το PowerShell

Η ακόλουθη δέσμη ενεργειών προσθέτει μια ομάδα ασφαλείας ως μέλος του χώρου εργασίας. Πριν εκτελέσετε τη δέσμη ενεργειών:

  • Αντικαταστήστε <security-group-object-ID> το με το αναγνωριστικό αντικειμένου που καταγράψατε νωρίτερα για τη νέα ομάδα ασφαλείας.
  • Αντικαταστήστε <workspace-name> το με το όνομα του χώρου εργασίας στον οποίο θέλετε να δώσετε πρόσβαση στην ομάδα ασφαλείας.
# Sign in to Power BI.
Login-PowerBI

# Set up the security group object ID.
$SGObjectID = "<security-group-object-ID>"

# Get the workspace.
$pbiWorkspace = Get-PowerBIWorkspace -Filter "name eq '<workspace-name>'"

# Add the security group to the workspace.
Add-PowerBIWorkspaceUser -Id $($pbiWorkspace.Id) -AccessRight Member -PrincipalType Group -Identifier $($SGObjectID)

Βήμα 5 - Ενσωμάτωση του περιεχομένου σας

Μπορείτε να ενσωματώσετε το περιεχόμενό σας σε ένα δείγμα εφαρμογής ή μέσα στη δική σας εφαρμογή.

Μετά την ενσωμάτωση του περιεχομένου σας, είστε έτοιμοι να προχωρήσετε στην παραγωγή.

Σημείωμα

Για να διασφαλίσετε το περιεχόμενό σας χρησιμοποιώντας ένα πιστοποιητικό, ακολουθήστε τα βήματα που περιγράφονται στο θέμα Ενσωμάτωση περιεχομένου Power BI με οντότητα υπηρεσίας και πιστοποιητικό.

Ζητήματα προς εξέταση και περιορισμοί

  • Ο χώρος εργασίας μου δεν υποστηρίζεται κατά τη χρήση της κύριας υπηρεσίας.
  • Οι εκχωρημένοι πόροι απαιτούνται κατά τη μετακίνηση στην παραγωγή.
  • Δεν μπορείτε να εισέλθετε στην πύλη Power BI χρησιμοποιώντας την κύρια υπηρεσία.
  • Απαιτούνται δικαιώματα διαχειριστή του Power BI για την ενεργοποίηση της κύριας υπηρεσίας στις ρυθμίσεις προγραμματιστή, μέσα στην πύλη Power BI Διαχείριση.
  • Η ενσωμάτωση για τις εφαρμογές του οργανισμού σας δεν μπορεί να χρησιμοποιήσει την κύρια υπηρεσία.
  • Η διαχείριση ροών δεδομένων δεν υποστηρίζεται.
  • Η κύρια υπηρεσία υποστηρίζει μόνο ορισμένα API διαχειριστή μόνο για ανάγνωση. Για να ενεργοποιήσετε την υποστήριξη κύριας υπηρεσίας για API διαχειριστή μόνο για ανάγνωση, πρέπει να ενεργοποιήσετε τις ρυθμίσεις διαχειριστή Υπηρεσία Power BI στον μισθωτή σας. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ενεργοποίηση ελέγχου ταυτότητας κύριας υπηρεσίας για API διαχειριστή μόνο για ανάγνωση.
  • Όταν χρησιμοποιείτε την κύρια υπηρεσία με μια προέλευση δεδομένων Υπηρεσίες Ανάλυσης του Azure, η ίδια η κύρια υπηρεσία πρέπει να έχει δικαιώματα Υπηρεσίες Ανάλυσης του Azure παρουσίας. Η χρήση μιας ομάδας ασφαλείας που περιέχει την κύρια υπηρεσία για αυτόν το σκοπό δεν λειτουργεί.