Power BI aruandeserver ja SSRS:ään yhdistäminen Power BI -mobiilisovelluksista

Tässä artikkelissa kerrotaan, miten voit määrittää ympäristösi tukemaan OAuth-todennusta Power BI -mobiilisovelluksella, jotta voit muodostaa yhteyden Power BI aruandeserver ja SQL Serveri aruandlusteenused 2016 tai uudempaan versioon.

Vaatimukset

Web Application Proxy (WAP) -palvelimia ja Active Directory -liittoutumispalvelujen (AD FS) palvelimia varten vaaditaan Windows Server. Windowsin toiminnallisen tason toimialuetta ei tarvita.

Jotta käyttäjät voivat lisätä raporttipalvelinyhteyden Power BI -mobiilisovellukseensa, sinun on myönnettävä heille käyttöoikeus raporttipalvelimen kotikansioon.

Muistiinpano

1.3.2025 alkaen Power BI -mobiilisovellus ei enää voi muodostaa yhteyttä raporttipalvelimeen Windows Server 2016:lle määritetyn AD FS:n kautta OAuth-protokollan avulla. Asiakkaiden, jotka käyttävät OAuth-todennusta Windows Server 2016:ssa ja verkkosovelluksen välityspalvelimessa (WAP) määritetyn AD FS:n kanssa, on päivitettävä AD FS -palvelimensa Windows Server 2019:ään tai uudempaan versioon tai käytettävä Microsoft Entra -sovelluksen välityspalvelinta. Windows Server -päivityksen jälkeen Power BI -mobiilisovelluksen käyttäjien on ehkä kirjauduttava uudelleen sisään raporttipalvelimeen.

Tämä päivitys edellyttää muutosta mobiilisovelluksen käyttämään todentamiskirjastoon. Muutos ei vaikuta millään tavalla Microsoftin AD FS -tukeen Windows Server 2016:ssa, vaan pikemminkin vain Power BI -mobiilisovelluksen kykyyn muodostaa yhteys siihen.

Toimialuenimipalvelujen (DNS) määritys

Julkinen URL-osoite on URL-osoite, johon Power BI -mobiilisovellus muodostaa yhteyden. Se saattaa näyttää esimerkiksi seuraavan kaltaiselta.

https://reports.contoso.com

Raporttien DNS-tietueesi Web Application Proxy (WAP) -palvelimen julkiseen IP-osoitteeseen. Sinun täytyy myös määrittää julkinen DNS-tietue AD FS -palvelimelle. Olet esimerkiksi ehkä määrittänyt AD FS -palvelimen käyttäen seuraavaa URL-osoitetta.

https://fs.contoso.com

Fs:n DNS-tietue Web Application Proxy (WAP) -palvelimen julkiseen IP-osoitteeseen muodossa, jossa se julkaistaan osana WAP-sovellusta.

Varmenteet

Sinun on määritettävä varmenteet sekä WAP-sovellukselle että AD FS -palvelimelle. Molempien näiden varmenteiden on oltava peräisin kelvollisesta varmenteiden myöntäjästä, jonka mobiililaitteesi tunnistavat.

Reporting Services -määritys

Reporting Servicesin puolella ei ole paljon määritettävää. Varmista vain, että:

• Asianmukaisen Kerberos-todennuksen käyttöön ottamiseksi on olemassa kelvollinen palvelun päänimi (SPN ).
• Reporting Services -palvelin on otettu käyttöön todentamisen neuvottelua varten.
• Käyttäjillä on käyttöoikeus raporttipalvelimen kotikansioon.

Palvelun päänimi (SPN)

PALVELUN PÄÄNIMI on Kerberos-todennusta käyttävän palvelun yksilöivä tunniste. Sinun täytyy varmistaa, että raporttipalvelimellasi on asianmukainen HTTP-palvelun päänimi.

Lisätietoja asianmukaisen palvelun päänimen (SPN) määrittämisestä raporttipalvelimelle on artikkelissa Palvelun päänimen (SPN) rekisteröiminen raporttipalvelimelle.

Todennuksen neuvottelun ottaminen käyttöön

Jotta raporttipalvelin voi käyttää Kerberos-todennusta, sinun on määritettävä raporttipalvelimen todennustyypiksi RSWindowsNegotiate. Tämä tehdään rsreportserver.config-tiedostossa.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Lisätietoja on raporteissa Reporting Services -määritystiedoston muokkaaminen ja Windows-todennuksen määrittäminen raporttipalvelimessa.

Active Directory -liittoutumispalvelujen (AD FS) määritys

Sinun on määritettävä AD FS -palvelu Windows-palvelimelle ympäristössäsi. Voit tehdä sen Palvelinten hallinnassa valitsemalla Hallinta-kohdassa Lisää rooleja ja ominaisuuksia -vaihtoehdon. Lisätietoja on artikkelissa Active Directory -liittoutumispalvelut.

