Upotustunnuksen luominen
KOSKEE: Sovellus omistaa tiedot Käyttäjä omistaa tiedot
Muodosta tunnus on REST-ohjelmointirajapinta, jonka avulla voit luoda tunnuksen Power BI -raportin tai semanttisen mallin upottamista varten verkkosovellukseen tai portaaliin. Se voi luoda tunnuksen yksittäiselle kohteelle tai useille raporteille tai semanttisille malleille. Tunnuksen avulla pyyntösi valtuutetaan Power BI -palvelu vastaan.
Muodosta tunnus -ohjelmointirajapinta käyttää yksittäistä (pääkäyttäjän tai palvelun päänimen) käyttäjätietoa luodakseen tunnuksen yksittäiselle käyttäjälle sen mukaan, käyttäjän tunnistetiedot sovelluksessa (voimassa olevat käyttäjätiedot).
Onnistuneen todentamisen jälkeen myönnetään pääsy olennaisiin tietoihin.
Muistiinpano
Muodosta tunnus on uudempi versio 2 -ohjelmointirajapinta, joka toimii sekä raporteissa että semanttisissa malleissa sekä yksittäisissä tai useissa kohteissa. Sitä suositellaan vanhan version 1 ohjelmointirajapintojen sijaan. Käytä koontinäytöissä ja ruuduissa V1 Dashboards GenerateTokenInGroup - ja Tiles GenerateTokenInGroup -ryhmiä.
Tietojen suojaaminen
Jos käsittelet tietoja useilta asiakkailta, tietojen suojaamiseen on kaksi perusmenetelmää: työtilaan perustuva eristys ja rivitason suojaukseen perustuva eristys. Niiden yksityiskohtainen vertailu on palvelun pääprofiilissa ja rivitason suojauksessa.
Suosittelemme työtilaan perustuvan eristämisen käyttämistä profiilien kanssa, mutta jos haluat käyttää RLS-lähestymistapaa, tutustu tämän artikkelin lopussa olevaan RLS-osaan .
Tunnuksen käyttöoikeudet ja suojaus
Muodosta tunnus -ohjelmointirajapiidoissa GenerateTokenRequest-osassa kuvataan tunnuksen käyttöoikeudet.
Käyttöoikeustaso
Myönnä käyttäjälle tarkastelu- tai muokkausoikeudet allowEdit-parametrin avulla.
Lisää työtilan tunnus upotustunnukseen, jotta käyttäjä voi luoda uusia raportteja (joko SaveAs tai CreateNew) kyseisessä työtilassa.
Rivitason suojaus
Rivitason suojauksen (RLS) avulla käyttämäsi käyttäjätiedot voivat erota sen palvelun päänimen tai pääkäyttäjän käyttäjätiedoilla, joita käytät tunnuksen muodostamiseen. Käyttämällä eri käyttäjätietoja voit näyttää upotettuja tietoja kohteena olevan käyttäjän mukaan. Voit esimerkiksi pyytää sovelluksessa käyttäjiä kirjautumaan sisään ja näyttää sitten raportin, joka sisältää vain myyntitietoja, jos kirjautunut käyttäjä on myyjä.
Jos käytät rivitason suojausta, voit joskus jättää käyttäjän käyttäjätiedot pois ( EffectiveIdentity-parametri ). Kun et käytä EffectiveIdentity-parametria , tunnuuksella on käyttöoikeus koko tietokantaan. Tämän menetelmän avulla voidaan myöntää käyttöoikeus esimerkiksi järjestelmänvalvojille ja esimiehille, joilla on oikeus tarkastella koko semanttista mallia. Et kuitenkaan voi käyttää tätä menetelmää jokaisessa skenaariossa. Alla olevassa taulukossa on lueteltu eri RLS-tyypit, ja siinä näytetään, mitä todentamismenetelmää voidaan käyttää määrittämättä käyttäjän käyttäjätietoja.
Taulukossa näkyvät myös kunkin RLS-tyypin huomioitavat asiat ja rajoitukset.
