Megosztás a következőn keresztül:

Kerberos-alapú egyszeri bejelentkezés konfigurálása a Power BI szolgáltatás és a helyszíni adatforrások között

  • Cikk

Az egyszeri bejelentkezés engedélyezése megkönnyíti a Power BI-jelentések és -irányítópultok számára a helyszíni forrásokból származó adatok frissítését, miközben tiszteletben tartja az ezeken a forrásokon konfigurált felhasználói szintű engedélyeket. A Kerberos korlátozott delegálásának használata a közvetlen egyszeri bejelentkezés engedélyezéséhez.

Ez a cikk a Kerberos-alapú egyszeri bejelentkezés konfigurálásához szükséges lépéseket ismerteti a Power BI szolgáltatás és a helyszíni adatforrások között.

Előfeltételek

Több elemet kell konfigurálni a Kerberos által korlátozott delegálás megfelelő működéséhez, beleértve a *Szolgáltatásnévneveket (SPN) és a szolgáltatásfiókok delegálási beállításait.

Feljegyzés

A DNS-aliasolás használata egyszeri bejelentkezéssel nem támogatott.

Konfigurációs vázlat

Az átjáró egyszeri bejelentkezésének konfigurálásához szükséges lépéseket az alábbiakban ismertetjük.

  1. Végezze el az 1. szakaszban szereplő összes lépést: Alapszintű konfiguráció.

  2. Az Active Directory-környezettől és a használt adatforrásoktól függően előfordulhat, hogy végre kell hajtania a 2. szakaszban ismertetett konfiguráció egy részét vagy egészét: Környezetspecifikus konfiguráció.

    A további konfigurációt igénylő lehetséges forgatókönyvek az alábbiakban találhatók:

    Eset Ugrás ide:
    Az Active Directory-környezet biztonsága meg van adva. Átjárószolgáltatás-fiók hozzáadása a Windows engedélyezési és hozzáférési csoportjához
    Az átjáró szolgáltatásfiókja és az átjáró által megszemélyesíteni kívánt felhasználói fiókok külön tartományokban vagy erdőkben találhatók. Átjárószolgáltatás-fiók hozzáadása a Windows engedélyezési és hozzáférési csoportjához
    Nincs microsoft entra Csatlakozás konfigurálva a felhasználói fiókok szinkronizálása, és a Power BI-ban a felhasználók számára használt UPN nem egyezik meg a helyi Active Directory-környezetben lévő UPN-vel. Felhasználóleképezés konfigurációs paramétereinek beállítása az átjárógépen
    Sap HANA-adatforrást tervez használni egyszeri bejelentkezéssel. Adatforrásspecifikus konfigurációs lépések végrehajtása
    Sap BW-adatforrást tervez használni egyszeri bejelentkezéssel. Adatforrásspecifikus konfigurációs lépések végrehajtása
    Teradata-adatforrást tervez használni egyszeri bejelentkezéssel. Adatforrásspecifikus konfigurációs lépések végrehajtása

  3. Ellenőrizze a konfigurációt a 3. szakaszban leírtak szerint : Ellenőrizze a konfigurációt , hogy az egyszeri bejelentkezés megfelelően legyen beállítva.

1. szakasz: Alapszintű konfiguráció

1. lépés: A Microsoft helyszíni adatátjáró telepítése és konfigurálása

A helyszíni adatátjáró támogatja a helyszíni frissítést, és a meglévő átjárók beállításainak átvételét .

2. lépés: Tartományadminisztrátori jogosultságok beszerzése az SPN-ek (SetSPN) és a Kerberos korlátozott delegálási beállításainak konfigurálásához

Az SPN-ek és a Kerberos-delegálási beállítások konfigurálásához a tartományi rendszergazdáknak el kell kerülniük a jogosultságok megadását olyan személy számára, aki nem rendelkezik tartományi rendszergazdai jogosultságokkal. A következő szakaszban részletesebben ismertetjük az ajánlott konfigurációs lépéseket.

3. lépés: Az átjárószolgáltatás-fiók konfigurálása

Az alábbi A lehetőség a szükséges konfiguráció, kivéve, ha a Microsoft Entra Csatlakozás van konfigurálva, és a felhasználói fiókok szinkronizálva vannak. Ebben az esetben a "B" lehetőség használata javasolt.

