Σύνδεση σε Power BI Report Server και SSRS από εφαρμογές του Power BI για κινητές συσκευές
Αυτό το άρθρο περιγράφει τον τρόπο ρύθμισης παραμέτρων του περιβάλλοντός σας ώστε να υποστηρίζει τον έλεγχο ταυτότητας OAuth με την εφαρμογή Power BI για κινητές συσκευές για σύνδεση στον Power BI Report Server και στις Υπηρεσίες αναφοράς του SQL Server 2016 ή νεότερη έκδοση.
Απαιτήσεις
Ο Windows Server απαιτείται για τους διακομιστές Web Application Proxy (WAP) και Active Directory Federation Services (AD FS). Δεν χρειάζεται να έχετε έναν τομέα λειτουργικού επιπέδου Windows.
Προκειμένου οι χρήστες να μπορούν να προσθέσουν μια σύνδεση διακομιστή αναφορών στην εφαρμογή τους Power BI για κινητές συσκευές, πρέπει να τους εκχωρήσετε πρόσβαση στον κεντρικό φάκελο του διακομιστή αναφορών.
Σημείωμα
Από την 1η Μαρτίου 2025, η εφαρμογή Power BI για κινητές συσκευές δεν θα μπορεί πλέον να συνδεθεί στον διακομιστή αναφορών χρησιμοποιώντας το πρωτόκολλο OAuth μέσω AD FS που έχει ρυθμιστεί στον Windows Server 2016. Οι πελάτες που χρησιμοποιούν OAuth με AD FS ρυθμισμένες σε Windows Server 2016 και Web Application Proxy (WAP) θα πρέπει να αναβαθμίσουν τον διακομιστή AD FS σε Windows Server 2019 ή νεότερη έκδοση ή να χρησιμοποιήσουν τον διακομιστή μεσολάβησης εφαρμογής Microsoft Entra. Μετά την αναβάθμιση του Windows Server, οι χρήστες της εφαρμογής Power BI για κινητές συσκευές ίσως χρειαστεί να εισέλθουν ξανά στον Report Server.
Αυτή η αναβάθμιση απαιτείται από μια αλλαγή στη βιβλιοθήκη ελέγχου ταυτότητας που χρησιμοποιείται από την εφαρμογή για κινητές συσκευές. Η αλλαγή δεν επηρεάζει σε καμία περίπτωση την υποστήριξη της Microsoft για AD FS στον Windows Server 2016, αλλά μάλλον μόνο τη δυνατότητα σύνδεσης της εφαρμογής Power BI για κινητές συσκευές.
Ρύθμιση παραμέτρων υπηρεσιών ονόματος τομέα (DNS)
Η δημόσια διεύθυνση URL είναι η διεύθυνση URL στην οποία θα συνδέεται η εφαρμογή Power BI για κινητές συσκευές. Για παράδειγμα, μπορεί να μοιάζει με το ακόλουθο.
https://reports.contoso.com
Η εγγραφή DNS σας για αναφορές στη δημόσια διεύθυνση IP του διακομιστή Web Application Proxy (WAP). Πρέπει επίσης να ρυθμίσετε μια δημόσια εγγραφή DNS για τον διακομιστή AD FS. Για παράδειγμα, μπορεί να έχετε ρυθμίσει τον διακομιστή AD FS με την ακόλουθη διεύθυνση URL.
https://fs.contoso.com
Η εγγραφή DNS σας για fs στη δημόσια διεύθυνση IP του διακομιστή Web Application Proxy (WAP), καθώς θα δημοσιεύεται ως μέρος της εφαρμογής WAP.
Πιστοποιητικά
Πρέπει να ρυθμίσετε πιστοποιητικά για την εφαρμογή WAP και για τον διακομιστή AD FS. Και τα δύο αυτά πιστοποιητικά πρέπει να είναι μέρος μιας έγκυρης αρχής πιστοποιητικών που αναγνωρίζεται από τις κινητές συσκευές σας.
