Upotustunnuksen luominen

Sovellus omistaa tiedot Käyttäjä omistaa tiedot

Muodosta tunnus on REST-ohjelmointirajapinta, jonka avulla voit luoda tunnuksen Power BI -raportin tai -tietojoukon upottamista varten verkkosovellukseen tai portaaliin. Se voi luoda tunnuksen yksittäiselle kohteelle tai useille raporteille tai tietojoukoille. Tunnuksen avulla pyyntösi valtuutetaan Power BI -palvelussa.

Muodosta tunnus -ohjelmointirajapinta käyttää yksittäistä (pääkäyttäjän tai palvelun päänimen) käyttäjätietoa luodakseen tunnuksen yksittäiselle käyttäjälle sen mukaan, mitkä käyttäjän tunnistetiedot ovat sovelluksessa (voimassa olevat käyttäjätiedot).

Onnistuneen todentamisen myönnetään pääsy olennaisiin tietoihin.

Huomautus

Muodosta tunnus on uudempi version 2 ohjelmointirajapinta, joka toimii sekä raporteissa että tietojoukoissa että yksittäisissä tai useissa kohteissa. Sitä suositellaan vanhan version 1 ohjelmointirajapintojen sijaan. Käytä koontinäytöissä ja ruuduissa V1-koontinäyttöjä GenerateTokenInGroup ja Tiles GenerateTokenInGroup.

Tietojen suojaaminen

Jos käsittelet useiden asiakkaiden tietoja, tietojen suojaamiseen on kaksi päämenetelmää: työtilaan perustuva eristys ja rivitason suojaukseen perustuva eristys. Niiden välinen yksityiskohtainen vertailu on palvelun päänimen profiileissa ja rivitason suojauksessa.

Suosittelemme työtilaan perustuvan eristämisen käyttämistä profiilien kanssa, mutta jos haluat käyttää rivitason suojausta, tutustu tämän artikkelin lopussa olevaan RLS-osaan .

Tunnuksen käyttöoikeudet ja suojaus

Luo Muodosta tunnus -ohjelmointirajapinnoissa GenerateTokenRequest -osassa kuvataan tunnuksen käyttöoikeudet.

Käyttöoikeustaso

  • SalliMuokkaa-parametrin avulla voit myöntää käyttäjälle tarkastelu- tai muokkausoikeudet.

  • Lisää työtilan tunnus upotustunnukseen, jotta käyttäjä voi luoda uusia raportteja (joko SaveAs tai CreateNew) kyseisessä työtilassa.

Rivitason suojaus

Rivitason suojauksen (RLS) avulla käyttämäsi käyttäjätiedot voivat poiketa sen palvelun päänimen tai pääkäyttäjän käyttäjätiedoista, jota käytät tunnuksen muodostamiseen. Käyttämällä eri käyttäjätietoja voit näyttää upotetut tiedot kohteena olevan käyttäjän mukaan. Voit esimerkiksi pyytää sovelluksessa käyttäjiä kirjautumaan sisään ja näyttää sitten raportin, joka sisältää vain myyntitietoja, jos kirjautunut käyttäjä on myyjä.

Jos käytät rivitason suojausta, voit joskus jättää käyttäjän käyttäjätiedot pois ( EffectiveIdentity-parametri ). Kun et käytä EffectiveIdentity-parametria , tunnuuksella on käyttöoikeus koko tietokantaan. Tämän menetelmän avulla voidaan myöntää käyttöoikeudet käyttäjille, kuten järjestelmänvalvojille ja esimiehille, joilla on oikeus tarkastella koko tietojoukkoa. Et kuitenkaan voi käyttää tätä menetelmää kaikissa skenaarioissa. Alla olevassa taulukossa on lueteltu eri RLS-tyypit, siinä näytetään, mitä todentamismenetelmää voidaan käyttää määrittämättä käyttäjän käyttäjätietoja.

Taulukossa näytetään myös kunkin RLS-tyypin huomioitavat asiat ja rajoitukset.

RLS-tyyppi Voinko luoda upotustunnuksen määrittämättä voimassa olevaa käyttäjätunnusta? Huomioitavat asiat ja rajoitukset
Pilvipalvelun rivitason suojaus (pilvipalvelun RLS) ✔ Pääkäyttäjä
✖ Palvelun päänimi
RDL (sivutetut raportit) ✖ Pääkäyttäjä
✔ Palvelun päänimi
Pääkäyttäjää ei voi käyttää RDL:n upotustunnuksen luomiseen.
Paikallinen, reaaliaikainen Analysis Services (AS) -yhteys ✔ Pääkäyttäjä
✖ Palvelun päänimi
Upotustunnuksen muodostavalla käyttäjällä on myös oltava jotkin seuraavista oikeuksista:
  • Yhdyskäytävän järjestelmänvalvojan oikeudet
  • Tietolähteen tekeytyminen -oikeus (ReadOverrideEffectiveIdentity)
  • Reaaliaikainen Analysis Services (AS) Azure -yhteys ✔ Pääkäyttäjä
    ✖ Palvelun päänimi
    Upotustunnuksen muodostavan käyttäjän käyttäjätietoja ei voi ohittaa. Mukautettuja tietoja voidaan käyttää dynaamisen RLS:n tai suojatun suodatuksen käyttöönottoon.

    Huomautus: Palvelun päänimen on annettava objektitunnus voimassa olevana käyttäjätietona (RLS-käyttäjänimi).
    Kertakirjautuminen (SSO) ✔ Pääkäyttäjä
    ✖ Palvelun päänimi
    Eksplisiittiset (SSO) käyttäjätiedot voidaan antaa käyttämällä käyttäjätietojen blob-ominaisuutta voimassa olevassa käyttäjätieto-objektissa
    SSO ja pilvipalvelun RLS ✔ Pääkäyttäjä
    ✖ Palvelun päänimi
    Sinun on annettava seuraavat tiedot:
  • Eksplisiittiset (SSO) käyttäjätiedot käyttäjätietojen blob-ominaisuudessa voimassa olevassa käyttäjätieto-objektissa
  • Voimassa olevat (RLS) käyttäjätiedot (käyttäjänimi)
  • Huomautus

    Palvelujen päänimien on aina annettava seuraavat tiedot:

    • Käyttäjätiedot kohteille, joissa on RLS-tietojoukko.
    • SSO-tietojoukolle voimassa olevat RLS-käyttäjätiedot, joilla on määritetty tilannekohtaiset (SSO) käyttäjätiedot.

    DirectQuery Power BI -tietojoukoille

    Jos haluat upottaa Power BI -raportin, jossa on tietojoukko, jolla on Suora kysely -yhteys toiseen Power BI -tietojoukkoon, toimi seuraavasti:

    Uusi tunnukset ennen niiden vanhenemista

    Tunnuksilla on aikaraja. Tämä tarkoittaa sitä, että Power BI -kohteen upottamisen jälkeen sinulla on rajallinen aika sen käsittelemiseen. Jos haluat antaa käyttäjillesi jatkuvan käyttökokemuksen, uusi (tai päivitä) tunnus ennen sen vanhenemista.

    Koontinäytöt ja ruudut

    Muodosta-tunnus toimii raporttien ja tietojoukkojen kanssa. Jos haluat luoda upotustunnuksen koontinäytölle tai ruudulle, käytä koontinäyttöjen GenerateTokenInGroup - tai Tiles GenerateTokenInGroup-ohjelmointirajapintoja . Nämä ohjelmointirajapinnat luovat tunnuksia vain yhdelle kohteelle kerrallaan. Et voi luoda tunnusta useille kohteille.

    Nämä ohjelmointirajapinnat:

    • Selvitä käyttäjän käyttöoikeustaso accessLevel-parametrin avulla.

      • Tarkastelu – myönnä käyttäjälle tarkasteluoikeudet.

      • Muokkaus – myönnä käyttäjälle tarkastelu- ja muokkausoikeudet (vain muodostettaessa upotustunnusta raportille).

      • Luonti – myönnä käyttäjälle oikeudet luoda uusi raportti (vain muodostettaessa upotustunnusta raportin luomista varten). Raportin luontia varten on myös annettava datasetId-parametri.

    • Anna käyttäjien tallentaa raportti uutena raporttina käyttämällä allowSaveAs-totuusarvoa. Tämä asetus on oletusarvoisesti epätosi , ja sitä sovelletaan vain muodostettaessa upotustunnusta raportille.

    Huomioitavat asiat ja rajoitukset

    • Suojaussyistä upotustunnuksen elinkaariksi määritetään ohjelmointirajapinnan kutsumiseen GenerateToken käytettävän Azure AD tunnuksen jäljellä oleva elinkaari. Jos siis käytät samaa Azure AD tunnusta useiden upotustunnusten luomiseen, luotujen upotustunnusten elinkaari lyhenee kunkin kutsun yhteydessä.

    • Jos upotettava tietojoukko ja kohde ovat kahdessa eri työtilassa, palvelun päänimen tai pääkäyttäjän on oltava vähintään molempien työtilojen jäsen.

    • Et voi luoda upotustunnusta omalle työtilalle.

    Seuraavat vaiheet