Power BI sisällön upottaminen palvelun päänimeen ja sovelluksen salauskoodiin

Palvelun päänimi on todentamismenetelmä, jonka avulla Azure Active Directory (Azure AD) -sovellus voi käyttää Power BI -palvelu sisältöä ja ohjelmointirajapintoja.

Kun luot Azure Active Directory -sovelluksen, luodaan palvelun pääobjekti. Palvelun pääobjekti, jota kutsutaan myös palvelun päänimeksi, antaa Azure AD:lle oikeuden sovelluksesi todentamiseen. Kun sovellus on todennettu, se voi käyttää Azure AD vuokraajan resursseja.

Todentamiseen palvelun päänimi käyttää Azure AD sovelluksen sovellustunnusta ja jotakin seuraavista:

  • Varmenne
  • Sovelluksen salauskoodi

Tässä artikkelissa kuvataan palvelun päänimen todentaminen sovellustunnuksen ja sovellussalaisuuden avulla.

Huomautus

Suosittelemme, että suojaat taustapalvelusi varmenteiden avulla salaisten avainten sijaan.

Menetelmä

Jos haluat käyttää palvelun päänimeä ja sovellustunnusta upotetussa analyysissa, toimi seuraavasti. Seuraavissa osioissa kuvataan nämä vaiheet yksityiskohtaisesti.

  1. Luo Azure AD -sovellus.

    1. Luo Azure AD sovellukselle salainen koodi.
    2. Hanki sovelluksen sovellustunnus ja sovelluksen salauskoodi.

    Huomautus

    Nämä vaiheet on kuvattu vaiheessa 1. Lisätietoja Azure AD sovelluksen luomisesta on artikkelissa Azure AD sovelluksen luominen.

  2. Luo Azure AD:n käyttöoikeusryhmä.

  3. Ota Power BI -palvelun järjestelmänvalvojan asetukset käyttöön.

  4. Lisää palvelun päänimi työtilaasi.

  5. Upota sisältö.

Tärkeä

Azure AD sovellus ei edellytä, että määrität delegoidut käyttöoikeudet tai sovelluksen käyttöoikeudet Azure-portaali, kun se on luotu palvelun päänimelle. Kun luot Azure AD -sovelluksen palvelun päänimelle Power BI REST -ohjelmointirajapinnan käyttämistä varten, suosittelemme välttämään käyttöoikeuksien lisäämistä. Niitä ei koskaan käytetä, ja ne voivat aiheuttaa virheitä, joiden vianmääritys on vaikeaa.

Vaihe 1 – Luo Azure AD -sovellus

Luo Azure AD-sovellus käyttämällä jotakin seuraavista menetelmistä:

Azure AD sovelluksen luominen Azure-portaali

  1. Kirjaudu sisään Azure-portaaliin.

  2. Etsi ja valitse Sovelluksen rekisteröinnit.

    Näyttökuva Azure-portaali, jossa sovelluksen rekisteröinti on hakuruudussa. Kyseinen ruutu ja Sovelluksen rekisteröinnit -kuvake on korostettu.

  3. Valitse Uusi rekisteröinti.

    Näyttökuva sovelluksen rekisteröinnit -sivusta Azure-portaali. Uusi rekisteröinti on korostettu.

  4. Täytä tarvittavat tiedot:

    • Nimi – Anna sovelluksen nimi.
    • Tuetut tilityypit – Valitse tuetut tilityypit.
    • (Valinnainen) Uudelleenohjauksen URI – Anna URI tarvittaessa.
  5. Valitse Rekisteri.

  6. Kun olet rekisteröinyt sovelluksesi, sovellustunnus on käytettävissä Yleiskatsaus-välilehdessä . Kopioi ja tallenna sovellustunnus myöhempää käyttöä varten.

    Näyttökuva uuden sovelluksen Yleiskatsaus-sivusta. Sovellustunnus on tulkitsematon, ja se korostetaan.

  7. Valitse Varmenteet salasanat&.

    Näyttökuva uuden sovelluksen Yleiskatsaus-sivusta. Siirtymisruudussa Varmenteet-salaiset koodit on korostettu & .

  8. Valitse Uusi asiakassalaisuus.

    Näyttökuvassa näkyy osa sovelluksen Varmenteet salasanat & -sivusta. Asiakassalaisuudet-kohdassa Uusi asiakassalaisuus -painike on korostettuna.

  9. Kirjoita Lisää asiakassalaisuus -ikkunassa kuvaus, määritä asiakasohjelman salasanan vanhenemisajan kohta ja valitse Lisää.

  10. Kopioi ja tallenna asiakasohjelman salasana -arvo.

    Näyttökuvassa on sovelluksen Varmenteiden salaiset koodit & -sivu. Asiakassalaisuudet-kohdassa näkyy uusi salaisuus. Sen tulkitsematon arvo korostetaan.

    Huomautus

    Kun poistut tästä ikkunasta, asiakasohjelman salasanan arvo on piilotettu, etkä voi tarkastella tai kopioida sitä uudelleen.

Azure AD sovelluksen luominen PowerShellin avulla

Seuraava PowerShell-mallikomentosarja luo uuden Azure AD sovelluksen ja palvelun päänimen. Ennen kuin suoritat tämän komentosarjan:

Kun komentosarja on suoritettu, kirjaa komentosarjan tulosteeseen seuraavat tiedot:

  • Uuden sovelluksen asiakastunnus
  • Uuden palvelun päänimen objektitunnus
  • Palvelun päänimen salasanan arvo
# Sign in as a user who's allowed to create an app.
Connect-MgGraph -Scopes "Application.ReadWrite.All" 

# Create a new Azure AD web application.
$web = @{
    RedirectUris = "https://localhost:44322"
    HomePageUrl = "https://localhost:44322"
}
$params = @{
    DisplayName = "myAzureADApp"
    Web = $($web)
}
$app = New-MgApplication @params
Write-Host "Client ID of new app: " $($app.AppId)

# Create a service principal.
$ServicePrincipalID=@{
  "AppId" = $($app.AppId)
  }
$sp = New-MgServicePrincipal -BodyParameter $($ServicePrincipalId)
Write-Host "Object ID of new service principal: " $($sp.Id)

# Create a key for the service principal.
$credential = Add-MgServicePrincipalPassword -ServicePrincipalId $($sp.Id)
Write-Host "Credential of new service principal: " $($credential.SecretText)

Vaihe 2 – Luo Azure AD:n käyttöoikeusryhmä

Palvelun päänimellä ei ole käyttöoikeutta mihinkään Power BI -sisältöihisi eikä ohjelmointirajapintoihisi. Jos haluat antaa palvelun päänimelle käyttöoikeuden, luo käyttöoikeusryhmä Azure AD. Lisää sitten luomasi palvelun päänimi tähän käyttöoikeusryhmään.

Huomautus

Jos haluat ottaa käyttöön täydelliset käyttöoikeudet koko organisaation tasolla, ohita tämä vaihe.

Azure AD -käyttöoikeusryhmän luomiseen on kaksi tapaa:

Käyttöoikeusryhmän luominen manuaalisesti

Jos haluat luoda Azure-käyttöoikeusryhmän manuaalisesti, noudata ohjeita artikkelissa Perusryhmän luominen ja jäsenten lisääminen.

Käyttöoikeusryhmän luominen PowerShellin avulla

Seuraava mallikomentosarja luo uuden käyttöoikeusryhmän. Se lisää myös aiemmin luomasi palvelun päänimen uuteen käyttöoikeusryhmään.

  • Ennen kuin suoritat komentosarjan, korvaa <app-client-ID> asiakastunnuksella, jonka tallensit aiemmin uudelle sovelluksellesi.
  • Kun komentosarja on suoritettu, kirjaa muistiin uuden käyttöoikeusryhmän objektitunnus, joka löytyy komentosarjan tulostuksesta.
# Sign in as an admin.
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Get the service principal that you created earlier.
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '<app-client-ID>'"

# Create an Azure AD security group.
$group = New-MgGroup -DisplayName "securitygroup1" -SecurityEnabled -MailEnabled:$False -MailNickName "notSet"
Write-Host "Object ID of new security group: " $($group.Id)

# Add the service principal to the group.
New-MgGroupMember -GroupId $($group.Id) -DirectoryObjectId $($servicePrincipal.Id)

Vaihe 3 – Ota Power BI -palvelun järjestelmänvalvojan asetukset käyttöön

Jotta Azure AD sovellus voi käyttää Power BI -sisältöä ja ohjelmointirajapintoja, Power BI -järjestelmänvalvojan on otettava käyttöön seuraavat asetukset:

  • Sisällön upottaminen sovelluksiin
  • Salli palvelun päänimien käyttää Power BI -ohjelmointirajapintoja

Siirry Power BI Hallinta portaalissavuokraaja-asetuksiin ja vieritä alaspäin kohtaan Kehittäjän asetukset.

  • Ota käyttöön Sisällön upottaminen sovelluksiin joko koko organisaatiolle tai tietylle käyttöoikeusryhmälle, jonka loit Azure AD.

    Näyttökuva kehittäjäasetuksista Hallinta-portaalin Vuokraaja-asetukset-osassa. Asetus sisällön upottamiseen sovelluksiin on käytössä.

  • Ota käyttöön Salli palvelun päänimien käyttää Power BI -ohjelmointirajapintoja joko koko organisaatiolle tai tietylle käyttöoikeusryhmälle, jonka loit Azure AD.

    Näyttökuva kehittäjäasetusten osiosta. Yhden käyttöoikeusryhmän kohdalla on käytössä asetus, jolla palvelujen päänimien sallitaan käyttää Power BI -ohjelmointirajapintoja.

    Tärkeä

    Palvelun päänimillä on käyttöoikeus kaikkiin asetuksiin, jotka niille on otettu käyttöön. Järjestelmänvalvojan asetusten mukaan tämä sisältää tietyt käyttöoikeusryhmät tai koko organisaation.

    Jos haluat rajoittaa palvelun päänimen käyttöoikeuksia tiettyihin vuokraajan asetuksiin, salli käyttö vain tietyille käyttöoikeusryhmille. Vaihtoehtoisesti voit luoda erityisen käyttöoikeusryhmän palvelun päänimiä varten ja jättää sen pois halutuista vuokraajan asetuksista.

Vaihe 4 – Lisää palvelun päänimi työtilaasi

Azure AD sovellus voi käyttää Power BI -raportteja, koontinäyttöjä ja tietojoukkoja vain, kun sillä on Power BI -työtilasi käyttöoikeus. Voit antaa käyttöoikeuden lisäämällä sovelluksen palvelun päänimen tai sen käyttöoikeusryhmän työtilaasi jäsenenä tai järjestelmänvalvojana.

Voit lisätä palvelun päänimen tai sen käyttöoikeusryhmän työtilaasi kolmella tavalla:

Palvelun päänimen tai käyttöoikeusryhmän lisääminen manuaalisesti

  1. Siirry Power BI -palvelu työtilaan, jonka käyttöoikeuden haluat ottaa käyttöön. Valitse Lisää-valikosta Työtilan käyttöoikeus.

    Näyttökuvassa näkyy työtilan laajennettu Lisää-valikko. Kyseisessä valikossa työtilan käyttöoikeus on korostettu.

  2. Lisää Käyttöoikeus-ruudunLisää järjestelmänvalvojia, jäseniä tai osallistujia -kohtaan jokin seuraavista:

    • Palvelun päänimi. Palvelun päänimi on Azure AD -sovelluksen näyttönimi sellaisena kuin se näkyy Azure AD -sovelluksesi Yleiskatsaus-välilehdellä.
    • Käyttöoikeusryhmä, joka sisältää palvelun päänimen.
  3. Valitse avattavasta valikosta Jäsen tai Hallinta.

  4. Valitse Lisää.

Palvelun päänimen tai käyttöoikeusryhmän lisääminen PowerShellin avulla

Seuraavissa osissa on PowerShell-mallikomentosarjat palvelun päänimen ja käyttöoikeusryhmän lisäämiseksi Power BI -työtilaan jäsenenä.

Palvelun päänimen lisääminen työtilan jäseneksi PowerShellin avulla

Seuraava komentosarja lisää palvelun päänimen työtilan jäseneksi. Ennen kuin suoritat komentosarjan:

  • Korvaa <service-principal-object-ID> objektitunnuksella, jonka tallensit aiemmin uudelle palvelun päänimelle.
  • Korvaa <workspace-name> sen työtilan nimellä, johon haluat antaa palvelun päänimen käyttöoikeuden.
# Sign in to Power BI.
Login-PowerBI

# Set up the service principal ID.
$SPObjectID = "<service-principal-object-ID>"

# Get the workspace.
$pbiWorkspace = Get-PowerBIWorkspace -Filter "name eq '<workspace-name>'"

# Add the service principal to the workspace.
Add-PowerBIWorkspaceUser -Id $($pbiWorkspace.Id) -AccessRight Member -PrincipalType App -Identifier $($SPObjectID)

Käyttöoikeusryhmän lisääminen työtilan jäseneksi PowerShellin avulla

Seuraava komentosarja lisää käyttöoikeusryhmän työtilan jäseneksi. Ennen kuin suoritat komentosarjan:

  • Korvaa <security-group-object-ID> objektitunnuksella, jonka tallensit aiemmin uudelle käyttöoikeusryhmälle.
  • Korvaa <workspace-name> sen työtilan nimellä, johon haluat antaa käyttöoikeusryhmän käyttöoikeuden.
# Sign in to Power BI.
Login-PowerBI

# Set up the security group object ID.
$SGObjectID = "<security-group-object-ID>"

# Get the workspace.
$pbiWorkspace = Get-PowerBIWorkspace -Filter "name eq '<workspace-name>'"

# Add the security group to the workspace.
Add-PowerBIWorkspaceUser -Id $($pbiWorkspace.Id) -AccessRight Member -PrincipalType Group -Identifier $($SGObjectID)

Vaihe 5 – Upota sisältö

Voit upottaa sisältösi mallisovellukseen tai omaan sovellukseesi.

Kun sisältösi on upotettu, olet valmis siirtymään tuotantoon.

Huomautus

Jos haluat suojata sisältösi varmenteen avulla, noudata Power BI -sisällön upottaminen palvelun päänimeen ja varmenteeseen -kohdassa kuvattuja vaiheita.

Huomioitavat asiat ja rajoitukset

  • Omaa työtilaa ei tueta, kun käytät palvelun päänimeä.
  • Tarvitset kapasiteettia, kun siirryt tuotantoon.
  • Et voi kirjautua Power BI -portaaliin palvelun päänimellä.
  • Power BI -järjestelmänvalvojan oikeuksia tarvitaan palvelun päänimen käyttöön ottamiseksi Power BI Hallinta portaalin kehittäjäasetuksissa.
  • Organisaatiosi upotetut sovellukset eivät voi käyttää palvelun päänimeä.
  • Tietovoiden hallintaa ei tueta.
  • Palvelun päänimi tukee vain joitakin vain luku -muotoisia järjestelmänvalvojan ohjelmointirajapintoja. Jos haluat ottaa palvelun päänimen tuen käyttöön vain luku -oikeutetuille järjestelmänvalvojan ohjelmointirajapinnoille, sinun on otettava Power BI -palvelu järjestelmänvalvojan asetukset käyttöön vuokraajassasi. Lisätietoja on artikkelissa Palvelun päänimen todentamisen ottaminen käyttöön vain luku -tilassa oleville järjestelmänvalvojan ohjelmointirajapinnoille.
  • Kun käytät palvelun päänimeä Azure Analysis Services tietolähteen kanssa, itse palvelun päänimellä on oltava Azure Analysis Services-esiintymän käyttöoikeudet. Tähän ei toimi käyttöoikeusryhmä, joka sisältää palvelun päänimen.

Seuraavat vaiheet