A. lehetőség: Az átjáró Windows-szolgáltatásának futtatása tartományi fiókként spN-vel

Normál telepítés esetén az átjáró az NT Service\PBIEgwService számítógép-helyi szolgáltatásfiókként fut.

Gépi helyi szolgáltatásfiók

A Korlátozott Kerberos-delegálás engedélyezéséhez az átjárónak tartományi fiókként kell futnia, kivéve, ha a Microsoft Entra-példány már szinkronizálva van a helyi Active Directory-példánysal (a Microsoft Entra DirSync/Csatlakozás használatával). Ha tartományfiókra szeretne váltani, tekintse meg az átjárószolgáltatás-fiók módosítását.

Egyszerű szolgáltatásnév konfigurálása az átjárószolgáltatás-fiókhoz

Először állapítsa meg, hogy már létrejött-e egyszerű szolgáltatásnév az átjárószolgáltatás-fiókként használt tartományi fiókhoz:

  1. Tartományi rendszergazdaként indítsa el a Active Directory - felhasználók és számítógépek Microsoft Management Console (MMC) beépülő modult.

  2. A bal oldali panelen kattintson a jobb gombbal a tartomány nevére, válassza a Keresés lehetőséget, majd adja meg az átjárószolgáltatás-fiók fióknevét.

  3. A keresési eredményben kattintson a jobb gombbal az átjáró szolgáltatásfiókjára, és válassza a Tulajdonságok lehetőséget.

  4. Ha a Delegálás lap látható a Tulajdonságok párbeszédpanelen, akkor már létrejött egy egyszerű szolgáltatásnév, és kihagyhatja a Kerberos korlátozott delegálásának konfigurálását.

  5. Ha nincs Delegálás lap a Tulajdonságok párbeszédpanelen, manuálisan hozhat létre spN-t a fiókon az engedélyezéshez. Használja a Windowshoz tartozó setspn eszközt (az egyszerű szolgáltatásnév létrehozásához tartományadminisztrátori jogosultságra van szüksége).

    Tegyük fel például, hogy az átjárószolgáltatás-fiók Contoso\GatewaySvc, és az átjárószolgáltatás a MyGatewayMachine nevű gépen fut. Az átjárószolgáltatás-fiók spN-jének beállításához futtassa a következő parancsot:

    setspn -S gateway/MyGatewayMachine Contoso\GatewaySvc

    Az egyszerű szolgáltatásneveket a Active Directory - felhasználók és számítógépek MMC beépülő modullal is beállíthatja.

B. lehetőség: Számítógép konfigurálása a Microsoft Entra Csatlakozás

Ha a Microsoft Entra Csatlakozás konfigurálva van, és a felhasználói fiókok szinkronizálódnak, az átjárószolgáltatásnak nem kell helyi Microsoft Entra-kereséseket végeznie futásidőben. Ehelyett egyszerűen használhatja a helyi szolgáltatás SID-ét az átjárószolgáltatáshoz az összes szükséges konfiguráció elvégzéséhez a Microsoft Entra ID-ban. A Kerberos korlátozott delegálási konfigurációs lépései megegyeznek a Microsoft Entra-környezetben szükséges konfigurációs lépésekkel. A rendszer a tartományi fiók helyett a Microsoft Entra ID-ban alkalmazza őket az átjáró számítógép-objektumára (a helyi szolgáltatás SID-jének megfelelően). Az NT Standard kiadás RVICE/PBIEgwService helyi szolgáltatás SID-címe a következő:

S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079

Ahhoz, hogy létrehozhassa ennek a SID-nek az egyszerű szolgáltatásnevét a Power BI Gateway-számítógépen, a következő parancsot kell futtatnia egy rendszergazdai parancssorból (cserélje le <COMPUTERNAME> a Power BI Gateway-számítógép nevére):

SetSPN -s HTTP/S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079 <COMPUTERNAME>

Feljegyzés

A helyi biztonsági beállításoktól függően előfordulhat, hogy hozzá kell adnia az NT Standard kiadás RVICE\PBIEgwService átjárószolgáltatás-fiókot az átjárógép helyi Rendszergazda istrators csoportjához, majd újra kell indítania az átjárószolgáltatást az átjáróalkalmazásban. Ez a beállítás nem támogatott több átjáróval rendelkező forgatókönyvek esetében, mivel az Active Directory egyedi egyszerű szolgáltatásneveket kényszerít ki egy teljes erdőben. Ezekben a forgatókönyvekben használja inkább az A lehetőséget.