Ρύθμιση παραμέτρων των Υπηρεσιών αναφοράς
Δεν υπάρχουν πολλά στοιχεία για ρύθμιση παραμέτρων στην πλευρά των Υπηρεσιών αναφοράς. Πρέπει απλώς να βεβαιωθείτε ότι:
- Υπάρχει ένα έγκυρο κύριο όνομα υπηρεσίας (SPN) για να ενεργοποιήσετε τον κατάλληλο έλεγχο ταυτότητας Kerberos.
- Ο διακομιστής Υπηρεσιών αναφοράς είναι ενεργοποιημένος για τη διαπραγμάτευση του ελέγχου ταυτότητας.
- Οι χρήστες έχουν πρόσβαση στον κεντρικό φάκελο του διακομιστή αναφορών.
Κύριο όνομα υπηρεσίας (SPN)
Το SPN είναι ένα μοναδικό αναγνωριστικό για μια υπηρεσία που χρησιμοποιεί έλεγχο ταυτότητας Kerberos. Πρέπει να βεβαιωθείτε ότι έχετε ένα κατάλληλο HTTP SPN για τον διακομιστή αναφορών σας.
Για πληροφορίες σχετικά με τον τρόπο ρύθμισης του κατάλληλου κύριου ονόματος υπηρεσίας (SPN) για τον διακομιστή αναφορών, ανατρέξτε στο θέμα Καταχώρηση κύριου ονόματος υπηρεσίας (SPN) για έναν διακομιστή αναφορών.
Ενεργοποίηση ελέγχου ταυτότητας με διαπραγμάτευση
Για να ενεργοποιήσετε έναν διακομιστή αναφορών για χρήση του ελέγχου ταυτότητας Kerberos, πρέπει να ρυθμίσετε τον τύπο ελέγχου ταυτότητας του διακομιστή αναφορών σε RSWindowsNegotiate. Το κάνετε στο αρχείο rsreportserver.config.
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsKerberos />
<RSWindowsNTLM />
</AuthenticationTypes>
Για περισσότερες πληροφορίες, ανατρέξτε στα θέματα Τροποποίηση αρχείου ρύθμισης παραμέτρων των Υπηρεσιών αναφοράς και Ρύθμιση παραμέτρων του ελέγχου ταυτότητας των Windows σε έναν διακομιστή αναφορών.
Ρύθμιση παραμέτρων των Υπηρεσιών Active Directory Federation Services (AD FS)
Πρέπει να ρυθμίσετε τις παραμέτρους των AD FS σε έναν διακομιστή Windows εντός του περιβάλλοντός σας. Η ρύθμιση παραμέτρων μπορεί να γίνει μέσω της Διαχείρισης διακομιστή και της επιλογής Προσθήκη ρόλων και δυνατοτήτων στην περιοχή Διαχείριση. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Υπηρεσίες Active Directory Federation Services.
Σημαντικό
Από την 1η Μαρτίου 2025, οι εφαρμογές Power BI για κινητές συσκευές δεν θα μπορούν πλέον να συνδεθούν στον διακομιστή αναφορών μέσω AD FS που έχει ρυθμιστεί στον Windows Server 2016. Δείτε τη σημείωση στην αρχή αυτού του άρθρου.
Δημιουργία ομάδας εφαρμογών
Στην οθόνη "Διαχείριση AD FS", δημιουργήστε μια ομάδα εφαρμογών για τις Υπηρεσίες αναφοράς που περιλαμβάνει πληροφορίες για τις εφαρμογές Power BI για κινητές συσκευές.
Μπορείτε να δημιουργήσετε την ομάδα εφαρμογών με τα παρακάτω βήματα.
Στην εφαρμογή "Διαχείριση AD FS", κάντε δεξί κλικ στις Ομάδες εφαρμογών και επιλέξτε Προσθήκη ομάδας εφαρμογών...
Στον Οδηγό προσθήκης ομάδας εφαρμογών, δώστε ένα όνομα για την ομάδα εφαρμογών και επιλέξτε Εγγενής εφαρμογή με πρόσβαση σε ένα API Web.
Επιλέξτε Επόμενο.
Εισαγάγετε ένα όνομα για την εφαρμογή που προσθέτετε.
Ενώ το Αναγνωριστικό προγράμματος-πελάτη θα δημιουργηθεί αυτόματα για το δικό σας, πληκτρολογήστε 484d54fc-b481-4eee-9505-0258a1913020 για iOS και Android.
Προσθέστε τις παρακάτω διευθύνσεις URL ανακατεύθυνσης:
Καταχωρήσεις για Power BI Mobile – iOS:
msauth://code/mspbi-adal://com.microsoft.powerbimobile
msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
mspbi-adal://com.microsoft.powerbimobile
mspbi-adalms://com.microsoft.powerbimobilemsΟι εφαρμογές Android χρειάζονται μόνο τα παρακάτω βήματα:
urn:ietf:wg:oauth:2.0:oobΕπιλέξτε Επόμενο.
Καταχωρήστε τη διεύθυνση URL για τον διακομιστή αναφορών σας. Η διεύθυνση URL είναι η εξωτερική διεύθυνση URL που θα κατευθύνει στον Web Application Proxy σας. Θα πρέπει να είναι στην ακόλουθη μορφή.
Σημείωμα
Αυτή η διεύθυνση URL κάνει διάκριση πεζών-κεφαλαίων!
https://<report server url>/reports
Επιλέξτε Επόμενο.
Επιλέξτε την Πολιτική ελέγχου πρόσβασης που ταιριάζει στις ανάγκες του οργανισμού σας.
Επιλέξτε Επόμενο.
Επιλέξτε Επόμενο.
Επιλέξτε Επόμενο.
Επιλέξτε Κλείσιμο.
Όταν ολοκληρωθεί η διαδικασία, οι ιδιότητες της ομάδας εφαρμογών σας θα πρέπει να μοιάζουν με τις παρακάτω.
Εκτελέστε τώρα την ακόλουθη εντολή PowerShell στον διακομιστή AD FS για να βεβαιωθείτε ότι υποστηρίζεται αυτή η ανανέωση διακριτικού.
Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'
Ρύθμιση παραμέτρων Web Application Proxy (WAP)
Ενεργοποιήστε τον ρόλο Web Application Proxy (Ρόλος) των Windows σε έναν διακομιστή στο περιβάλλον σας. Πρέπει να βρίσκεται σε έναν διακομιστή Windows. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Διακομιστής μεσολάβησης εφαρμογής Web στον Windows Server και Δημοσίευση εφαρμογών με χρήση του προκαταρκτικού ελέγχου ταυτότητας των AD FS.
Ρύθμιση παραμέτρων περιορισμένης ανάθεσης
Για τη μετάβαση από τον έλεγχο ταυτότητας OAuth στον έλεγχο ταυτότητας των Windows, πρέπει να χρησιμοποιήσετε περιορισμένη ανάθεση με μετάβαση πρωτοκόλλου. Αυτό είναι μέρος της ρύθμισης παραμέτρων του Kerberos. Έχουμε ήδη καθορίσει το SPN των Υπηρεσιών αναφοράς κατά τη ρύθμιση των παραμέτρων των Υπηρεσιών αναφοράς.
Πρέπει να ρυθμίσουμε τις παραμέτρους της περιορισμένης ανάθεσης στον λογαριασμό υπολογιστή του WAP Server εντός της υπηρεσίας καταλόγου Active Directory. Ίσως χρειαστεί να συνεργαστείτε με έναν διαχειριστή τομέα εάν δεν έχετε δικαιώματα για την υπηρεσία καταλόγου Active Directory.
Για να ρυθμίσετε τις παραμέτρους της περιορισμένης ανάθεσης, κάντε τα παρακάτω βήματα.
Σε έναν υπολογιστή στον οποίο είναι εγκατεστημένα τα εργαλεία της υπηρεσίας καταλόγου Active Directory, εκκινήστε το χρήστες και υπολογιστές της υπηρεσίας καταλόγου Active Directory.
Βρείτε τον λογαριασμό υπολογιστή για τον διακομιστή WAP. Από προεπιλογή, είναι στο κοντέινερ υπολογιστών.
Κάντε δεξί κλικ στον διακομιστή WAP και επιλέξτε Ιδιότητες.
Επιλέξτε την καρτέλα Ανάθεση .
Επιλέξτε Να θεωρείται αξιόπιστος αυτός ο υπολογιστής για αντιπροσώπευση μόνο σε καθορισμένες υπηρεσίες και, στη συνέχεια , επιλέξτε Χρήση οποιουδήποτε πρωτοκόλλου ελέγχου ταυτότητας.
Αυτό ρυθμίζει την περιορισμένη ανάθεση για αυτόν τον λογαριασμό υπολογιστή του WAP Server. Στη συνέχεια, πρέπει να καθορίσουμε τις υπηρεσίες που επιτρέπεται να ανατίθενται σε αυτόν τον υπολογιστή.
Επιλέξτε Προσθήκη... στο πλαίσιο των υπηρεσιών.
Επιλέξτε Χρήστες ή υπολογιστές...
Εισαγάγετε τον λογαριασμό υπηρεσίας που χρησιμοποιείτε για τις Υπηρεσίες αναφοράς. Αυτός είναι ο λογαριασμός στον οποίο προσθέσατε το SPN κατά τη ρύθμιση των παραμέτρων των Υπηρεσιών αναφοράς.
Επιλέξτε το SPN για τις Υπηρεσίες αναφοράς και, στη συνέχεια, επιλέξτε OK.
Σημείωμα
Ενδέχεται να βλέπετε μόνο το NetBIOS SPN. Στην πραγματικότητα θα επιλέξει τόσο το NetBIOS όσο και το FQDN SPN εάν υπάρχουν και τα δύο.
Το αποτέλεσμα θα πρέπει να μοιάζει με το ακόλουθο, όταν είναι επιλεγμένο το πλαίσιο ελέγχου Αναπτυγμένο .
Επιλέξτε OK.
Προσθήκη εφαρμογής WAP
Παρόλο που μπορείτε να δημοσιεύσετε εφαρμογές μέσα από την κονσόλα διαχείρισης πρόσβασης αναφορών, θέλουμε να δημιουργήσουμε την εφαρμογή μέσω του PowerShell. Αυτή είναι η εντολή για να προσθέσετε την εφαρμογή.
Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Παράμετρος | Σχόλια |
---|---|
ADFSRelyingPartyName | Το όνομα του Web API που δημιουργήσατε ως μέρος της ομάδας εφαρμογών εντός των AD FS. |
ExternalCertificateThumbprint | Το πιστοποιητικό που θα χρησιμοποιηθεί για τους εξωτερικούς χρήστες. Είναι σημαντικό το πιστοποιητικό να είναι έγκυρο σε κινητές συσκευές και να προέρχεται από μια αξιόπιστη αρχή έκδοσης πιστοποιητικών. |
BackendServerUrl | Η διεύθυνση URL προς τον διακομιστή αναφορών από τον διακομιστή WAP. Εάν ο διακομιστής WAP βρίσκεται σε μια DMZ, ίσως χρειαστεί να χρησιμοποιήσετε ένα πλήρως προσδιορισμένο όνομα τομέα. Βεβαιωθείτε ότι μπορείτε να χρησιμοποιήσετε αυτή τη διεύθυνση URL από το πρόγραμμα περιήγησης web στον διακομιστή WAP. |
BackendServerAuthenticationSPN | Το SPN που δημιουργήσατε ως μέρος της ρύθμισης παραμέτρων των Υπηρεσιών αναφοράς. |
Ρύθμιση ενσωματωμένου ελέγχου ταυτότητας για την εφαρμογή WAP
Αφού προσθέσετε την εφαρμογή WAP, πρέπει να ορίσετε το BackendServerAuthenticationMode ώστε να χρησιμοποιεί το IntegratedWindowsAuthentication. Χρειάζεστε το αναγνωριστικό από την εφαρμογή WAP για να το ορίσετε.
Get-WebApplicationProxyApplication "Contoso Reports" | fl
Εκτελέστε την ακόλουθη εντολή για να ορίσετε το BackendServerAuthenticationMode χρησιμοποιώντας το αναγνωριστικό της εφαρμογής WAP.
Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication
Σύνδεση με την εφαρμογή Power BI για κινητές συσκευές
Μέσα από την εφαρμογή Power BI για κινητές συσκευές, θέλετε να συνδεθείτε στην παρουσία των Υπηρεσιών αναφοράς σας. Για να το κάνετε αυτό, καταχωρήστε την Εξωτερική διεύθυνση URL για την εφαρμογή WAP σας.
Όταν επιλέξετε Σύνδεση, θα οδηγηθείτε στη σελίδα εισόδου των AD FS. Εισαγάγετε έγκυρα διαπιστευτήρια για τον τομέα σας.
Αφού επιλέξετε Είσοδος, θα δείτε τα στοιχεία από τον διακομιστή των Υπηρεσιών αναφοράς σας.
Έλεγχος ταυτότητας πολλών παραγόντων
Μπορείτε να ενεργοποιήσετε τον έλεγχο ταυτότητας πολλών παραγόντων για να ενεργοποιήσετε πρόσθετη ασφάλεια για το περιβάλλον σας. Για να μάθετε περισσότερα, ανατρέξτε στο θέμα Ρύθμιση παραμέτρων ελέγχου ταυτότητας πολλών παραγόντων ελέγχου ταυτότητας του Microsoft Entra ως υπηρεσίας παροχής ελέγχου ταυτότητας με AD FS.
Αντιμετώπιση προβλημάτων
Λαμβάνετε το σφάλμα "Αποτυχία εισόδου στο διακομιστή SSRS"
Μπορείτε να ρυθμίσετε το Fiddler ώστε να λειτουργεί ως διακομιστής μεσολάβησης για τις κινητές συσκευές σας για να δείτε μέχρι που έφτασε η αίτησή σας. Για να ενεργοποιήσετε έναν διακομιστή μεσολάβησης Fiddler για την τηλεφωνική συσκευή σας, πρέπει να ρυθμίσετε το CertMaker για iOS και Android στον υπολογιστή όπου εκτελείται το Fiddler. Το πρόσθετο είναι από την Telerik για το Fiddler.
Εάν η είσοδος λειτουργεί με επιτυχία όταν χρησιμοποιείτε το Fiddler, μπορεί να έχετε πρόβλημα πιστοποιητικού με την εφαρμογή WAP ή τον διακομιστή AD FS.
Σχετικό περιεχόμενο
- Καταχώρηση κύριου ονόματος υπηρεσίας (SPN) για έναν διακομιστή αναφορών
- Τροποποίηση αρχείου ρύθμισης παραμέτρων των Υπηρεσιών αναφοράς
- Ρύθμιση παραμέτρων του ελέγχου ταυτότητας των Windows σε έναν διακομιστή αναφορών
- Active Directory Federation Services
- Web Application Proxy στον Windows Server
- Δημοσίευση εφαρμογών με χρήση του προκαταρκτικού ελέγχου ταυτότητας των AD FS
- Ρύθμιση παραμέτρων του ελέγχου ταυτότητας πολλών παραγόντων ελέγχου ταυτότητας του Microsoft Entra ως υπηρεσίας παροχής ελέγχου ταυτότητας με χρήση AD FS
Περισσότερες ερωτήσεις; Δοκιμάστε την κοινότητα του Power BI