Power BI sisällön upottaminen palvelun päänimeen ja sovelluksen salauskoodiin

Palvelun päänimi todentamismenetelmä, jonka avulla Azure AD -sovellus voi käyttää Power BI -palvelun sisältöä ja ohjelmointi rajapintoja.

Kun luot Azure Active Directory (Azure AD) -sovelluksen, luodaan palvelun pääobjekti. Palvelun pääobjekti, jota kutsutaan myös palvelun päänimeksi, antaa Azure AD:lle oikeuden sovelluksesi todentamiseen. Kun sovellus on todennettu, se voi käyttää Azure AD:n vuokraajaresursseja.

Todentamisessa palvelun päänimi käyttää Azure AD -sovelluksen sovellustunnusta ja jotakin seuraavista:

  • Varmenne
  • Sovellussalaisuus

Tässä artikkelissa kuvataan todentaminen palvelun päänimellä sovellustunnuksen ja sovelluksen salauskoodin avulla.

Huomautus

Azure AD suosittelee, että suojaat taustapalvelusi varmenteiden avulla salaisten avainten sijaan.

Menetelmä

Jos haluat käyttää palvelun päänimeä ja sovellustunnusta upotetussa analyysissa, toimi seuraavasti:

  1. Luo Azure AD -sovellus.

    1. Luo Azure AD -sovellus.
    2. Hanki sovelluksen sovellustunnus ja sovelluksen salauskoodi.

    Huomautus

    Nämä vaiheet on kuvattu vaiheessa 1. Lisätietoja Azure AD sovelluksen luomisesta on kohdassa Azure AD sovelluksen luominen.

  2. Luo Azure AD:n käyttöoikeusryhmä.

  3. Ota Power BI -palvelun järjestelmänvalvojan asetukset käyttöön.

  4. Lisää palvelun päänimi työtilaasi.

  5. Upota sisältö.

Tärkeä

Kun otat palvelun päänimen käyttöön käytettäväksi Power BI:n kanssa, sovelluksen AD-käyttöoikeudet eivät ole enää voimassa. Sovelluksen käyttöoikeuksia hallitaan tässä tapauksessa Power BI -hallintaportaalissa.

Vaihe 1 – Luo Azure AD -sovellus

Luo Azure AD -sovellus seuraavasti:

Sovelluksen luominen Microsoft Azure -portaalissa

  1. Kirjaudu Microsoft Azureen.

  2. Etsi Sovelluksen rekisteröinnit ja napsauta Sovelluksen rekisteröinnit -linkkiä.

    azure-sovelluksen rekisteröinti

  3. Napsauta Uusi rekisteröinti.

    uusi rekisteröinti

  4. Täytä tarvittavat tiedot:

    • Nimi – Anna nimi sovelluksellesi
    • Tuetut tilityypit – Valitse tuetut tilityypit
    • (Valinnainen) Uudelleenohjauksen URI – Anna URI tarvittaessa
  5. Valitse Rekisteröi.

  6. Rekisteröinnin jälkeen Sovellustunnus on käytettävissä Yleiskatsaus-välilehdessä. Kopioi ja tallenna sovellustunnus myöhempää käyttöä varten.

    Näyttökuva näyttää, mistä sovellustunnus hankitaan Yleiskatsaus-välilehdellä.

  7. Napsauta Varmenteet salaiset koodit & -välilehteä.

    Näyttökuvassa näkyy Azure-portaalin sovelluksen Varmenteet ja salasanat -ruutu.

  8. Napsauta Uusi asiakasohjelman salasana

    Näyttökuva, jossa on näkyvissä Uusi asiakassalaisuus -painike Varmenteet ja salasanat -ruudussa.

  9. Kirjoita Lisää asiakasohjelman salasana -ikkunaan kuvaus, määritä asiakasohjelman salasanan vanhenemisajankohta ja napsauta Lisää.

  10. Kopioi ja tallenna Asiakasohjelman salasana -arvo.

    Näyttökuva, jossa on näkyvissä hämärtynyt salasana-arvo Varmenteet ja salasanat -ruudussa.

    Huomautus

    Kun poistut tästä ikkunasta, asiakasohjelman salasanan arvo piilotetaan etkä pysty lukemaan etkä kopioimaan sitä uudelleen.