4. lépés: Korlátozott Kerberos-delegálás konfigurálása

Konfigurálhatja a delegálási beállításokat a normál Kerberos korlátozott delegáláshoz vagy az erőforrás-alapú, korlátozott Kerberos-delegáláshoz. A delegálás két megközelítése közötti különbségekről további információt a Kerberos korlátozott delegálási áttekintésében talál.

A következő szolgáltatásfiókok szükségesek:

  • Átjárószolgáltatás-fiók: Az Active Directoryban az átjárót képviselő szolgáltatásfelhasználó, a 3. lépésben konfigurált egyszerű szolgáltatásnévvel.
  • Adatforrás-szolgáltatásfiók: Az Active Directoryban az adatforrást képviselő szolgáltatásfelhasználó, az adatforrásra leképezett SPN-vel.

Feljegyzés

Az átjáró- és adatforrásszolgáltatás-fiókoknak különnek kell lenniük. Ugyanaz a szolgáltatásfiók nem használható az átjáró és az adatforrás ábrázolására.

A használni kívánt megközelítéstől függően folytassa a következő szakaszok egyikével. Ne fejezze be mindkét szakaszt:

A lehetőség: Standard Kerberos korlátozott delegálás

Most meg fogjuk adnia az átjárószolgáltatás-fiók delegálási beállításait. A lépések végrehajtásához több eszköz is használható. Itt a Active Directory - felhasználók és számítógépek MMC beépülő modult fogjuk használni az információk felügyeletére és közzétételére a címtárban. Alapértelmezés szerint elérhető a tartományvezérlőkön; más gépeken a Windows szolgáltatáskonfigurációjával engedélyezheti.

A Kerberos korlátozott delegálását protokollváltással kell konfigurálnunk. Korlátozott delegálás esetén explicit módon kell megadnia, hogy az átjáró mely szolgáltatások számára engedélyezi a delegált hitelesítő adatok bemutatását. Például csak az SQL Server vagy az SAP HANA-kiszolgáló fogad delegálási hívásokat az átjárószolgáltatás-fiókból.

Ez a szakasz feltételezi, hogy már konfigurálta az SPN-eket a mögöttes adatforrásokhoz (például SQL Server, SAP HANA, SAP BW, Teradata vagy Spark). Ha meg szeretné tudni, hogyan konfigurálhatja ezeket az adatforrás-kiszolgálói EGYSZERŰ neveket, tekintse meg a megfelelő adatbázis-kiszolgáló műszaki dokumentációját, és tekintse meg a Saját Kerberos ellenőrzőlista blogbejegyzésében, hogy milyen egyszerű szolgáltatásnévre van szüksége az alkalmazásnak.

A következő lépésekben egy helyszíni környezetet feltételezünk, amelyben két gép található ugyanabban a tartományban: egy átjárógépet és egy SQL Servert futtató adatbázis-kiszolgálót, amely már konfigurálva van Kerberos-alapú egyszeri bejelentkezéshez. A lépéseket a többi támogatott adatforrás esetében is el lehet fogadni, amennyiben az adatforrás már konfigurálva van a Kerberos-alapú egyszeri bejelentkezéshez. Ebben a példában a következő beállításokat fogjuk használni:

  • Active Directory-tartomány (Netbios): Contoso
  • Átjárógép neve: MyGatewayMachine
  • Átjárószolgáltatás-fiók: Contoso\GatewaySvc
  • SQL Server adatforrás-gép neve: TestSQLServer
  • SQL Server adatforrás-szolgáltatásfiók: Contoso\SQLService

A delegálási beállítások a következőképpen konfigurálhatók:

  1. Tartományi rendszergazdai jogosultságokkal nyissa meg a Active Directory - felhasználók és számítógépek MMC beépülő modult.

  2. Kattintson a jobb gombbal az átjárószolgáltatás-fiókra (Contoso\GatewaySvc), és válassza a Tulajdonságok lehetőséget.

  3. Válassza a Delegálás lapot.

  4. Válassza a Megbízható számítógép lehetőséget a megadott szolgáltatásokhoz való delegáláshoz, és csak>bármely hitelesítési protokollt használjon.

