Kerberos-alapú egyszeri bejelentkezés konfigurálása a Power BI szolgáltatás és a helyszíni adatforrások között
Az egyszeri bejelentkezés engedélyezése megkönnyíti a Power BI-jelentések és -irányítópultok számára a helyszíni forrásokból származó adatok frissítését, miközben tiszteletben tartja az ezeken a forrásokon konfigurált felhasználói szintű engedélyeket. A Kerberos korlátozott delegálásának használata a közvetlen egyszeri bejelentkezés engedélyezéséhez.
Ez a cikk a Kerberos-alapú egyszeri bejelentkezés konfigurálásához szükséges lépéseket ismerteti a Power BI szolgáltatás és a helyszíni adatforrások között.
Előfeltételek
Több elemet kell konfigurálni a Kerberos által korlátozott delegálás megfelelő működéséhez, beleértve a *Szolgáltatásnévneveket (SPN) és a szolgáltatásfiókok delegálási beállításait.
Feljegyzés
A DNS-aliasolás használata egyszeri bejelentkezéssel nem támogatott.
Konfigurációs vázlat
Az átjáró egyszeri bejelentkezésének konfigurálásához szükséges lépéseket az alábbiakban ismertetjük.
Végezze el az 1. szakaszban szereplő összes lépést: Alapszintű konfiguráció.
Az Active Directory-környezettől és a használt adatforrásoktól függően előfordulhat, hogy végre kell hajtania a 2. szakaszban ismertetett konfiguráció egy részét vagy egészét: Környezetspecifikus konfiguráció.
A további konfigurációt igénylő lehetséges forgatókönyvek az alábbiakban találhatók:
Eset Ugrás ide: Az Active Directory-környezet biztonsága meg van adva. Átjárószolgáltatás-fiók hozzáadása a Windows engedélyezési és hozzáférési csoportjához Az átjáró szolgáltatásfiókja és az átjáró által megszemélyesíteni kívánt felhasználói fiókok külön tartományokban vagy erdőkben találhatók. Átjárószolgáltatás-fiók hozzáadása a Windows engedélyezési és hozzáférési csoportjához Nincs microsoft entra Csatlakozás konfigurálva a felhasználói fiókok szinkronizálása, és a Power BI-ban a felhasználók számára használt UPN nem egyezik meg a helyi Active Directory-környezetben lévő UPN-vel. Felhasználóleképezés konfigurációs paramétereinek beállítása az átjárógépen Sap HANA-adatforrást tervez használni egyszeri bejelentkezéssel. Adatforrásspecifikus konfigurációs lépések végrehajtása Sap BW-adatforrást tervez használni egyszeri bejelentkezéssel. Adatforrásspecifikus konfigurációs lépések végrehajtása Teradata-adatforrást tervez használni egyszeri bejelentkezéssel. Adatforrásspecifikus konfigurációs lépések végrehajtása Ellenőrizze a konfigurációt a 3. szakaszban leírtak szerint : Ellenőrizze a konfigurációt , hogy az egyszeri bejelentkezés megfelelően legyen beállítva.
1. szakasz: Alapszintű konfiguráció
1. lépés: A Microsoft helyszíni adatátjáró telepítése és konfigurálása
A helyszíni adatátjáró támogatja a helyszíni frissítést, és a meglévő átjárók beállításainak átvételét .
2. lépés: Tartományadminisztrátori jogosultságok beszerzése az SPN-ek (SetSPN) és a Kerberos korlátozott delegálási beállításainak konfigurálásához
Az SPN-ek és a Kerberos-delegálási beállítások konfigurálásához a tartományi rendszergazdáknak el kell kerülniük a jogosultságok megadását olyan személy számára, aki nem rendelkezik tartományi rendszergazdai jogosultságokkal. A következő szakaszban részletesebben ismertetjük az ajánlott konfigurációs lépéseket.
3. lépés: Az átjárószolgáltatás-fiók konfigurálása
Az alábbi A lehetőség a szükséges konfiguráció, kivéve, ha a Microsoft Entra Csatlakozás van konfigurálva, és a felhasználói fiókok szinkronizálva vannak. Ebben az esetben a "B" lehetőség használata javasolt.