Tärkeä

1.3.2025 alkaen Power BI -mobiilisovellukset eivät enää voi muodostaa yhteyttä raporttipalvelimeen Windows Server 2016:lle määritetyn AD FS:n kautta. Katso tämän artikkelin alussa oleva huomautus.

Sovellusryhmän luominen

Sinun kannattaa luoda AD FS -hallintanäytössä Reporting Servicesille sovellusryhmä, joka sisältää tietoja Power BI -mobiilisovelluksia varten.

Voit luoda sovellusryhmän seuraavien ohjeiden avulla.

1. Napsauta AD FS -hallintasovelluksessa hiiren kakkospainikkeella Sovellusryhmät-kohtaa ja valitse Lisää sovellusryhmä...

   

2. Anna sovellusryhmälle nimi sovellusryhmän lisäämisen ohjatussa toiminnossa ja valitse Native application accessing a web API (Verkon ohjelmointirajapintaa hyödynttävä natiivisovellus).

   

3. Valitse Seuraava.

4. Anna lisättävälle sovellukselle nimi.

5. Asiakastunnus luodaan automaattisesti kohteelle, mutta syötä 484d54fc-b481-4eee-9505-0258a1913020 sekä iOS:lle että Androidille.

6. Sinun kannattaa lisätä seuraavat uudelleenohjauksen URL-osoitteet:

   Power BI Mobile -merkinnät – iOS:
   msauth://code/mspbi-adal://com.microsoft.powerbimobile
   msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
   mspbi-adal://com.microsoft.powerbimobile
   mspbi-adalms://com.microsoft.powerbimobilems

   Android-sovellukset tarvitsevat vain seuraavat vaiheet:
   urn:ietf:wg:oauth:2.0:oob

   

7. Valitse Seuraava.

8. Anna raporttipalvelimen URL-osoite. URL-osoite on ulkoinen URL-osoite, joka osuu Web Application Proxy -palvelimeesi. Sen pitäisi olla seuraavassa muodossa.

   Muistiinpano

   Kirjainkoko on merkitsevä tässä URL-osoitteessa.

   https://<report server url>/reports

   

9. Valitse Seuraava.

10. Valitse käyttöoikeuskäytäntö , joka soveltuu organisaatiosi tarpeisiin.

    

11. Valitse Seuraava.

12. Valitse Seuraava.

13. Valitse Seuraava.

14. Valitse Sulje.

Kun olet valmis, sovellusryhmäsi ominaisuuksien pitäisi näyttää seuraavan kaltaiselta.

Suorita seuraavaksi seuraava PowerShell-komento AD FS -palvelimessa varmistaaksesi, että tunnuksen päivitystä tuetaan.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Verkkosovelluksen välityspalvelimen (WAP) määritys

Haluat ottaa Web Application Proxy (rooli) -Windows-roolin käyttöön ympäristösi palvelimessa. Sen täytyy olla Windows-palvelimessa. Lisätietoja on kohdassa Verkkosovelluksen välityspalvelin Windows-palvelimessa ja Sovellusten julkaiseminen käyttäen AD FS -esitodennusta.

Rajoitetun delegoinnin määritys

OAuth-todennuksesta Windows-todennukseen siirtyminen edellyttää rajoitetun delegoinnin ja protokollan siirron käyttämistä. Tämä on osa Kerberos-määritystä. Reporting Servicesin palvelun päänimi määritetiin jo Reporting Services -määrityksen yhteydessä.

Rajoitettu delegointi on määritettävä WAP-palvelinkoneen tilillä Active Directoryssa. Sinun on ehkä tehtävä yhteistyötä toimialueen järjestelmänvalvojan kanssa, jos sinulla ei ole Active Directory -käyttöoikeuksia.

Rajoitettu delegointi kannattaa määrittää seuraavasti.

1. Käynnistä Active Directory Users and Computers (Active Directory Users and Computers) -työkalu tietokoneessa, johon on asennettu Active Directory -työkalut.

2. Etsi WAP-palvelimesi tietokonetili. Oletusarvoisesti se on tietokoneiden säilössä.

3. Napsauta WAP-palvelinta hiiren kakkospainikkeella ja siirry Ominaisuudet-kohtaan.

4. Valitse Delegointi-välilehti.

5. Valitse Luota tähän tietokoneeseen vain määritettyihin palveluihin delegointia varten ja valitse sitten Käytä mitä tahansa todennusprotokollaa.