Azure AD -sovelluksen luominen PowerShellin avulla

Tässä osiossa on mallikomentosarja, jolla voit luoda uuden Azure AD -sovelluksen PowerShellin avulla.

# The app ID - $app.appid
# The service principal object ID - $sp.objectId
# The app key - $key.value

# Sign in as a user that's allowed to create an app
Connect-AzureAD

# Create a new Azure AD web application
$app = New-AzureADApplication -DisplayName "testApp1" -Homepage "https://localhost:44322" -ReplyUrls "https://localhost:44322"

# Creates a service principal
$sp = New-AzureADServicePrincipal -AppId $app.AppId

# Get the service principal key
$key = New-AzureADServicePrincipalPasswordCredential -ObjectId $sp.ObjectId

Vaihe 2 – Luo Azure AD:n käyttöoikeusryhmä

Palvelun päänimellä ei ole käyttöoikeutta mihinkään Power BI -sisältöihisi eikä ohjelmointirajapintoihisi. Kun haluat antaa palvelun päänimelle käyttöoikeuden, luo käyttöoikeusryhmä Azure AD:ssä ja lisää luomasi palvelun päänimi kyseiseen käyttöoikeusryhmään.

Azure AD -käyttöoikeusryhmän luomiseen on kaksi tapaa:

Käyttöoikeusryhmän luominen manuaalisesti

Jos haluat luoda Azure-käyttöoikeusryhmän manuaalisesti, noudata ohjeita artikkelissa Perusryhmän luominen ja jäsenten lisääminen.

Käyttöoikeusryhmän luominen PowerShellin avulla

Alla on esimerkkikomentosarja, jolla luodaan uusi käyttöoikeusryhmä ja lisätään sovellus tähän käyttöoikeusryhmään.

Huomautus

Jos haluat ottaa käyttöön täydelliset käyttöoikeudet koko organisaation tasolla, ohita tämä vaihe.

# Required to sign in as admin
Connect-AzureAD

# Create an Azure AD security group
$group = New-AzureADGroup -DisplayName <Group display name> -SecurityEnabled $true -MailEnabled $false -MailNickName notSet

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId $($group.ObjectId) -RefObjectId $($sp.ObjectId)

Vaihe 3 – Ota Power BI -palvelun järjestelmänvalvojan asetukset käyttöön

Jotta Azure AD sovellus voi käyttää Power BI -sisältöä ja ohjelmointirajapintoja, Power BI -järjestelmänvalvojan on otettava käyttöön seuraava asetus:

  • Sisällön upottaminen sovelluksiin
  • Salli palvelun päänimien käyttää Power BI -ohjelmointirajapintoja.

Siirry Hallinta portaalinvuokraaja-asetuksiin ja vieritä alaspäin kohtaan Kehittäjäasetukset.

  • Ota käyttöön Upota sisältö sovelluksiin -toiminto, joka joko koskee koko organisaatiota tai tiettyä käyttöoikeusryhmää, jonka loit Azure AD.

    Näyttökuva, jossa näkyvät kehittäjäasetukset järjestelmänvalvojan asetuksissa, jotka upottavat sisältöä sovelluksiin.

  • Ota Salli palvelun päänimien käyttää Power BI -ohjelmointirajapintoja -valitsin joko koko organisaatiolle tai tietylle käyttöoikeusryhmälle, jonka loit Azure AD.

    Näyttö kuva, jossa näkyy Power BI -palvelun järjestelmänvalvojan asetusten kehittäjäasetukset.

    Tärkeä

    Palvelun päänimillä on käyttöoikeus kaikkiin asetuksiin, jotka niille on otettu käyttöön. Järjestelmänvalvojan asetusten mukaan tämä sisältää tietyt käyttöoikeusryhmät tai koko organisaation.

    Jos haluat rajoittaa palvelun päänimen käyttöoikeuksia tiettyihin vuokraajan asetuksiin, salli käyttö vain tietyille käyttöoikeusryhmille. Vaihtoehtoisesti voit luoda erityisen käyttöoikeusryhmän palvelun päänimiä varten ja jättää sen pois halutuista vuokraajan asetuksista.

Vaihe 4 – Lisää palvelun päänimi työtilaasi

Jotta Azure AD-sovelluksesi voi käyttää Power BI -palvelu kohteita, kuten raportteja, koontinäyttöjä ja tietojoukkoja, lisää palvelun pääentiteetti tai käyttöoikeusryhmä, joka sisältää palvelun päänimen, jäseneksi tai järjestelmänvalvojaksi työtilaasi.

Huomautus

Tässä osiossa on käyttöliittymän ohjeet. Voit lisätä palvelun päänimen tai käyttöoikeusryhmän työtilaan myös valitsemalla Ryhmät – Lisää ryhmän käyttäjän ohjelmointirajapinta.

  1. Siirry sen työtilan kohdalle, jonka käyttöoikeuden haluat ottaa käyttöön, ja valitse Lisää-valikosta Työtilan käyttöoikeus.

    Näyttökuva, jossa on näkyvissä Työtilan käyttöoikeus -painike Power BI -työtilan Lisää-valikossa.

  2. Lisää käyttöoikeusruudun tekstiosaan jokin seuraavista:

    • Palvelun päänimi. Palvelun päänimi on Azure AD -sovelluksen näyttönimi sellaisena kuin se näkyy Azure AD -sovelluksesi Yleiskatsaus-välilehdellä.

    • Käyttöoikeusryhmä, joka sisältää palvelun päänimen.

  3. Valitse avattavasta valikosta Jäsen tai Järjestelmänvalvoja.

  4. Valitse Lisää.

Palvelun päänimen lisääminen työtilan jäseneksi PowerShellin avulla

Tässä osiossa on mallikomentosarja, jolla voit lisätä palvelun päänimen työtilan jäseneksi PowerShellin avulla.

Login-PowerBI

# Service Principal Object ID for the created Service Principal
$SPObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType App -Identifier $SPObjectId 

Käyttöoikeusryhmän päänimen lisääminen työtilan jäseneksi PowerShellin avulla

Tässä osiossa on mallikomentosarja, jolla voit lisätä käyttöoikeusryhmän työtilan jäseneksi PowerShellin avulla.

Login-PowerBI

# Security Group Object ID for the created Security Group
$SGObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType Group -Identifier $SGObjectId 

Vaihe 5 – Upota sisältö

Voit upottaa sisältösi mallisovellukseen tai omaan sovellukseesi.

Kun sisältösi on upotettu, olet valmis siirtymään tuotantoon.

Huomautus

Jos haluat suojata ratkaisusi varmenteen avulla, noudata Power BI -sisällön upottaminen palvelun päänimeen ja varmenteeseen -kohdassa kuvattuja vaiheita.

Huomioitavat asiat ja rajoitukset

  • Omaa työtilaa ei tueta, kun käytät palvelun päänimeä.
  • Tarvitset kapasiteettia, kun siirryt tuotantoon.
  • Et voi kirjautua Power BI -portaaliin palvelun päänimellä.
  • Power BI -järjestelmänvalvojan oikeuksia edellytetään, kun otat palvelun päänimen käyttöön Power BI -hallintaportaalin kehittäjäasetuksissa.
  • Organisaatiosi upotetut sovellukset eivät voi käyttää palvelun päänimeä.
  • Tietovoiden hallintaa ei tueta.
  • Palvelun päänimi tukee vain joitakin vain luku -muotoisia järjestelmänvalvojan ohjelmointirajapintoja. Jos haluat ottaa palvelun päänimen tuen käyttöön vain luku -oikeutetuille järjestelmänvalvojan ohjelmointirajapinnoille, sinun on otettava Power BI -palvelu järjestelmänvalvojan asetukset käyttöön vuokraajassasi. Lisätietoja on artikkelissa Palvelun päänimen todentamisen ottaminen käyttöön vain luku -tilassa oleville järjestelmänvalvojan ohjelmointirajapinnoille.
  • Kun palvelun päänimeä käytetään Azure Analysis Services ‑tietolähteen avulla, palvelun päänimellä on itsellään oltava käyttöoikeudet Azure Analysis Services ‑esiintymään. Tähän ei riitä käyttöoikeusryhmä, joka sisältää palvelun päänimen.

Seuraavat vaiheet