Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo usar el proxy de aplicación de Microsoft Entra para permitir que la aplicación móvil de Power BI se conecte a Power BI Report Server (PBIRS) y SQL Server Reporting Services (SSRS) 2016 y versiones posteriores. A través de esta integración, los usuarios que están lejos de la red corporativa pueden acceder a sus informes de Power BI desde la aplicación móvil de Power BI y protegerse mediante la autenticación de Microsoft Entra. Esta protección incluye ventajas de seguridad , como el acceso condicional y la autenticación multifactor.
Prerrequisitos
- Implemente Reporting Services en su entorno.
- Habilite el proxy de aplicación de Microsoft Entra.
- Cuando sea posible, use los mismos dominios internos y externos para Power BI. Para más información sobre los dominios personalizados, consulte Trabajar con dominios personalizados en el proxy de aplicación.
Paso 1: Configurar la delegación restringida de Kerberos (KCD)
En el caso de las aplicaciones locales que usan la autenticación de Windows, puede lograr el inicio de sesión único (SSO) con el protocolo de autenticación Kerberos y una característica denominada delegación restringida de Kerberos (KCD). El conector de red privada usa KCD para obtener un token de Windows para un usuario, incluso si el usuario no ha iniciado sesión directamente en Windows. Para más información sobre KCD, consulte Introducción a la delegación restringida de Kerberos y Delegación restringida de Kerberos para el inicio de sesión único en las aplicaciones con proxy de aplicación.
No hay mucho que configurar en el lado de Reporting Services. Se requiere un nombre de entidad de seguridad de servicio (SPN) válido para que se produzca la autenticación Kerberos adecuada. Habilite el servidor de Reporting Services para la Negotiate
autenticación.
Configurar el Nombre de Entidad de Seguridad de Servicio (SPN)
El SPN es un identificador único para un servicio que usa la autenticación Kerberos. Se requiere un SPN HTTP adecuado para el servidor de informes. Para obtener información sobre cómo configurar el nombre de entidad de seguridad de servicio (SPN) adecuado para el servidor de informes, consulte Registrar un nombre de entidad de seguridad de servicio (SPN) para un servidor de informes.
Compruebe que el SPN se agregó ejecutando el Setspn
comando con la -L
opción . Para más información sobre el comando, consulte Setspn.
Habilitar la autenticación Negotiate
Para permitir que un servidor de informes use la autenticación Kerberos, configure el tipo de autenticación del servidor de informes para que sea RSWindowsNegotiate. Configure esta opción mediante el archivo rsreportserver.config.
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsKerberos />
<RSWindowsNTLM />
</AuthenticationTypes>
Para obtener más información, vea Modificar un archivo de configuración de Reporting Services y Configurar la autenticación de Windows en un servidor de informes.
Asegúrese de que el conector es de confianza para la delegación al SPN agregado a la cuenta del grupo de aplicaciones de Reporting Services.
Configurar KCD para que el servicio de proxy de aplicaciones de Microsoft Entra pueda delegar identidades de usuario a la cuenta del grupo de aplicaciones de Reporting Services. Configura el conector de red privada para recuperar vales Kerberos para los usuarios autenticados con Microsoft Entra ID. El servidor pasa el contexto a la aplicación Reporting Services.
Para configurar KCD, repita los pasos siguientes para cada máquina del conector:
- Inicie sesión en un controlador de dominio como administrador de dominio y, a continuación, abra Usuarios y equipos de Active Directory.
- Busque el equipo en el que se ejecuta el conector.
- Seleccione el equipo haciendo doble clic y, a continuación, seleccione la pestaña Delegación .
- Establezca la configuración de delegación en Confiar en este equipo para la delegación solo en los servicios especificados. Después, seleccione Usar cualquier protocolo de autenticación.
- Seleccione Agregar y, luego, Usuarios o equipos.
- Escriba la cuenta de usuario de servicio que configuró para Servicios de Generación de Informes.
- Selecciona Aceptar. Para guardar los cambios, seleccione Aceptar de nuevo.
Para más información, consulte Delegación restringida de Kerberos para inicio de sesión único en tus aplicaciones mediante un proxy de aplicación.
Paso 2: Publicar los Servicios de Generación de Informes a través del proxy de aplicación de Microsoft Entra
Ahora está listo para configurar el proxy de aplicaciones de Microsoft Entra.
Publique Reporting Services a través del proxy de la aplicación con la siguiente configuración. Para obtener instrucciones paso a paso sobre cómo publicar una aplicación a través del proxy de aplicación, consulte Publicación de aplicaciones con el proxy de aplicación de Microsoft Entra.
Dirección URL interna: escriba la dirección URL en el servidor de informes al que puede acceder el conector en la red corporativa. Asegúrese de que esta dirección URL sea accesible desde el servidor en el que está instalado el conector. Una práctica recomendada es usar un dominio de nivel superior como
https://servername/
para evitar problemas con las subrutas publicadas a través del proxy de aplicación. Por ejemplo, usehttps://servername/
y nohttps://servername/reports/
ohttps://servername/reportserver/
.Nota:
Use una conexión HTTPS segura al servidor de informes. Para obtener más información sobre cómo configurar una conexión segura, consulte Configuración de conexiones seguras en un servidor de informes en modo nativo.