RLS-tyyppi | Voinko luoda upotustunnuksen määrittämättä voimassa olevaa käyttäjätunnusta? | Huomioitavat asiat ja rajoitukset |
---|---|---|
Pilvipalvelun rivitason suojaus (pilvipalvelun rivitason suojaus) | ✔ Pääkäyttäjä ✖ Palvelun päänimi |
|
RDL (sivutetut raportit) | ✖ Pääkäyttäjä ✔ Palvelun päänimi |
Pääkäyttäjää ei voi käyttää RDL:n upotustunnuksen luomiseen. |
Paikallinen, reaaliaikainen Analysis Services (AS) -yhteys | ✔ Pääkäyttäjä ✖ Palvelun päänimi |
Upotustunnuksen muodostavalla käyttäjällä on myös oltava jokin seuraavista käyttöoikeuksista: |
Reaaliaikainen Analysis Services (AS) Azure -yhteys | ✔ Pääkäyttäjä ✖ Palvelun päänimi |
Upotustunnuksen muodostavan käyttäjän käyttäjätietoja ei voi ohittaa. Mukautettuja tietoja voidaan käyttää dynaamisen RLS:n tai suojatun suodatuksen käyttöönottoon. Huomautus: Palvelun päänimen on annettava objektitunnus voimassa olevana käyttäjätietona (RLS-käyttäjänimi). |
Kertakirjautuminen (SSO) | ✔ Pääkäyttäjä ✖ Palvelun päänimi |
Eksplisiittiset (SSO) käyttäjätiedot voidaan antaa käyttämällä käyttäjätietojen blob-ominaisuutta voimassa olevassa käyttäjätieto-objektissa |
SSO ja pilvipalvelun RLS | ✔ Pääkäyttäjä ✖ Palvelun päänimi |
Sinun on annettava seuraavat tiedot: |
Muistiinpano
Palvelujen päänimien on aina annettava seuraavat tiedot:
- Käyttäjätiedot kohteille, joissa on semanttinen RLS-malli.
- Semanttisessa kertakirjautumismallissa voimassa olevat RLS-käyttäjätiedot, joissa on määritetty tilannekohtaiset (SSO) käyttäjätiedot.
Semanttisten Power BI -mallien DirectQuery
Jos haluat upottaa Power BI -raportin, jossa on semanttinen malli ja Suora kysely -yhteys toiseen semanttiseen Power BI -malliin, toimi seuraavasti:
- Määritä Power BI -portaalissa XMLA-päätepisteeksiVain luku tai Luku ja kirjoitus . Saat ohjeet kohdasta Premium-kapasiteetin luku/kirjoitus. Tämä on suoritettava vain kerran kapasiteettia kohden.
- Luo usean resurssin upotustunnus
- Määritä kaikki pyynnön tietojoukon tunnukset.
XmlaPermissions
Määritä -asetukseksi Vain luku kullekin pyynnön semanttisille mallille.- Anna jokaiselle kertakirjautumista (SSO) käyttävälle tietolähteelle käyttäjätietojen blob-objekti -kohteessa
DatasourceIdentity
.
Uusi tunnukset ennen niiden vanhenemista
Tunnuksilla on aikaraja. Tämä tarkoittaa sitä, että Power BI -kohteen upottamisen jälkeen sinulla on rajallinen aika käsitellä sitä. Jos haluat antaa käyttäjillesi jatkuvan käyttökokemuksen, uudista tunnus (tai päivitä) ennen sen vanhenemista.
Koontinäytöt ja ruudut
Muodosta tunnus toimii raporteissa ja semanttisissa malleissa. Voit luoda upotustunnuksen koontinäytölle tai ruudulle käyttämällä versiota 1 Dashboards GenerateTokenInGroup tai Tiles GenerateTokenInGroup-ohjelmointirajapinnat . Nämä ohjelmointirajapinnat luovat tunnuksia vain yhdelle kohteelle kerrallaan. Et voi luoda tunnusta useille kohteille.
Näitä ohjelmointirajapintoja varten:
Selvitä käyttäjän käyttöoikeustaso accessLevel-parametrin avulla.
Näytä – myönnä käyttäjälle tarkasteluoikeudet.
Muokkaus – myönnä käyttäjälle tarkastelu- ja muokkausoikeudet (vain muodostettaessa upotustunnusta raportille).
Luonti – myönnä käyttäjälle oikeudet luoda uusi raportti (vain muodostettaessa upotustunnusta raportin luomista varten). Raportin luontia varten on myös annettava datasetId-parametri.
Anna käyttäjien tallentaa raportti uutena raporttina käyttämällä allowSaveAs-totuusarvoa. Tämän asetuksen oletusarvona on epätosi , ja se on käytössä vain muodostettaessa upotustunnusta raportille.
Huomioitavat asiat ja rajoitukset
Turvallisuussyistä upotustunnuksen elinikä on määritetty sen Microsoft Entra -tunnuksen jäljellä olevan elinkaaren loppuun, jota käytetään ohjelmointirajapinnan kutsumiseen
GenerateToken
. Jos siis käytät samaa Microsoft Entra -tunnusta useiden upotustunnusten luomiseen, luotujen upotustunnusten elinkaari on lyhyempi kunkin kutsun yhteydessä.Jos semanttinen malli ja upotettava kohde ovat kahdessa eri työtilassa, palvelun päänimen tai pääkäyttäjän on oltava vähintään molempien työtilojen jäsen.