Introducción
Para insertar contenido de Power BI en la aplicación, debe desarrollar la aplicación para que adquiera un token de acceso. El tipo de flujo de autenticación (y token de acceso) depende del escenario de inserción.
Nota
Para obtener información sobre los escenarios de inserción, consulte el módulo Selección de un producto de análisis integrado de Power BI.
En cualquiera de los escenarios, la aplicación debe adquirir un token de Azure AD. Un token de Azure AD contiene notificaciones para identificar los permisos concedidos a la API REST de Power BI. Tiene un plazo de expiración, que normalmente es de una hora. Un token de Azure AD válido debe estar presente en todas las operaciones de API.
Uso de un flujo de autenticación interactivo
Para adquirir un token de Azure AD para el escenario Para la organización, la aplicación usa un flujo de autenticación interactivo. Un flujo de autenticación interactivo significa que Azure AD puede solicitar al usuario que utilice su nombre de usuario y contraseña, para iniciar sesión, e incluso pueda usar la autenticación multifactor (MFA). Azure AD también podría pedir al usuario que conceda un mayor consentimiento a los recursos (necesario al iniciar sesión por primera vez en la aplicación).
Nota
Si la aplicación habilita el uso del inicio de sesión único (SSO), los usuarios no tendrán que iniciar sesión cada vez que la usen. El proceso de autenticación almacenará las credenciales en la caché en una cookie de sesión la primera vez que el usuario se autentique y la aplicación puede usar estas credenciales hasta que expiren, lo cual, de forma predeterminada, sucede después de 90 días.
Una vez adquirido, la aplicación debe almacenar en caché el token de Azure AD. Después, la aplicación lo usará para insertar contenido de Power BI sobre el que el usuario tendrá permiso para trabajar.
En el siguiente vídeo se muestra el uso de un flujo de autenticación interactivo.
Aprenderá a adquirir tokens de Azure AD en la unidad 3.
Uso de un flujo de autenticación no interactivo
Para adquirir un token de Azure AD para el escenario Para la organización, la aplicación usa un flujo de autenticación no interactivo. No es necesario que los usuarios de la aplicación tengan cuenta de Power BI e incluso si la tienen, no la van a usar. Una identidad de Azure AD dedicada, conocida como identidad de inserción, se autentica en Azure AD. Una identidad de inserción puede ser una entidad de servicio o una cuenta de usuario maestra.
Un flujo de autenticación no interactivo también se conoce como autenticación silenciosa. Intenta adquirir un token de Azure de una manera en la que el servicio de autenticación no pueda solicitar al usuario información adicional. Una vez que el usuario se autentique con la aplicación (mediante el método de autenticación que elija), esta usará la identidad de inserción para adquirir un token de Azure AD mediante un flujo de autenticación no interactivo.
Una vez que la aplicación adquiere un token de Azure AD, lo almacena en la caché y lo usa para generar un token de inserción. Un token de inserción representa hechos sobre contenido de Power BI y cómo acceder a ellos.
En concreto, un token de inserción describe:
- Las notificaciones sobre contenido de Power BI específico.
- El nivel de acceso que se establece para ver, crear o editar. (Los niveles de creación y edición solo se aplican a informes de Power BI).
- La duración del token, que determina cuándo expira este.
- Opcionalmente, una notificación a un área de trabajo de destino para guardar nuevos informes.
- Opcionalmente, una o varias identidades efectivas para que Power BI pueda aplicar permisos de datos.
Nota
Para obtener información sobre las identidades efectivas, realice el módulo Aplicación de permisos de datos para el módulo de análisis integrados de Power BI.
Vea el vídeo siguiente que muestra el uso de un flujo de autenticación no interactivo.
Aprenderá a adquirir tokens de inserción en la unidad 3.
Uso de una entidad de servicio
La aplicación puede usar una entidad de servicio para adquirir un token de Azure AD. Una entidad de servicio de Azure es la identidad de seguridad que usan las aplicaciones. Define la directiva y los permisos de acceso de la aplicación en el inquilino de Azure AD, lo que habilita características principales, como la autenticación de la aplicación durante el inicio de sesión y la autorización durante el acceso a los recursos. Una entidad de servicio puede autenticarse mediante un secreto de aplicación o un certificado. En el caso de las aplicaciones de producción, se recomienda proteger las entidades de servicio mediante certificados, en lugar de claves secretas, ya que es más seguro.
Si la identidad de inserción de la aplicación es una entidad de servicio, un administrador de inquilinos de Power BI primero debe:
- Habilitar el uso de entidades de servicio.
- Registrar un grupo de seguridad que las contenga.
En la imagen siguiente se muestra la configuración del desarrollador (que se encuentra en la configuración del inquilino del portal de administración), en la que un administrador de Power BI puede habilitar las entidades de servicio para que usen las API de Power BI.
Importante
Si un administrador permite el uso de entidades de servicio con Power BI, los permisos de Azure AD de la aplicación dejarán de surtir efecto. A partir de ese momento, los administradores administran los permisos de la aplicación en el portal de administración de Power BI.
En Power BI, la entidad de servicio debe pertenecer al rol de administrador o miembro del área de trabajo para insertar contenido de esta. Solo las nuevas áreas de trabajo admiten asignaciones de roles en una entidad de servicio y no se admiten áreas de trabajo personales.
Nota
No es posible iniciar sesión en el servicio Power BI mediante una entidad de servicio.
Para más información, consulte:
- Objetos de aplicación y de entidad de servicio de Azure Active Directory (objeto de entidad de servicio).
- Inserción de contenido de Power BI con entidades de servicio y un certificado
Uso de una cuenta de usuario maestra
La aplicación puede usar una cuenta de usuario maestra para adquirir un token de AD. Una cuenta de usuario maestra es un usuario de Azure AD normal. En Power BI, la cuenta debe pertenecer al rol de administrador o miembro del área de trabajo para insertar contenido de esta. También debe tener una licencia de Power BI Pro o Power BI Premium por usuario (PPU).
Nota:
No se puede usar una cuenta de usuario maestra para insertar informes paginados.
Comparación entre tipos de identidad de inserción
Se recomienda usar una entidad de servicio en el caso de aplicaciones de producción. Proporciona la máxima seguridad, por eso es el enfoque que recomienda Azure AD. Además, admite una mejor automatización y escalado, y hay menos sobrecarga de administración. Sin embargo, requiere derechos de administrador de Power BI para configurar y administrar.
Puede considerar el uso de una cuenta de usuario maestra para aplicaciones de desarrollo o prueba. Es fácil de configurar y puede iniciar sesión en el servicio Power BI para ayudar a solucionar problemas. Sin embargo, hay un costo asociado porque requiere una licencia de Power BI Pro o PPU. Además, una cuenta de usuario maestra no puede requerir autenticación multifactor.
En resumen, en la tabla siguiente se comparan los dos tipos de identidad de inserción.
| Elemento | Entidad de servicio | Cuenta de usuario maestra |
|---|---|---|
| Tipo de objeto de Azure AD | Entidad de servicio | Usuario |
| Administración de credenciales | Uso de secretos o certificados con rotación periódica | Realice actualizaciones frecuentes de contraseñas |
| Configuración de un inquilino de Power BI | Un administrador de Power BI debe permitir el uso de entidades de servicio; se recomienda que las entidades de servicio pertenezcan a un grupo de seguridad dedicado. | No aplicable |
| Uso de la API REST de Power BI | Algunas de las operaciones del administrador y de los flujos de datos no se admiten; puede habilitar la autenticación de la entidad de servicio para las API de administrador de solo lectura. | Se admiten todas las operaciones |
| Inicio de sesión en el servicio Power BI | No compatible | Compatible |
| Licencias | No se requiere | Power BI Pro o PPU |
| Recomendación de Azure AD | Recomendable (especialmente para aplicaciones de producción) | No recomendable (pero puede ser adecuado para aplicaciones de desarrollo o prueba) |
| Información adicional | No se puede requerir MFA; no se pueden insertar informes paginados |