Dirección URL externa: escriba la dirección URL pública a la que se conecta la aplicación móvil de Power BI. Por ejemplo, parece
https://reports.contoso.com
si se usa un dominio personalizado. Para usar un dominio personalizado, cargue un certificado para el dominio y apunte un registro del sistema de nombres de dominio (DNS) al dominio predeterminadomsappproxy.net
de la aplicación. Para ver los pasos detallados, consulte Usar dominios personalizados en el proxy de aplicaciones de Microsoft Entra.Método de autenticación previa: Microsoft Entra ID.
Una vez publicada la aplicación, establezca la configuración de inicio de sesión único según los pasos siguientes:
a) En la página de la aplicación en el portal, seleccione Inicio de sesión único.
b. En Modo de inicio de sesión único, seleccione Autenticación de Windows integrada.
c. Establezca el SPN de la aplicación interno en el valor establecido anteriormente.
d. Elija la Identidad de inicio de sesión delegada que va a usar el conector en nombre de los usuarios. Para más información, consulte Trabajar con diferentes identidades locales y de nube.
e. Seleccione Guardar para guardar los cambios.
Para terminar de configurar la aplicación, vaya a la sección Usuarios y grupos y asigne usuarios para acceder a esta aplicación.
Paso 3: Modificar el identificador uniforme de recursos de respuesta (URI) para la aplicación
Configure el registro de aplicaciones que se creó automáticamente en el paso 2.
En la página Información general de Microsoft Entra ID, seleccione Registros de aplicaciones.
En la pestaña Todas las aplicaciones , busque la aplicación que creó en el paso 2.
Seleccione la aplicación y luego Autenticación.
Agregue el URI de redirección para la plataforma.
Al configurar la aplicación para Power BI Mobile en iOS, agregue los identificadores uniformes de recursos (URI) de redirección de tipo
Public Client (Mobile & Desktop)
.msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
mspbi-adal://com.microsoft.powerbimobile
mspbi-adalms://com.microsoft.powerbimobilems
Al configurar la aplicación para Power BI Mobile en Android, agregue los identificadores uniformes de recursos (URI) de redirección de tipo
Public Client (Mobile & Desktop)
.urn:ietf:wg:oauth:2.0:oob
mspbi-adal://com.microsoft.powerbimobile
msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D
Importante
Los URI de redireccionamiento deben agregarse para que la aplicación funcione correctamente. Si va a configurar la aplicación para Power BI Mobile iOS y Android, agregue el URI de redireccionamiento de tipo Cliente público (móvil y escritorio) a la lista de URI de redireccionamiento configurados para iOS:
urn:ietf:wg:oauth:2.0:oob
.
Paso 4: Conexión desde la aplicación móvil de Power BI
En la aplicación móvil de Power BI, conéctese a la instancia de Reporting Services. Escriba la dirección URL externa de la aplicación que publicó a través del proxy de aplicación.
Seleccione Conectar. Se carga la página de inicio de sesión de Microsoft Entra.
Escriba las credenciales válidas para el usuario y seleccione Iniciar sesión. Se muestran los elementos del servidor de Reporting Services.
Paso 5: Configurar la directiva de Intune para dispositivos administrados (opcional)
Puede usar Microsoft Intune para administrar las aplicaciones cliente que usan los empleados de su empresa. Intune proporciona funcionalidades como el cifrado de datos y los requisitos de acceso. Habilite la aplicación móvil de Power BI con la política de Intune.
- Navegar a Entra ID>Registros de aplicaciones.
- Seleccione la aplicación configurada en el paso 3 al registrar la aplicación cliente nativa.
- En la página de la aplicación, seleccione Permisos de API.
- Seleccione Agregar un permiso.
- En API que usa mi organización, busque y seleccione Administración de aplicaciones móviles de Microsoft.
- Agregue el permiso DeviceManagementManagedApps.ReadWrite a la aplicación.
- Seleccione Conceder consentimiento del administrador para conceder el acceso de permisos a la aplicación.
- Configure la directiva de Intune que desee consultando Cómo crear y asignar directivas de protección de aplicaciones.
Solución de problemas
Si la aplicación devuelve una página de error después de intentar cargar un informe durante más de unos minutos, es posible que tenga que cambiar la configuración del tiempo de espera. De forma predeterminada, el proxy de aplicación admite aplicaciones que tardan hasta 85 segundos en responder a una solicitud. Para alargar esta configuración a 180 segundos, seleccione el tiempo de espera del back-end a Largo en la página de configuración del proxy de aplicación de la aplicación. Para obtener sugerencias sobre cómo crear informes rápidos y confiables, consulte Procedimientos recomendados de informes de Power BI.
El uso del proxy de aplicación de Microsoft Entra para permitir que la aplicación móvil de Power BI se conecte a un servidor de informes de Power BI local no es compatible con las directivas de acceso condicional que requieren la aplicación de Microsoft Power BI como una aplicación cliente aprobada.