   

   Tämä määrittää rajoitetun delegoinnin tälle WAP-palvelinkoneen tilille. Tämän jälkeen täytyy määrittää palvelut, joihin tämän koneen sallitaan delegoida.

6. Valitse Lisää... palveluruudun alta.

   

7. Valitse Käyttäjät tai tietokoneet...

8. Anna palvelutili, jota käytät Reporting Servicesin kanssa. Kyseessä on se tili, jolle lisäsit palvelun päänimen Reporting Services -määrityksen aikana.

9. Valitse SPN Reporting Servicesille ja valitse sitten OK.

   Muistiinpano

   Saatat nähdä vain NetBIOSin SPN:n. Todellisuudessa sekä NetBIOSin SPN että FQDN:n SPN valitaan.

   

10. Tuloksen pitäisi näyttää seuraavan kaltaiselta, kun Laajennettu-valintaruutu on valittuna.

    

11. Valitse OK.

WAP-sovelluksen lisääminen

Voit julkaista sovelluksia myös raporttien käytön hallintakonsolissa, mutta tässä esimerkissä sovellus luodaan PowerShellin kautta. Tässä on komento sovelluksen lisäämiseksi.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication

Parametri	Kommentit
ADFSRelyingPartyName	Tämä on se WWW-ohjelmointirajapinnan nimi, jonka loit sovellusryhmän osana AD FS:ssä.
ExternalCertificateThumbprint	Tämä varmenne on ulkoisia käyttäjiä varten. On tärkeää, että varmenne on voimassa mobiililaitteissa ja että se on peräisin luotetulta varmenteiden myöntäjältä.
BackendServerUrl	Raporttipalvelimen URL-osoite WAP-palvelimesta. Jos WAP-palvelin on DMZ-alueella, sinun on ehkä käytettävä täydellistä toimialuenimeä. Varmista, että pääset tähän URL-osoitteeseen verkkoselaimesta WAP-palvelimessa.
BackendServerAuthenticationSPN	Tämä on se palvelun päänimi, jonka loit osana Reporting Services -määritystä.

Integroidun todentamisen määrittäminen WAP-sovellukselle

Kun olet lisännyt WAP-sovelluksen, sinun on määritettävä BackendServerAuthenticationMode käyttämään IntegratedWindowsAuthentication -todennusta. Sen määrittämiseen tarvitaan tunnus WAP-sovelluksesta.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Määritä BackendServerAuthenticationMode WAP-sovelluksen tunnuksen avulla suorittamalla seuraava komento.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Yhteyden muodostaminen Power BI -mobiilisovelluksen avulla

Power BI -mobiilisovelluksesta kannattaa muodostaa yhteys Reporting Services -esiintymään. Tätä varten sinun on annettava ulkoisen URL-osoite WAP-sovelluksellesi .

Kun valitset Yhdistä, sinut ohjataan AD FS -kirjautumissivulle. Anna toimialueesi kelvolliset tunnistetiedot.

Kun olet valinnut Kirjaudu sisään, näkyviin tulee elementtejä Reporting Services -palvelimestasi.

Monimenetelmäinen todentaminen

Voit ottaa käyttöön monimenetelmäsen todentamisen lisäsuojauksen ottamiseksi käyttöön ympäristössäsi. Lisätietoja on artikkelissa Microsoft Entran monimenetelmäisen todentamisen määrittäminen todentamispalveluna AD FS:n avulla.

Vianmääritys

Näyttöön tulee seuraava virheviesti: "Kirjautuminen SSRS-palvelimeen epäonnistui"

Voit määrittää Fiddlerin toimimaan mobiililaitteiden välityspalvelimena nähdäksesi, kuinka pitkälle pyyntö eteni. Jotta voisit ottaa käyttöön Fiddler-välityspalvelimen puhelimelle, sinun on määritettävä CertMaker for iOS and Android -välityspalvelin tietokoneessa, jossa Fiddler toimii. Fiddler-lisäosa on Telerikiltä.

Jos sisäänkirjautuminen toimii Fiddleria käytettäessä, kyseessä voi olla WAP-sovellukseen tai AD FS -palvelimeen liittyvä varmenneongelma.

Liittyvä sisältö

• Palvelun päänimen (SPN) rekisteröiminen raporttipalvelimelle
• Reporting Services -määritystiedoston muokkaaminen
• Windows-todennuksen määrittäminen raporttipalvelimessa
• Active Directory -liittoutumispalvelut
• Web Application Proxy Windows Serverissä
• Sovellusten julkaiseminen käyttäen AD FS -esitodennusta
• Microsoft Entran monimenetelmäisen todentamisen määrittäminen todentamispalveluna AD FS:n avulla
  Onko sinulla lisää kysymyksiä? Kokeile Power BI -yhteisöä