  5. Azon szolgáltatások alatt , amelyekhez ez a fiók delegált hitelesítő adatokat tud bemutatni, válassza a Hozzáadás lehetőséget.

  6. Az új párbeszédpanelen válassza a Felhasználók vagy számítógépek lehetőséget.

  7. Adja meg az adatforrás szolgáltatásfiókjának nevét, majd kattintson az OK gombra.

    Egy SQL Server-adatforrás például rendelkezhet olyan szolgáltatásfiókkal, mint a Contoso\SQLService. Az adatforrás megfelelő egyszerű szolgáltatásnevét már be kellett volna állítani ezen a fiókon.

  8. Válassza ki az adatbázis-kiszolgálóhoz létrehozott egyszerű szolgáltatásneveket.

    A példánkban az SPN az MSSQLSvc-vel kezdődik. Ha a teljes tartománynevet és a NetBIOS SPN-t is hozzáadta az adatbázis-szolgáltatáshoz, jelölje ki mindkettőt. Lehet, hogy csak egy jelenik meg.

  9. Kattintson az OK gombra.

    Most már látnia kell az egyszerű szolgáltatásnevet azon szolgáltatások listájában, amelyekhez az átjárószolgáltatás-fiók delegált hitelesítő adatokat tud megjeleníteni.

    Átjáró Csatlakozás or tulajdonságai párbeszédpanel

  10. A beállítási folyamat folytatásához folytassa az átjáró szolgáltatásfiókjának helyi házirend-jogosultságok biztosításával az átjárógépen.

B lehetőség: Erőforrás-alapú Kerberos korlátozott delegálás

Az erőforrás-alapú Kerberos korlátozott delegálással engedélyezheti az egyszeri bejelentkezést a Windows Server 2012 és újabb verziókhoz. Ez a delegálási típus lehetővé teszi, hogy az előtérbeli és a háttérszolgáltatások különböző tartományokban legyenek. Ahhoz, hogy működjön, a háttérszolgáltatás tartományának megbízhatónak kell lennie az előtérbeli szolgáltatástartományban.

A következő lépésekben feltételezzük, hogy egy helyszíni környezet két különböző tartományban lévő géppel rendelkezik: egy átjárógépet és egy SQL Servert futtató adatbázis-kiszolgálót, amely már konfigurálva van Kerberos-alapú egyszeri bejelentkezéshez. Ezeket a lépéseket a többi támogatott adatforrás esetében is el lehet fogadni, amennyiben az adatforrás már konfigurálva van a Kerberos-alapú egyszeri bejelentkezéshez. Ebben a példában a következő beállításokat fogjuk használni:

  • Active Directory előtérbeli tartomány (Netbios): ContosoFrontEnd
  • Active Directory háttértartomány (Netbios): ContosoBackEnd
  • Átjárógép neve: MyGatewayMachine
  • Átjárószolgáltatás-fiók: ContosoFrontEnd\GatewaySvc
  • SQL Server adatforrás-gép neve: TestSQLServer
  • SQL Server adatforrás-szolgáltatásfiók: ContosoBackEnd\SQLService

Hajtsa végre a következő konfigurációs lépéseket:

  1. Használja a Active Directory - felhasználók és számítógépek MMC beépülő modult a ContosoFrontEnd tartomány tartományvezérlőjén, és ellenőrizze, hogy nincs-e delegálási beállítás az átjárószolgáltatás-fiókra vonatkozóan.

    Átjáró-összekötő tulajdonságai

  2. Használja a Active Directory - felhasználók és számítógépek a ContosoBackEnd tartomány tartományvezérlőjén, és ellenőrizze, hogy nincs-e delegálási beállítás alkalmazva a háttérszolgáltatás-fiókra.

    SQL-szolgáltatás tulajdonságai

  3. A fióktulajdonságok Attribútumszerkesztő lapján ellenőrizze, hogy nincs-e beállítva az msDS-AllowedToActOnBehalfOfOtherIdentity attribútum.

    SQL-szolgáltatásattribútumok

  4. A Active Directory - felhasználók és számítógépek hozzon létre egy csoportot a ContosoBackEnd tartomány tartományvezérlőjén. Adja hozzá a GatewaySvc átjárószolgáltatás-fiókot a ResourceDelGroup csoporthoz .

    Ha megbízható tartományból szeretne felhasználókat felvenni, ennek a csoportnak helyi tartomány hatókörrel kell rendelkeznie. Csoporttulajdonságok

  5. Nyisson meg egy parancssort, és futtassa a következő parancsokat a ContosoBackEnd tartomány tartományvezérlőjében a háttérszolgáltatás-fiók msDS-AllowedToActOnBehalfOfOtherIdentity attribútumának frissítéséhez:

    $c = Get-ADGroup ResourceDelGroup
Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c

  6. A Active Directory - felhasználók és számítógépek ellenőrizze, hogy a frissítés megjelenik-e az Attribútumszerkesztő lapon a háttérszolgáltatás-fiók tulajdonságai között.

5. lépés: Az AES-titkosítás engedélyezése szolgáltatásfiókokon

Alkalmazza az alábbi beállításokat az átjáró szolgáltatásfiókjára és minden olyan adatforrás-szolgáltatásfiókra, amelybe az átjáró delegálhat:

Feljegyzés

Ha a szolgáltatásfiók(ok)on már vannak definiálva enctípusok, forduljon az Active Directory Rendszergazda istratorhoz, mert az alábbi lépések végrehajtásával felülírhatja a meglévő enctypes-értékeket, és megszakíthatja az ügyfeleket.

  1. Tartományi rendszergazdai jogosultságokkal nyissa meg a Active Directory - felhasználók és számítógépek MMC beépülő modult.

  2. Kattintson a jobb gombbal az átjáróra/adatforrás-szolgáltatásfiókra, és válassza a Tulajdonságok lehetőséget.

  3. Válassza a Fiók fület.

  4. A Fiókbeállítások területen engedélyezze az alábbi lehetőségek közül legalább egyet (vagy mindkettőt). Vegye figyelembe, hogy minden szolgáltatásfiók esetében ugyanazokat a beállításokat kell engedélyezni.

    • Ez a fiók támogatja a Kerberos AES 128 bites titkosítását
    • Ez a fiók támogatja a Kerberos AES 256 bites titkosítását

Feljegyzés

Ha nem biztos abban, hogy melyik titkosítási sémát használja, forduljon az Active Directory Rendszergazda istratorhoz.

6. lépés: Az átjáró szolgáltatásfiókjának helyi házirend-jogosultságok biztosítása az átjárógépen

Végül az átjárószolgáltatást futtató gépen (példánkban a MyGatewayMachine ) adja meg az átjárószolgáltatás-fióknak azokat a helyi házirendeket , amelyek megszemélyesítenek egy ügyfelet a hitelesítés után, és az operációs rendszer részeként működnek (SeTcbPrivilege). Ezt a konfigurációt a helyi csoportházirend-szerkesztővel (gpedit.msc) hajtja végre.

  1. Az átjárógépen futtassa a gpedit.msc parancsot.

  2. Nyissa meg a Helyi számítógépházirend>számítógép konfigurációja>Windows Gépház> Security Gépház> Local policies>felhasználói jogok hozzárendelését.

    Helyi számítógépházirend mappastruktúrája

  3. A Felhasználói jogok hozzárendelése területen a szabályzatok listájában válassza az Ügyfél megszemélyesítése hitelesítés után lehetőséget.

    Ügyfélházirend megszemélyesítése

  4. Kattintson a jobb gombbal a szabályzatra, nyissa meg a Tulajdonságok parancsot, majd tekintse meg a fiókok listáját.

    A listának tartalmaznia kell az átjárószolgáltatás-fiókot (Contoso\GatewaySvc vagy ContosoFrontEnd\GatewaySvc a korlátozott delegálás típusától függően).

  5. A Felhasználói jogok hozzárendelése területen válassza az Operációs rendszer részeként (SeTcbPrivilege) lehetőséget a szabályzatok listájából. Győződjön meg arról, hogy az átjárószolgáltatás-fiók szerepel a fiókok listájában.

  6. Indítsa újra a helyszíni adatátjáró szolgáltatás folyamatát.

7. lépés: A Windows-fiók hozzáférhet az átjárógéphez

Az egyszeri bejelentkezés Windows-hitelesítést használ, ezért győződjön meg arról, hogy a Windows-fiók hozzáfér az átjárógéphez. Ha nem biztos benne, adja hozzá az NT-AUTHORITY\Hitelesített felhasználók (S-1-5-11) elemet a helyi gép "Felhasználók" csoportjához.

2. szakasz: Környezetspecifikus konfiguráció

Átjárószolgáltatás-fiók hozzáadása a Windows engedélyezési és hozzáférési csoportjához

Töltse ki ezt a szakaszt, ha az alábbi helyzetek bármelyike fennáll:

  • Az Active Directory-környezet biztonsága meg van adva.
  • Ha az átjáró szolgáltatásfiókja és az átjáró által megszemélyesíteni kívánt felhasználói fiókok külön tartományokban vagy erdőkben vannak.

Az átjárószolgáltatás-fiókot a Windows engedélyezési és hozzáférési csoporthoz is hozzáadhatja olyan esetekben, amikor a tartomány vagy erdő nem lett megerősítve, de nem szükséges.

További információt a Windows engedélyezési és hozzáférési csoportjában talál.

A konfigurációs lépés végrehajtásához minden olyan tartomány esetében, amely tartalmazza az Active Directory-felhasználókat, az átjárószolgáltatás-fiók megszemélyesítésére van szüksége:

  1. Jelentkezzen be a tartomány egyik számítógépére, és indítsa el a Active Directory - felhasználók és számítógépek MMC beépülő modult.
  2. Keresse meg a Windows engedélyezési és hozzáférési csoportot, amely általában a Beépített tárolóban található.
  3. Kattintson duplán a csoportra, és kattintson a Tagok fülre.
  4. Kattintson a Hozzáadás gombra, és módosítsa a tartomány helyét arra a tartományra, amelyben az átjárószolgáltatás-fiók található.
  5. Írja be az átjáró szolgáltatásfiókjának nevét, és kattintson a Nevek ellenőrzése gombra annak ellenőrzéséhez, hogy az átjáró szolgáltatásfiókja elérhető-e.
  6. Kattintson az OK gombra.
  7. Kattintson az Apply (Alkalmaz) gombra .
  8. Indítsa újra az átjárószolgáltatást.

Felhasználóleképezés konfigurációs paramétereinek beállítása az átjárógépen

Töltse ki ezt a szakaszt, ha:

  • Nincs microsoft entra Csatlakozás konfigurálva a felhasználói fiókok szinkronizálása ÉS
  • A Power BI-ban a felhasználók számára használt UPN nem egyezik meg a helyi Active Directory-környezetben lévő UPN-ével.

Minden így leképezett Active Directory-felhasználónak SSO-engedélyekkel kell rendelkeznie az adatforráshoz.

  1. Nyissa meg a fő átjáró konfigurációs fájlját. Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll Ez a fájl alapértelmezés szerint a következő helyen C:\Program Files\On-premises data gatewayvan tárolva: .

  2. Az ADUserNameLookupProperty beállítása nem használt Active Directory-attribútumra. A következő lépésekben fogjuk használni msDS-cloudExtensionAttribute1 . Ez az attribútum csak a Windows Server 2012-ben és újabb verzióiban érhető el.

  3. Állítsa az ADUserNameReplacementProperty beállítást a konfigurációs fájl mentésére SAMAccountName .

    Feljegyzés

    Többtartományos forgatókönyvekben előfordulhat, hogy az ADUserNameReplacementProperty értéket kell beállítania a felhasználó tartományadatainak megőrzéséhez userPrincipalName .

  4. A Feladatkezelő Szolgáltatások lapján kattintson a jobb gombbal az átjárószolgáltatásra, és válassza az Újraindítás lehetőséget.

    Képernyőkép a Feladatkezelő szolgáltatásai lapról

  5. Minden olyan Power BI szolgáltatás felhasználónál, aki számára engedélyezni szeretné a Kerberos SSO-t, állítsa egy msDS-cloudExtensionAttribute1 helyi Active Directory-felhasználó tulajdonságát (az adatforráshoz SSO-engedéllyel) a Power BI szolgáltatás felhasználó teljes felhasználónevére (UPN). Ha például bejelentkezik Power BI szolgáltatástest@contoso.com, és le szeretné képezni ezt a felhasználót egy helyi Active Directory-felhasználóra SSO-engedélyekkel, test@LOCALDOMAIN.COMpéldául , állítsa be a felhasználó attribútumát msDS-cloudExtensionAttribute1 test@contoso.com.

    A tulajdonságot a msDS-cloudExtensionAttribute1 Active Directory - felhasználók és számítógépek MMC beépülő modullal állíthatja be:

    1. Tartományi rendszergazdaként indítsa el a Active Directory - felhasználók és számítógépek.

    2. Kattintson a jobb gombbal a tartomány nevére, válassza a Keresés lehetőséget, majd adja meg a megfeleltetendő helyi Active Directory-felhasználó fióknevét.

    3. Válassza az Attribútumszerkesztő lapot.

      Keresse meg a msDS-cloudExtensionAttribute1 tulajdonságot, és kattintson rá duplán. Állítsa be az értéket annak a felhasználónak a teljes felhasználónevére (UPN), amelyet a Power BI szolgáltatás való bejelentkezéshez használ.

    4. Kattintson az OK gombra.

      Sztringatribútum-szerkesztő ablak

    5. Válassza az Alkalmazás lehetőséget. Ellenőrizze, hogy a helyes érték be van-e állítva az Érték oszlopban.

Adatforrásspecifikus konfigurációs lépések végrehajtása

Az SAP HANA, az SAP BW és a Teradata adatforrások esetében további konfiguráció szükséges az átjáró egyszeri bejelentkezéséhez:

Feljegyzés

Bár más SNC-kódtárak is működhetnek a BW egyszeri bejelentkezéshez, a Microsoft hivatalosan nem támogatja őket.

3. szakasz: Konfiguráció ellenőrzése

1. lépés: Adatforrások konfigurálása a Power BI-ban

Miután elvégezte az összes konfigurációs lépést, a Power BI Átjáró kezelése lapján konfigurálhatja az adatforrást az egyszeri bejelentkezéshez. Ha több átjáróval rendelkezik, győződjön meg arról, hogy a Kerberos egyszeri bejelentkezéshez konfigurált átjárót választja ki. Ezután az adatforrás Gépház alatt győződjön meg arról, hogy az egyszeri bejelentkezés használata a Kerberoson keresztül DirectQuery-lekérdezésekhez, vagy az egyszeri bejelentkezés használata a Kerberoson keresztül a DirectQuery-lekérdezésekhez és az importálási lekérdezések esetében a DirectQuery-alapú jelentések, az egyszeri bejelentkezés használata a Kerberoson keresztül a DirectQuery- és importálási lekérdezésekhez az Importálásalapú jelentések esetében van bejelölve.

Képernyőkép az egyszeri bejelentkezés beállításainak hozzáadásáról.

A beállítások Az egyszeri bejelentkezés használata a Kerberoson keresztül DirectQuery-lekérdezésekhez , az egyszeri bejelentkezés használata a Kerberoson keresztül DirectQuery- és importálási lekérdezésekhez eltérő viselkedést adnak a DirectQuery-alapú jelentésekhez és az importálásalapú jelentésekhez.

SSO használata Kerberoson keresztül DirectQuery-lekérdezésekhez:

  • A DirectQuery-alapú jelentések esetében a rendszer a felhasználó SSO-hitelesítő adatait használja.
  • Az Importálásalapú jelentések esetében a rendszer nem használja az egyszeri bejelentkezéshez használt hitelesítő adatokat, hanem az adatforráslapon megadott hitelesítő adatokat.

SSO használata Kerberoson keresztül DirectQuery- és importálási lekérdezésekhez:

  • A DirectQuery-alapú jelentések esetében a rendszer a felhasználó SSO-hitelesítő adatait használja.
  • Importálásalapú jelentés esetén a rendszer a szemantikai modell tulajdonosának SSO-hitelesítő adatait használja, függetlenül attól, hogy a felhasználó aktiválja-e az Importálást.

2. lépés: Egyszeri bejelentkezés tesztelése

Az egyszeri bejelentkezés (SSO) konfigurációjának tesztelése lépésben gyorsan ellenőrizheti, hogy a konfiguráció megfelelően van-e beállítva, és elháríthatja a gyakori problémákat.

3. lépés: Power BI-jelentés futtatása

Közzétételkor válassza ki az egyszeri bejelentkezéshez konfigurált átjárót, ha több átjáróval rendelkezik.

Kapcsolódó tartalom

A helyszíni adatátjáróról és a DirectQueryről a következő forrásokban talál további információt: