Configuración de la aplicación de Microsoft Entra ID
Para usar la API de autenticación, el ISV debe registrar primero una aplicación en Microsoft Entra ID para que se admita cada nube y autorizar previamente las aplicaciones de Power BI con un ámbito dedicado para cada objeto visual. A continuación, el administrador de inquilinos debe conceder consentimiento. En este artículo, se describen todos estos pasos esenciales.
La API de autenticación se admite en las nubes siguientes:
- COM(obligatoria): nube comercial
- CN: nube de China
- GCC: nube de la comunidad del gobierno de EE. UU.
- GCCHIGH: US Government Community Cloud High
- DOD: US Department of Defense Cloud
Registro de la aplicación en Microsoft Entra ID
Para cada nube que vaya a ser compatible con el objeto visual, siga los pasos que se describen a continuación:
Vaya a la instancia de Azure Portal correspondiente y vaya a Registros de aplicaciones.
Seleccione + Nuevo registro
En la página Registrar una aplicación, realice lo siguiente:
- Escriba el nombre de la aplicación deseado en la sección Nombre.
- Seleccione Cuentas en cualquier directorio organizativo (cualquier directorio de Azure AD: multiinquilino) en la sección Tipos de cuenta admitidos.
- Seleccione Registrar.
Una vez que la aplicación se haya registrado correctamente, seleccione Exponer una API en el menú del lado izquierdo.
En el campo URI de id. de aplicación, seleccione Agregar.
En el campo Editar URI del identificador de aplicación, escriba el dominio personalizado comprobado asegurándose de que comience por "https://" y que no contenga "onmicrosoft.com". Seleccione Guardar.
Para agregar un dominio personalizado:
- Vaya a Nombres de dominio personalizados de Microsoft Entra ID.
- Agregue un dominio personalizado.
Nota:
El URI de la aplicación se puede agregar manualmente al manifiesto de aplicación en la matriz "identifierUris".
Seleccione + Agregar un ámbito.
En el campo Nombre del ámbito, escriba <visual_guid>_CV_ForPBI y agregue la información necesaria. Rellene los campos Consentimiento del administrador. A continuación, seleccione el botón Agregar ámbito. (Hay un límite de longitud de ámbito de 40 caracteres, pero puede modificar manualmente el nombre del ámbito en el manifiesto de aplicación registrado para administrar esta limitación).
Para autorizar previamente las aplicaciones de Power BI:
Seleccione + Agregar una aplicación cliente.
Escriba el appId de la aplicación Power BI WFE "871c010f-5e61-4fb1-83ac-98610a7e9110" en el campo Id. de cliente de la ventana derecha.
Seleccione el ámbito deseado.
Seleccione Agregar aplicación.
Repita este proceso con:
Power BI Desktop: "7f67af8a-fedc-4b08-8b4e-37c4d127b6cf".
Power BI Mobile:
- COM (obligatoria) y CN: "c0d2a505-13b8-4ae0-aa9e-cddd5eab0b12".
- GCC, GCCHIGH y DOD: “ce76e270-35f5-4bea-94ff-eab975103dc6".
Consentimiento de ISV
El administrador de inquilinos puede determinar si los usuarios pueden dar su consentimiento por sí mismos. Este proceso de consentimiento tiene lugar fuera de Power BI.
La aplicación back-end de ISV (por ejemplo, https://contoso.com
) debe dar su consentimiento a Graph API y a otras dependencias (por parte de usuarios o administradores de inquilinos) según las reglas de AAD estándar:
Si la aplicación ISV se ejecuta en un inquilino diferente al del inquilino del consumidor visual, conceda consentimiento para la aplicación del ISV de una de las maneras siguientes:
Consentimiento previo del administrador:
Siga las instrucciones de Concesión de consentimiento de administrador para todo el inquilino a una aplicación. Reemplace la dirección URL de consentimiento del administrador para todo el inquilino por el vínculo correspondiente para cada nube:
- COM y GCC:
https://login.microsoftonline.com/{organization}/adminconsent?client_id={clientId}
- CN:
https://login.partner.microsoftonline.cn/{organization}/adminconsent?client_id={clientId}
- GCCHIGH y DOD:
https://login.microsoftonline.us/{organization}/adminconsent?client_id={clientId}
- COM y GCC:
Consentimiento interactivo:
Si el administrador de inquilinos no ha dado su consentimiento previo, cualquier usuario que use un objeto visual que desencadene la API recibe una solicitud de consentimiento única al representar el objeto visual. Consulte Experiencia de consentimiento de la aplicación para obtener más información.