A. lehetőség: Az átjáró Windows-szolgáltatásának futtatása tartományi fiókként spN-vel
Normál telepítés esetén az átjáró az NT Service\PBIEgwService számítógép-helyi szolgáltatásfiókként fut.
A Korlátozott Kerberos-delegálás engedélyezéséhez az átjárónak tartományi fiókként kell futnia, kivéve, ha a Microsoft Entra-példány már szinkronizálva van a helyi Active Directory-példánysal (a Microsoft Entra DirSync/Csatlakozás használatával). Ha tartományfiókra szeretne váltani, tekintse meg az átjárószolgáltatás-fiók módosítását.
Egyszerű szolgáltatásnév konfigurálása az átjárószolgáltatás-fiókhoz
Először állapítsa meg, hogy már létrejött-e egyszerű szolgáltatásnév az átjárószolgáltatás-fiókként használt tartományi fiókhoz:
Tartományi rendszergazdaként indítsa el a Active Directory - felhasználók és számítógépek Microsoft Management Console (MMC) beépülő modult.
A bal oldali panelen kattintson a jobb gombbal a tartomány nevére, válassza a Keresés lehetőséget, majd adja meg az átjárószolgáltatás-fiók fióknevét.
A keresési eredményben kattintson a jobb gombbal az átjáró szolgáltatásfiókjára, és válassza a Tulajdonságok lehetőséget.
Ha a Delegálás lap látható a Tulajdonságok párbeszédpanelen, akkor már létrejött egy egyszerű szolgáltatásnév, és kihagyhatja a Kerberos korlátozott delegálásának konfigurálását.
Ha nincs Delegálás lap a Tulajdonságok párbeszédpanelen, manuálisan hozhat létre spN-t a fiókon az engedélyezéshez. Használja a Windowshoz tartozó setspn eszközt (az egyszerű szolgáltatásnév létrehozásához tartományadminisztrátori jogosultságra van szüksége).
Tegyük fel például, hogy az átjárószolgáltatás-fiók Contoso\GatewaySvc, és az átjárószolgáltatás a MyGatewayMachine nevű gépen fut. Az átjárószolgáltatás-fiók spN-jének beállításához futtassa a következő parancsot:
setspn -S gateway/MyGatewayMachine Contoso\GatewaySvc
Az egyszerű szolgáltatásneveket a Active Directory - felhasználók és számítógépek MMC beépülő modullal is beállíthatja.
B. lehetőség: Számítógép konfigurálása a Microsoft Entra Csatlakozás
Ha a Microsoft Entra Csatlakozás konfigurálva van, és a felhasználói fiókok szinkronizálódnak, az átjárószolgáltatásnak nem kell helyi Microsoft Entra-kereséseket végeznie futásidőben. Ehelyett egyszerűen használhatja a helyi szolgáltatás SID-ét az átjárószolgáltatáshoz az összes szükséges konfiguráció elvégzéséhez a Microsoft Entra ID-ban. A Kerberos korlátozott delegálási konfigurációs lépései megegyeznek a Microsoft Entra-környezetben szükséges konfigurációs lépésekkel. A rendszer a tartományi fiók helyett a Microsoft Entra ID-ban alkalmazza őket az átjáró számítógép-objektumára (a helyi szolgáltatás SID-jének megfelelően). Az NT Standard kiadás RVICE/PBIEgwService helyi szolgáltatás SID-címe a következő:
S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079
Ahhoz, hogy létrehozhassa ennek a SID-nek az egyszerű szolgáltatásnevét a Power BI Gateway-számítógépen, a következő parancsot kell futtatnia egy rendszergazdai parancssorból (cserélje le <COMPUTERNAME>
a Power BI Gateway-számítógép nevére):
SetSPN -s HTTP/S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079 <COMPUTERNAME>
Feljegyzés
A helyi biztonsági beállításoktól függően előfordulhat, hogy hozzá kell adnia az NT Standard kiadás RVICE\PBIEgwService átjárószolgáltatás-fiókot az átjárógép helyi Rendszergazda istrators csoportjához, majd újra kell indítania az átjárószolgáltatást az átjáróalkalmazásban. Ez a beállítás nem támogatott több átjáróval rendelkező forgatókönyvek esetében, mivel az Active Directory egyedi egyszerű szolgáltatásneveket kényszerít ki egy teljes erdőben. Ezekben a forgatókönyvekben használja inkább az A lehetőséget.
4. lépés: Korlátozott Kerberos-delegálás konfigurálása
Konfigurálhatja a delegálási beállításokat a normál Kerberos korlátozott delegáláshoz vagy az erőforrás-alapú, korlátozott Kerberos-delegáláshoz. A delegálás két megközelítése közötti különbségekről további információt a Kerberos korlátozott delegálási áttekintésében talál.
A következő szolgáltatásfiókok szükségesek:
- Átjárószolgáltatás-fiók: Az Active Directoryban az átjárót képviselő szolgáltatásfelhasználó, a 3. lépésben konfigurált egyszerű szolgáltatásnévvel.
- Adatforrás-szolgáltatásfiók: Az Active Directoryban az adatforrást képviselő szolgáltatásfelhasználó, az adatforrásra leképezett SPN-vel.
Feljegyzés
Az átjáró- és adatforrásszolgáltatás-fiókoknak különnek kell lenniük. Ugyanaz a szolgáltatásfiók nem használható az átjáró és az adatforrás ábrázolására.
A használni kívánt megközelítéstől függően folytassa a következő szakaszok egyikével. Ne fejezze be mindkét szakaszt:
- A lehetőség: Standard Kerberos korlátozott delegálás. Ez az alapértelmezett javaslat a legtöbb környezethez.
- B lehetőség: Erőforrás-alapú Kerberos korlátozott delegálás. Erre akkor van szükség, ha az adatforrás egy másik tartományhoz tartozik, mint az átjáró.
A lehetőség: Standard Kerberos korlátozott delegálás
Most meg fogjuk adnia az átjárószolgáltatás-fiók delegálási beállításait. A lépések végrehajtásához több eszköz is használható. Itt a Active Directory - felhasználók és számítógépek MMC beépülő modult fogjuk használni az információk felügyeletére és közzétételére a címtárban. Alapértelmezés szerint elérhető a tartományvezérlőkön; más gépeken a Windows szolgáltatáskonfigurációjával engedélyezheti.
A Kerberos korlátozott delegálását protokollváltással kell konfigurálnunk. Korlátozott delegálás esetén explicit módon kell megadnia, hogy az átjáró mely szolgáltatások számára engedélyezi a delegált hitelesítő adatok bemutatását. Például csak az SQL Server vagy az SAP HANA-kiszolgáló fogad delegálási hívásokat az átjárószolgáltatás-fiókból.
Ez a szakasz feltételezi, hogy már konfigurálta az SPN-eket a mögöttes adatforrásokhoz (például SQL Server, SAP HANA, SAP BW, Teradata vagy Spark). Ha meg szeretné tudni, hogyan konfigurálhatja ezeket az adatforrás-kiszolgálói EGYSZERŰ neveket, tekintse meg a megfelelő adatbázis-kiszolgáló műszaki dokumentációját, és tekintse meg a Saját Kerberos ellenőrzőlista blogbejegyzésében, hogy milyen egyszerű szolgáltatásnévre van szüksége az alkalmazásnak.
A következő lépésekben egy helyszíni környezetet feltételezünk, amelyben két gép található ugyanabban a tartományban: egy átjárógépet és egy SQL Servert futtató adatbázis-kiszolgálót, amely már konfigurálva van Kerberos-alapú egyszeri bejelentkezéshez. A lépéseket a többi támogatott adatforrás esetében is el lehet fogadni, amennyiben az adatforrás már konfigurálva van a Kerberos-alapú egyszeri bejelentkezéshez. Ebben a példában a következő beállításokat fogjuk használni:
- Active Directory-tartomány (Netbios): Contoso
- Átjárógép neve: MyGatewayMachine
- Átjárószolgáltatás-fiók: Contoso\GatewaySvc
- SQL Server adatforrás-gép neve: TestSQLServer
- SQL Server adatforrás-szolgáltatásfiók: Contoso\SQLService
A delegálási beállítások a következőképpen konfigurálhatók:
Tartományi rendszergazdai jogosultságokkal nyissa meg a Active Directory - felhasználók és számítógépek MMC beépülő modult.
Kattintson a jobb gombbal az átjárószolgáltatás-fiókra (Contoso\GatewaySvc), és válassza a Tulajdonságok lehetőséget.
Válassza a Delegálás lapot.
Válassza a Megbízható számítógép lehetőséget a megadott szolgáltatásokhoz való delegáláshoz, és csak>bármely hitelesítési protokollt használjon.
Azon szolgáltatások alatt , amelyekhez ez a fiók delegált hitelesítő adatokat tud bemutatni, válassza a Hozzáadás lehetőséget.
Az új párbeszédpanelen válassza a Felhasználók vagy számítógépek lehetőséget.
Adja meg az adatforrás szolgáltatásfiókjának nevét, majd kattintson az OK gombra.
Egy SQL Server-adatforrás például rendelkezhet olyan szolgáltatásfiókkal, mint a Contoso\SQLService. Az adatforrás megfelelő egyszerű szolgáltatásnevét már be kellett volna állítani ezen a fiókon.
Válassza ki az adatbázis-kiszolgálóhoz létrehozott egyszerű szolgáltatásneveket.
A példánkban az SPN az MSSQLSvc-vel kezdődik. Ha a teljes tartománynevet és a NetBIOS SPN-t is hozzáadta az adatbázis-szolgáltatáshoz, jelölje ki mindkettőt. Lehet, hogy csak egy jelenik meg.
Kattintson az OK gombra.
Most már látnia kell az egyszerű szolgáltatásnevet azon szolgáltatások listájában, amelyekhez az átjárószolgáltatás-fiók delegált hitelesítő adatokat tud megjeleníteni.
A beállítási folyamat folytatásához folytassa az átjáró szolgáltatásfiókjának helyi házirend-jogosultságok biztosításával az átjárógépen.
B lehetőség: Erőforrás-alapú Kerberos korlátozott delegálás
Az erőforrás-alapú Kerberos korlátozott delegálással engedélyezheti az egyszeri bejelentkezést a Windows Server 2012 és újabb verziókhoz. Ez a delegálási típus lehetővé teszi, hogy az előtérbeli és a háttérszolgáltatások különböző tartományokban legyenek. Ahhoz, hogy működjön, a háttérszolgáltatás tartományának megbízhatónak kell lennie az előtérbeli szolgáltatástartományban.
A következő lépésekben feltételezzük, hogy egy helyszíni környezet két különböző tartományban lévő géppel rendelkezik: egy átjárógépet és egy SQL Servert futtató adatbázis-kiszolgálót, amely már konfigurálva van Kerberos-alapú egyszeri bejelentkezéshez. Ezeket a lépéseket a többi támogatott adatforrás esetében is el lehet fogadni, amennyiben az adatforrás már konfigurálva van a Kerberos-alapú egyszeri bejelentkezéshez. Ebben a példában a következő beállításokat fogjuk használni:
- Active Directory előtérbeli tartomány (Netbios): ContosoFrontEnd
- Active Directory háttértartomány (Netbios): ContosoBackEnd
- Átjárógép neve: MyGatewayMachine
- Átjárószolgáltatás-fiók: ContosoFrontEnd\GatewaySvc
- SQL Server adatforrás-gép neve: TestSQLServer
- SQL Server adatforrás-szolgáltatásfiók: ContosoBackEnd\SQLService
Hajtsa végre a következő konfigurációs lépéseket:
Használja a Active Directory - felhasználók és számítógépek MMC beépülő modult a ContosoFrontEnd tartomány tartományvezérlőjén, és ellenőrizze, hogy nincs-e delegálási beállítás az átjárószolgáltatás-fiókra vonatkozóan.
Használja a Active Directory - felhasználók és számítógépek a ContosoBackEnd tartomány tartományvezérlőjén, és ellenőrizze, hogy nincs-e delegálási beállítás alkalmazva a háttérszolgáltatás-fiókra.
A fióktulajdonságok Attribútumszerkesztő lapján ellenőrizze, hogy nincs-e beállítva az msDS-AllowedToActOnBehalfOfOtherIdentity attribútum.
A Active Directory - felhasználók és számítógépek hozzon létre egy csoportot a ContosoBackEnd tartomány tartományvezérlőjén. Adja hozzá a GatewaySvc átjárószolgáltatás-fiókot a ResourceDelGroup csoporthoz .
Ha megbízható tartományból szeretne felhasználókat felvenni, ennek a csoportnak helyi tartomány hatókörrel kell rendelkeznie.
Nyisson meg egy parancssort, és futtassa a következő parancsokat a ContosoBackEnd tartomány tartományvezérlőjében a háttérszolgáltatás-fiók msDS-AllowedToActOnBehalfOfOtherIdentity attribútumának frissítéséhez:
$c = Get-ADGroup ResourceDelGroup Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c
A Active Directory - felhasználók és számítógépek ellenőrizze, hogy a frissítés megjelenik-e az Attribútumszerkesztő lapon a háttérszolgáltatás-fiók tulajdonságai között.
5. lépés: Az AES-titkosítás engedélyezése szolgáltatásfiókokon
Alkalmazza az alábbi beállításokat az átjáró szolgáltatásfiókjára és minden olyan adatforrás-szolgáltatásfiókra, amelybe az átjáró delegálhat:
Feljegyzés
Ha a szolgáltatásfiók(ok)on már vannak definiálva enctípusok, forduljon az Active Directory Rendszergazda istratorhoz, mert az alábbi lépések végrehajtásával felülírhatja a meglévő enctypes-értékeket, és megszakíthatja az ügyfeleket.
Tartományi rendszergazdai jogosultságokkal nyissa meg a Active Directory - felhasználók és számítógépek MMC beépülő modult.
Kattintson a jobb gombbal az átjáróra/adatforrás-szolgáltatásfiókra, és válassza a Tulajdonságok lehetőséget.
Válassza a Fiók fület.
A Fiókbeállítások területen engedélyezze az alábbi lehetőségek közül legalább egyet (vagy mindkettőt). Vegye figyelembe, hogy minden szolgáltatásfiók esetében ugyanazokat a beállításokat kell engedélyezni.
- Ez a fiók támogatja a Kerberos AES 128 bites titkosítását
- Ez a fiók támogatja a Kerberos AES 256 bites titkosítását
Feljegyzés
Ha nem biztos abban, hogy melyik titkosítási sémát használja, forduljon az Active Directory Rendszergazda istratorhoz.
6. lépés: Az átjáró szolgáltatásfiókjának helyi házirend-jogosultságok biztosítása az átjárógépen
Végül az átjárószolgáltatást futtató gépen (példánkban a MyGatewayMachine ) adja meg az átjárószolgáltatás-fióknak azokat a helyi házirendeket , amelyek megszemélyesítenek egy ügyfelet a hitelesítés után, és az operációs rendszer részeként működnek (SeTcbPrivilege). Ezt a konfigurációt a helyi csoportházirend-szerkesztővel (gpedit.msc) hajtja végre.
Az átjárógépen futtassa a gpedit.msc parancsot.
Nyissa meg a Helyi számítógépházirend>számítógép konfigurációja>Windows Gépház> Security Gépház> Local policies>felhasználói jogok hozzárendelését.
A Felhasználói jogok hozzárendelése területen a szabályzatok listájában válassza az Ügyfél megszemélyesítése hitelesítés után lehetőséget.
Kattintson a jobb gombbal a szabályzatra, nyissa meg a Tulajdonságok parancsot, majd tekintse meg a fiókok listáját.
A listának tartalmaznia kell az átjárószolgáltatás-fiókot (Contoso\GatewaySvc vagy ContosoFrontEnd\GatewaySvc a korlátozott delegálás típusától függően).
A Felhasználói jogok hozzárendelése területen válassza az Operációs rendszer részeként (SeTcbPrivilege) lehetőséget a szabályzatok listájából. Győződjön meg arról, hogy az átjárószolgáltatás-fiók szerepel a fiókok listájában.
Indítsa újra a helyszíni adatátjáró szolgáltatás folyamatát.
7. lépés: A Windows-fiók hozzáférhet az átjárógéphez
Az egyszeri bejelentkezés Windows-hitelesítést használ, ezért győződjön meg arról, hogy a Windows-fiók hozzáfér az átjárógéphez. Ha nem biztos benne, adja hozzá az NT-AUTHORITY\Hitelesített felhasználók (S-1-5-11) elemet a helyi gép "Felhasználók" csoportjához.
2. szakasz: Környezetspecifikus konfiguráció
Átjárószolgáltatás-fiók hozzáadása a Windows engedélyezési és hozzáférési csoportjához
Töltse ki ezt a szakaszt, ha az alábbi helyzetek bármelyike fennáll:
- Az Active Directory-környezet biztonsága meg van adva.
- Ha az átjáró szolgáltatásfiókja és az átjáró által megszemélyesíteni kívánt felhasználói fiókok külön tartományokban vagy erdőkben vannak.
Az átjárószolgáltatás-fiókot a Windows engedélyezési és hozzáférési csoporthoz is hozzáadhatja olyan esetekben, amikor a tartomány vagy erdő nem lett megerősítve, de nem szükséges.
További információt a Windows engedélyezési és hozzáférési csoportjában talál.
A konfigurációs lépés végrehajtásához minden olyan tartomány esetében, amely tartalmazza az Active Directory-felhasználókat, az átjárószolgáltatás-fiók megszemélyesítésére van szüksége:
- Jelentkezzen be a tartomány egyik számítógépére, és indítsa el a Active Directory - felhasználók és számítógépek MMC beépülő modult.
- Keresse meg a Windows engedélyezési és hozzáférési csoportot, amely általában a Beépített tárolóban található.
- Kattintson duplán a csoportra, és kattintson a Tagok fülre.
- Kattintson a Hozzáadás gombra, és módosítsa a tartomány helyét arra a tartományra, amelyben az átjárószolgáltatás-fiók található.
- Írja be az átjáró szolgáltatásfiókjának nevét, és kattintson a Nevek ellenőrzése gombra annak ellenőrzéséhez, hogy az átjáró szolgáltatásfiókja elérhető-e.
- Kattintson az OK gombra.
- Kattintson az Apply (Alkalmaz) gombra .
- Indítsa újra az átjárószolgáltatást.
Felhasználóleképezés konfigurációs paramétereinek beállítása az átjárógépen
Töltse ki ezt a szakaszt, ha:
- Nincs microsoft entra Csatlakozás konfigurálva a felhasználói fiókok szinkronizálása ÉS
- A Power BI-ban a felhasználók számára használt UPN nem egyezik meg a helyi Active Directory-környezetben lévő UPN-ével.
Minden így leképezett Active Directory-felhasználónak SSO-engedélyekkel kell rendelkeznie az adatforráshoz.
Nyissa meg a fő átjáró konfigurációs fájlját.
Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll
Ez a fájl alapértelmezés szerint a következő helyenC:\Program Files\On-premises data gateway
van tárolva: .Az ADUserNameLookupProperty beállítása nem használt Active Directory-attribútumra. A következő lépésekben fogjuk használni
msDS-cloudExtensionAttribute1
. Ez az attribútum csak a Windows Server 2012-ben és újabb verzióiban érhető el.Állítsa az ADUserNameReplacementProperty beállítást a konfigurációs fájl mentésére
SAMAccountName
.Feljegyzés
Többtartományos forgatókönyvekben előfordulhat, hogy az ADUserNameReplacementProperty értéket kell beállítania a felhasználó tartományadatainak megőrzéséhez
userPrincipalName
.A Feladatkezelő Szolgáltatások lapján kattintson a jobb gombbal az átjárószolgáltatásra, és válassza az Újraindítás lehetőséget.
Minden olyan Power BI szolgáltatás felhasználónál, aki számára engedélyezni szeretné a Kerberos SSO-t, állítsa egy
msDS-cloudExtensionAttribute1
helyi Active Directory-felhasználó tulajdonságát (az adatforráshoz SSO-engedéllyel) a Power BI szolgáltatás felhasználó teljes felhasználónevére (UPN). Ha például bejelentkezik Power BI szolgáltatástest@contoso.com, és le szeretné képezni ezt a felhasználót egy helyi Active Directory-felhasználóra SSO-engedélyekkel, test@LOCALDOMAIN.COMpéldául , állítsa be a felhasználó attribútumátmsDS-cloudExtensionAttribute1
test@contoso.com.A tulajdonságot a
msDS-cloudExtensionAttribute1
Active Directory - felhasználók és számítógépek MMC beépülő modullal állíthatja be:Tartományi rendszergazdaként indítsa el a Active Directory - felhasználók és számítógépek.
Kattintson a jobb gombbal a tartomány nevére, válassza a Keresés lehetőséget, majd adja meg a megfeleltetendő helyi Active Directory-felhasználó fióknevét.
Válassza az Attribútumszerkesztő lapot.
Keresse meg a
msDS-cloudExtensionAttribute1
tulajdonságot, és kattintson rá duplán. Állítsa be az értéket annak a felhasználónak a teljes felhasználónevére (UPN), amelyet a Power BI szolgáltatás való bejelentkezéshez használ.Kattintson az OK gombra.
Válassza az Alkalmazás lehetőséget. Ellenőrizze, hogy a helyes érték be van-e állítva az Érték oszlopban.
Adatforrásspecifikus konfigurációs lépések végrehajtása
Az SAP HANA, az SAP BW és a Teradata adatforrások esetében további konfiguráció szükséges az átjáró egyszeri bejelentkezéséhez:
- Használja a Kerberost egyszeri bejelentkezéshez (SSO) az SAP HANA-hoz.
- A Kerberos egyszeri bejelentkezés használata egyszeri bejelentkezéssel az SAP BW-be CommonCryptoLib (sapcrypto.dll) használatával.
- A Kerberos használata egyszeri bejelentkezéshez (SSO) a Teradata-hoz.
Feljegyzés
Bár más SNC-kódtárak is működhetnek a BW egyszeri bejelentkezéshez, a Microsoft hivatalosan nem támogatja őket.
3. szakasz: Konfiguráció ellenőrzése
1. lépés: Adatforrások konfigurálása a Power BI-ban
Miután elvégezte az összes konfigurációs lépést, a Power BI Átjáró kezelése lapján konfigurálhatja az adatforrást az egyszeri bejelentkezéshez. Ha több átjáróval rendelkezik, győződjön meg arról, hogy a Kerberos egyszeri bejelentkezéshez konfigurált átjárót választja ki. Ezután az adatforrás Gépház alatt győződjön meg arról, hogy az egyszeri bejelentkezés használata a Kerberoson keresztül DirectQuery-lekérdezésekhez, vagy az egyszeri bejelentkezés használata a Kerberoson keresztül a DirectQuery-lekérdezésekhez és az importálási lekérdezések esetében a DirectQuery-alapú jelentések, az egyszeri bejelentkezés használata a Kerberoson keresztül a DirectQuery- és importálási lekérdezésekhez az Importálásalapú jelentések esetében van bejelölve.
A beállítások Az egyszeri bejelentkezés használata a Kerberoson keresztül DirectQuery-lekérdezésekhez , az egyszeri bejelentkezés használata a Kerberoson keresztül DirectQuery- és importálási lekérdezésekhez eltérő viselkedést adnak a DirectQuery-alapú jelentésekhez és az importálásalapú jelentésekhez.
SSO használata Kerberoson keresztül DirectQuery-lekérdezésekhez:
- A DirectQuery-alapú jelentések esetében a rendszer a felhasználó SSO-hitelesítő adatait használja.
- Az Importálásalapú jelentések esetében a rendszer nem használja az egyszeri bejelentkezéshez használt hitelesítő adatokat, hanem az adatforráslapon megadott hitelesítő adatokat.
SSO használata Kerberoson keresztül DirectQuery- és importálási lekérdezésekhez:
- A DirectQuery-alapú jelentések esetében a rendszer a felhasználó SSO-hitelesítő adatait használja.
- Importálásalapú jelentés esetén a rendszer a szemantikai modell tulajdonosának SSO-hitelesítő adatait használja, függetlenül attól, hogy a felhasználó aktiválja-e az Importálást.
2. lépés: Egyszeri bejelentkezés tesztelése
Az egyszeri bejelentkezés (SSO) konfigurációjának tesztelése lépésben gyorsan ellenőrizheti, hogy a konfiguráció megfelelően van-e beállítva, és elháríthatja a gyakori problémákat.
3. lépés: Power BI-jelentés futtatása
Közzétételkor válassza ki az egyszeri bejelentkezéshez konfigurált átjárót, ha több átjáróval rendelkezik.
Kapcsolódó tartalom
A helyszíni adatátjáróról és a DirectQueryről a következő forrásokban talál további információt: