Εισαγωγή
Για να ενσωματώσετε περιεχόμενο Power BI στην εφαρμογή σας, πρέπει να αναπτύξετε την εφαρμογή για να αποκτήσετε ένα διακριτικό πρόσβασης. Ο τύπος της ροής ελέγχου ταυτότητας (και διακριτικό πρόσβασης) εξαρτάται από το σενάριο ενσωμάτωσης.
Σημείωση
Για να μάθετε σχετικά με τα σενάρια ενσωμάτωσης, εργαστείτε μέσω της εκπαιδευτικής ενότητας Επιλογή προϊόντος ενσωματωμένης λειτουργίας ανάλυσης του Power BI .
Όταν χρησιμοποιείτε οποιοδήποτε από τα δύο σενάρια, η εφαρμογή σας πρέπει να αποκτήσει ένα διακριτικό Azure AD. Ένα διακριτικό Azure AD περιέχει αξιώσεις για τον προσδιορισμό των εκχωρημένων δικαιωμάτων στο Power BI REST API. Έχει ώρα λήξης, η οποία συνήθως είναι μία ώρα. Ένα έγκυρο διακριτικό Azure AD πρέπει να υπάρχει σε όλες τις λειτουργίες API.
Χρήση ροής αλληλεπιδραστικού ελέγχου ταυτότητας
Για να αποκτήσετε ένα διακριτικό Azure AD για το σενάριο για τον οργανισμό σας, η εφαρμογή χρησιμοποιεί μια ροή αλληλεπιδραστικού ελέγχου ταυτότητας. Μια ροή αλληλεπιδραστικού ελέγχου ταυτότητας σημαίνει ότι Azure AD μπορεί να ζητήσει από το χρήστη να εισέλθει χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασής του και (πιθανώς) χρησιμοποιώντας έλεγχο ταυτότητας πολλών παραγόντων (MFA). Azure AD μπορεί επίσης να ζητήσει από το χρήστη να εκχωρήσει περισσότερη συγκατάθεση στους πόρους (απαιτείται κατά την πρώτη είσοδο στην εφαρμογή).
Σημείωση
Όταν η εφαρμογή ενεργοποιεί τη χρήση καθολικής σύνδεσης (SSO), οι χρήστες δεν χρειάζεται να εισέρχονται κάθε φορά που τη χρησιμοποιούν. Η διαδικασία ελέγχου ταυτότητας θα αποθηκεύει τα διαπιστευτήρια στο cache σε ένα cookie περιόδου λειτουργίας όταν ο χρήστης πραγματοποιεί έλεγχο ταυτότητας την πρώτη φορά και η εφαρμογή μπορεί να χρησιμοποιήσει αυτά τα διαπιστευτήρια στο cache μέχρι να λήξουν, τα οποία είναι μετά από 90 ημέρες από προεπιλογή.
Από τη στιγμή που θα αποκτήσετε, η εφαρμογή σας θα πρέπει να αποθηκεύσει στο cache το διακριτικό Azure AD. Η εφαρμογή θα την χρησιμοποιήσει, στη συνέχεια, για να ενσωματώσει περιεχόμενο Power BI με το οποίο ο χρήστης έχει δικαίωμα εργασίας.
Το παρακάτω βίντεο δείχνει τη χρήση μιας ροής αλληλεπιδραστικού ελέγχου ταυτότητας.
Θα μάθετε πώς μπορείτε να αποκτήσετε διακριτικά Azure AD στο κεφάλαιο 3.
Χρήση μιας μη αλληλεπιδραστικής ροής ελέγχου ταυτότητας
Για να αποκτήσετε ένα διακριτικό Azure AD για το σενάριο Για τους πελάτες σας, η εφαρμογή χρησιμοποιεί μια μη αλληλεπιδραστική ροή ελέγχου ταυτότητας. Οι χρήστες εφαρμογών δεν απαιτείται να έχουν λογαριασμό Power BI και ακόμη και όταν το κάνουν, αυτοί οι λογαριασμοί δεν χρησιμοποιούνται. Μια αποκλειστική Azure AD ταυτότητα, γνωστή ως ταυτότητα ενσωμάτωσης, πραγματοποιεί έλεγχο ταυτότητας με Azure AD. Μια ταυτότητα ενσωμάτωσης μπορεί να είναι μια κύρια υπηρεσία ή ένας κύριος λογαριασμός χρήστη.
Μια μη αλληλεπιδραστική ροή ελέγχου ταυτότητας είναι γνωστή επίσης ως μη ενημερωμένος έλεγχος ταυτότητας. Επιχειρεί να αποκτήσει ένα διακριτικό Azure με τρόπο που η υπηρεσία ελέγχου ταυτότητας δεν μπορεί να ζητήσει από τον χρήστη πρόσθετες πληροφορίες. Όταν ο χρήστης της εφαρμογής κάνει έλεγχο ταυτότητας με την εφαρμογή σας (η εφαρμογή μπορεί να χρησιμοποιήσει οποιαδήποτε μέθοδο ελέγχου ταυτότητας επιλέξετε), η εφαρμογή χρησιμοποιεί την ταυτότητα ενσωμάτωσης για να αποκτήσει ένα διακριτικό Azure AD, χρησιμοποιώντας μια ροή μη αλληλεπιδραστικού ελέγχου ταυτότητας.
Μόλις η εφαρμογή σας αποκτήσει ένα διακριτικό Azure AD, το αποθηκεύει στο cache και, στη συνέχεια, το χρησιμοποιεί για να δημιουργήσει ένα διακριτικό ενσωμάτωσης. Ένα διακριτικό ενσωμάτωσης αντιπροσωπεύει δεδομένα σχετικά με το περιεχόμενο Power BI και τον τρόπο πρόσβασής τους.
Συγκεκριμένα, ένα διακριτικό ενσωμάτωσης περιγράφει τα εξής:
- Αξιώσεις σε συγκεκριμένο περιεχόμενο Power BI.
- Επίπεδο πρόσβασης, το οποίο ορίζετε για προβολή, δημιουργία ή επεξεργασία. (Τα επίπεδα δημιουργίας και επεξεργασίας ισχύουν μόνο για αναφορές Power BI.)
- Διάρκεια ζωής διακριτικού, η οποία προσδιορίζει πότε λήγει το διακριτικό.
- Προαιρετικά, μια αξίωση σε έναν χώρο εργασίας προορισμού για την αποθήκευση νέων αναφορών.
- Προαιρετικά, μία ή περισσότερες αποτελεσματικές ταυτότητες, ώστε το Power BI να μπορεί να επιβάλλει δικαιώματα δεδομένων.
Σημείωση
Για να μάθετε σχετικά με τις αποτελεσματικές ταυτότητες, εργαστείτε μέσω της εκπαιδευτικής ενότητας Επιβολή δικαιωμάτων δεδομένων για την ενσωματωμένη λειτουργία ανάλυσης του Power BI .
Παρακολουθήστε το παρακάτω βίντεο που δείχνει τη χρήση μιας μη αλληλεπιδραστικής ροής ελέγχου ταυτότητας.
Θα μάθετε πώς μπορείτε να λάβετε διακριτικά ενσωμάτωσης στο κεφάλαιο 3.
Χρήση οντότητας υπηρεσίας
Η εφαρμογή σας μπορεί να χρησιμοποιήσει μια κύρια υπηρεσία για την απόκτηση ενός διακριτικού Azure AD. Μια κύρια υπηρεσία Azure είναι μια χρήση εφαρμογών ταυτότητας ασφαλείας. Καθορίζει την πολιτική και τα δικαιώματα πρόσβασης για την εφαρμογή στον μισθωτή Azure AD, ενεργοποιώντας βασικές δυνατότητες, όπως ο έλεγχος ταυτότητας της εφαρμογής κατά την είσοδο και η εξουσιοδότηση κατά την πρόσβαση σε πόρους. Μια κύρια υπηρεσία μπορεί να κάνει έλεγχο ταυτότητας χρησιμοποιώντας έναν μυστικό κωδικό ή ένα πιστοποιητικό εφαρμογής. Συνιστούμε να προστατεύετε τις οντότητες υπηρεσίας χρησιμοποιώντας πιστοποιητικά για τις εφαρμογές παραγωγής σας αντί για κρυφά κλειδιά, επειδή είναι πιο ασφαλής.
Όταν η ενσωμάτωση ταυτότητας της εφαρμογής σας είναι μια κύρια υπηρεσία, πρέπει πρώτα να είναι διαχειριστής μισθωτή Power BI:
- Ενεργοποιήστε τη χρήση των οντοτήτων υπηρεσίας.
- Καταχωρήστε μια ομάδα ασφαλείας που τα περιέχει.
Η παρακάτω εικόνα δείχνει τις ρυθμίσεις προγραμματιστή (που βρίσκονται στις ρυθμίσεις μισθωτή της πύλης διαχείρισης) όπου ένας διαχειριστής Power BI μπορεί να ενεργοποιήσει τις αρχές υπηρεσίας για χρήση των API του Power BI.
Σημαντικό
Όταν ένας διαχειριστής επιτρέπει τη χρήση της κύριας υπηρεσίας με το Power BI, τα δικαιώματα Azure AD της εφαρμογής δεν ισχύουν πλέον. Από τότε, οι διαχειριστές διαχειρίζονται τα δικαιώματα της εφαρμογής στην πύλη διαχείρισης του Power BI.
Στο Power BI, η κύρια υπηρεσία πρέπει να ανήκει στον ρόλο διαχειριστή χώρου εργασίας ή μέλους για την ενσωμάτωση περιεχομένου χώρου εργασίας. Μόνο οι νέοι χώροι εργασίας υποστηρίζουν αναθέσεις ρόλων σε μια κύρια υπηρεσία και δεν υποστηρίζονται προσωπικοί χώροι εργασίας.
Σημείωση
Δεν είναι δυνατή η είσοδος στον Υπηρεσία Power BI με τη χρήση μιας κύριας υπηρεσίας.
Για περισσότερες πληροφορίες, δείτε:
- Αντικείμενα εφαρμογής και κύριας υπηρεσίας στο Azure Active Directory (αντικείμενο κύριας υπηρεσίας).
- Ενσωμάτωση περιεχομένου Power BI με κύρια υπηρεσία και ένα πιστοποιητικό
Χρήση κύριου λογαριασμού χρήστη
Η εφαρμογή σας μπορεί να χρησιμοποιήσει έναν κύριο λογαριασμό χρήστη για την απόκτηση ενός διακριτικού AD. Ένας κύριος λογαριασμός χρήστη είναι ένας κανονικός χρήστης Azure AD. Στο Power BI, ο λογαριασμός πρέπει να ανήκει στον ρόλο διαχειριστή χώρου εργασίας ή μέλους για να ενσωματώσετε περιεχόμενο χώρου εργασίας. Πρέπει επίσης να διαθέτει άδεια χρήσης Power BI Pro ή Power BI Premium ανά χρήστη (PPU).
Σημείωση
Δεν είναι δυνατή η χρήση ενός κύριου λογαριασμού χρήστη για την ενσωμάτωση σελιδοποιημένων αναφορών.
Σύγκριση τύπων ταυτότητας
Συνιστούμε τη χρήση μιας κύριας υπηρεσίας για εφαρμογές παραγωγής . Παρέχει τη μεγαλύτερη ασφάλεια και για αυτόν τον λόγο είναι η προσέγγιση που συνιστάται από Azure AD. Επίσης, υποστηρίζει καλύτερο αυτοματισμό και κλίμακα και υπάρχουν λιγότερα έξοδα διαχείρισης. Ωστόσο, απαιτεί δικαιώματα διαχειριστή Power BI για τη ρύθμιση και τη διαχείριση.
Μπορείτε να εξετάσετε τη χρήση ενός κύριου λογαριασμού χρήστη για την ανάπτυξη ή τη δοκιμή εφαρμογών. Είναι εύκολο να ρυθμιστεί και μπορεί να εισέλθει στον Υπηρεσία Power BI για την αντιμετώπιση προβλημάτων. Ωστόσο, υπάρχει ένα συσχετισμένο κόστος καθώς απαιτεί μια άδεια χρήσης Power BI Pro ή PPU. Επίσης, ένας κύριος λογαριασμός χρήστη δεν μπορεί να απαιτεί MFA.
Συνοπτικά, ο παρακάτω πίνακας συγκρίνει τους δύο τύπους ταυτότητας ενσωμάτωσης.
| Στοιχείο | Κύρια υπηρεσία | Κύριος λογαριασμός χρήστη |
|---|---|---|
| τύπος αντικειμένου Azure AD | Κύρια υπηρεσία | User |
| Διαχείριση διαπιστευτηρίων | Χρήση μυστικών ή πιστοποιητικών με περιοδική περιστροφή | Να πραγματοποιούν συχνές ενημερώσεις κωδικού πρόσβασης |
| Ρυθμίσεις μισθωτή Power BI | Ένας διαχειριστής του Power BI πρέπει να επιτρέπει τη χρήση των οντοτήτων υπηρεσίας. Συνιστούμε οι οντότητες υπηρεσίας να ανήκουν σε μια αποκλειστική ομάδα ασφαλείας | Δεν υπάρχει |
| Χρήση του REST API του Power BI | Ορισμένες λειτουργίες διαχείρισης και ροών δεδομένων δεν υποστηρίζονται. μπορείτε να ενεργοποιήσετε έλεγχο ταυτότητας κύριας υπηρεσίας για API διαχειριστή μόνο για ανάγνωση. | Υποστηρίζονται όλες οι λειτουργίες |
| Υπηρεσία Power BI εισόδου | Δεν υποστηρίζεται | Υποστηρίζεται |
| Παραχώρηση αδειών χρήσης | Δεν απαιτείται | Power BI Pro ή PPU |
| πρόταση Azure AD | Συνιστάται (ιδιαίτερα για εφαρμογές παραγωγής) | Δεν συνιστάται (αλλά μπορεί να είναι κατάλληλο για την ανάπτυξη ή τη δοκιμή εφαρμογών) |
| Πρόσθετες πληροφορίες | Δεν είναι δυνατή η απαίτηση MFA, Δεν είναι δυνατή η ενσωμάτωση σελιδοποιημένων αναφορών |