Csatlakozás Power BI jelentéskészítő kiszolgáló és SSRS-hez Power BI mobilalkalmazásokból
Ez a cikk bemutatja, hogyan konfigurálhatja a környezetet az OAuth-hitelesítés támogatásához a Power BI mobilalkalmazással, hogy csatlakozzon Power BI jelentéskészítő kiszolgáló és SQL Server Reporting Services 2016-os vagy újabb verziójához.
Követelmények
Windows Server szükséges a webes alkalmazásproxy (WAP) és Active Directory összevonási szolgáltatások (AD FS) (AD FS) kiszolgálókhoz. Nem kell windowsos működési szintű tartománnyal rendelkeznie.
Ahhoz, hogy a felhasználók hozzá tudjanak adni egy jelentéskészítő kiszolgálói kapcsolatot a Power BI mobilalkalmazásukhoz, hozzáférést kell adni nekik a jelentéskészítő kiszolgáló kezdőlapjára.
Feljegyzés
2025. március 1-jén a Power BI Mobile alkalmazás nem tud csatlakozni a Jelentéskészítő kiszolgálóhoz az OAuth protokoll használatával a Windows Server 2016-on konfigurált AD FS-en keresztül. A Windows Server 2016-on és webes alkalmazásproxy (WAP) konfigurált AD FS-sel rendelkező OAuth szolgáltatást használó ügyfeleknek windows server 2019-es vagy újabb rendszerre kell frissíteniük az AD FS-kiszolgálójukat, vagy Microsoft Entra-alkalmazásproxyt kell használniuk. A Windows Server frissítése után előfordulhat, hogy a Power BI Mobile alkalmazás felhasználóinak újra be kell jelentkeznie a jelentéskészítő kiszolgálóra.
Ezt a frissítést a mobilalkalmazás által használt hitelesítési kódtár módosítása teszi szükségessé. A változás semmilyen módon nem érinti a Windows Server 2016 AD FS Microsoft-támogatását, hanem csak a Power BI Mobile alkalmazás csatlakozásának képességét.
Tartománynév-szolgáltatások (DNS) konfigurálása
A nyilvános URL-cím az az URL-cím, amelyhez a Power BI mobilalkalmazás csatlakozni fog. Például az alábbihoz hasonló lehet.
https://reports.contoso.com
A webes alkalmazásproxy (WAP) kiszolgáló nyilvános IP-címére irányuló jelentések DNS-rekordja. Emellett konfigurálnia kell egy nyilvános DNS-rekordot az AD FS-kiszolgálóhoz. Előfordulhat például, hogy az AD FS-kiszolgálót a következő URL-címmel konfigurálta.
https://fs.contoso.com
Az fs dns-rekordja a webes alkalmazásproxy (WAP) kiszolgáló nyilvános IP-címére, mivel az a WAP-alkalmazás részeként lesz közzétéve.
Diplomák
A WAP-alkalmazáshoz és az AD FS-kiszolgálóhoz is konfigurálnia kell a tanúsítványokat. Mindkét tanúsítványnak egy érvényes hitelesítésszolgáltatónak kell lennie, amelyet a mobileszközök felismernek.
Reporting Services konfigurálása
A Reporting Services oldalán nincs sok konfigurálás. Csak győződjön meg arról, hogy:
- Érvényes egyszerű szolgáltatásnévvel (SPN) engedélyezheti a megfelelő Kerberos-hitelesítést.
- A Reporting Services-kiszolgáló engedélyezve van a hitelesítés egyeztetéséhez.
- A felhasználók hozzáférhetnek a jelentéskészítő kiszolgáló kezdőlapjára.
Egyszerű szolgáltatásnév (SPN)
Az egyszerű szolgáltatásnév egy Kerberos-hitelesítést használó szolgáltatás egyedi azonosítója. Győződjön meg arról, hogy megfelelő HTTP SPN-t használ a jelentéskészítő kiszolgálóhoz.
A jelentéskészítő kiszolgálóhoz tartozó egyszerű szolgáltatásnév (SPN) konfigurálásáról további információt a jelentéskészítő kiszolgáló egyszerű szolgáltatásnevének (SPN) regisztrálása című témakörben talál.
A hitelesítés egyeztetésének engedélyezése
Ahhoz, hogy egy jelentéskészítő kiszolgáló Kerberos-hitelesítést használhasson, konfigurálnia kell a jelentéskészítő kiszolgáló hitelesítési típusát RSWindowsNegotiate-nek. Ezt az rsreportserver.config fájlban teheti meg.
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsKerberos />
<RSWindowsNTLM />
</AuthenticationTypes>
További információt a Reporting Services konfigurációs fájljának módosítása és a Windows-hitelesítés konfigurálása jelentéskészítő kiszolgálón című témakörben talál.
Active Directory összevonási szolgáltatások (AD FS) (AD FS) konfigurációja
Konfigurálnia kell az AD FS-t egy Windows-kiszolgálón a környezetben. A konfiguráció a Kiszolgálókezelő keresztül végezhető el, és a Kezelés területen válassza a Szerepkörök és szolgáltatások hozzáadása lehetőséget. További információ: Active Directory összevonási szolgáltatások (AD FS).
Fontos
2025. március 1-jén a Power BI Mobile-alkalmazások már nem tudnak csatlakozni a Jelentéskészítő kiszolgálóhoz a Windows Server 2016-on konfigurált AD FS-en keresztül. Tekintse meg a cikk elején található megjegyzést .
Alkalmazáscsoport létrehozása
Az AD FS Felügyeleti képernyőn létre szeretne hozni egy alkalmazáscsoportot a Reporting Services számára, amely tartalmazza a Power BI Mobile-alkalmazások adatait.
Az alkalmazáscsoportot az alábbi lépésekkel hozhatja létre.
Az AD FS Management alkalmazásban kattintson a jobb gombbal az Alkalmazáscsoportok elemre , és válassza az Alkalmazáscsoport hozzáadása...
Az Alkalmazáscsoport hozzáadása varázslóban adja meg az alkalmazáscsoport nevét , és válassza a webes API-hoz hozzáférő natív alkalmazást.
Válassza a Tovább lehetőséget.
Adja meg a hozzáadni kívánt alkalmazás nevét.
Bár az ügyfélazonosító automatikusan létrejön az Ön számára, adja meg a 484d54fc-b481-4eee-9505-0258a1913020 értéket iOS és Android rendszeren is.
A következő átirányítási URL-címeket szeretné hozzáadni:
A Power BI Mobile – iOS bejegyzései:
msauth://code/mspbi-adal://com.microsoft.powerbimobile
msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
mspbi-adal://com.microsoft.powerbimobile
mspbi-adalms://com.microsoft.powerbimobilemsAz Android Appsnek csak a következő lépésekre van szüksége:
urn:ietf:wg:oauth:2.0:oob
Válassza a Tovább lehetőséget.
Adja meg a jelentéskészítő kiszolgáló URL-címét. Az URL-cím a webes alkalmazásproxy elérő külső URL-cím. Ennek a következő formátumban kell lennie.
Feljegyzés
Ez az URL-cím megkülönbözteti a kis- és nagybetűkét!
https://<report server url>/reports
Válassza a Tovább lehetőséget.
Válassza ki a szervezet igényeinek megfelelő hozzáférés-vezérlési szabályzatot .
Válassza a Tovább lehetőséget.
Válassza a Tovább lehetőséget.
Válassza a Tovább lehetőséget.
Válassza a Bezárás lehetőséget.
Ha elkészült, az alkalmazáscsoport tulajdonságai az alábbiakhoz hasonlóan jelennek meg.
Most futtassa a következő PowerShell-parancsot az AD FS-kiszolgálón a jogkivonatok frissítésének támogatásához.
Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'
Webes alkalmazásproxy (WAP) konfigurációja
Engedélyezni szeretné a webes alkalmazásproxy (szerepkör) Windows-szerepkört a környezet egyik kiszolgálóján. Windows-kiszolgálón kell lennie. További információt a Windows Server webes alkalmazásproxy és az AD FS-előhitelesítést használó közzétételi alkalmazásokban talál.
Korlátozott delegálási konfiguráció
Az OAuth-hitelesítésről a Windows-hitelesítésre való áttéréshez korlátozott delegálást kell használnunk protokollváltással. Ez a Kerberos-konfiguráció része. A Reporting Services SPN-t már definiáltuk a Reporting Services konfigurációban.
Konfigurálnunk kell a korlátozott delegálást a WAP-kiszolgáló gépfiókján az Active Directoryban. Előfordulhat, hogy tartományadminisztrátorsal kell dolgoznia, ha nincs jogosultsága az Active Directoryhoz.
A korlátozott delegálás konfigurálásához hajtsa végre a következő lépéseket.
Egy olyan gépen, amelyen telepítve vannak az Active Directory-eszközök, indítsa el a Active Directory - felhasználók és számítógépek.
Keresse meg a WAP-kiszolgáló gépfiókját. Alapértelmezés szerint a számítógéptárolóban van.
Kattintson a jobb gombbal a WAP-kiszolgálóra, és válassza a Tulajdonságok parancsot.
Válassza a Delegálás lapot.
Válassza a Megbízható számítógép lehetőséget , hogy csak a megadott szolgáltatásokra delegálást végezze el, majd használjon bármilyen hitelesítési protokollt.
Ez beállítja a korlátozott delegálást ehhez a WAP-kiszolgálói számítógépfiókhoz. Ezután meg kell adnunk azokat a szolgáltatásokat, amelyekre ez a gép delegálható.
Válassza a Hozzáadás... lehetőséget a szolgáltatások mező alatt.
Felhasználók vagy számítógépek kiválasztása ...
Adja meg a Reporting Serviceshez használt szolgáltatásfiókot. Ez a fiók az a fiók, amelyhez hozzáadta az egyszerű szolgáltatásneveket a Reporting Services-konfigurációban.
Válassza ki a Reporting Services egyszerű szolgáltatásnevét, majd kattintson az OK gombra.
Feljegyzés
Csak a NetBIOS SPN jelenhet meg. Valójában a NetBIOS és a teljes tartománynév spn-jait is kiválasztja, ha mindkettő létezik.
Az eredménynek a kibontott jelölőnégyzet bejelölésekor az alábbihoz hasonlónak kell lennie.
Kattintson az OK gombra.
WAP-alkalmazás hozzáadása
Bár az alkalmazásokat közzéteheti a jelentéshozzáférés-kezelési konzolon, a PowerShell-lel szeretnénk létrehozni az alkalmazást. Itt adhatja hozzá az alkalmazást.
Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
| Paraméter | Megjegyzések |
|---|---|
| ADFSRelyingPartyName | Az AD FS-ben az alkalmazáscsoport részeként létrehozott webes API-név. |
| ExternalCertificateThumbprint | A külső felhasználók számára használandó tanúsítvány. Fontos, hogy a tanúsítvány érvényes legyen a mobileszközökön, és megbízható hitelesítésszolgáltatótól származik. |
| BackendServerUrl | A jelentéskészítő kiszolgáló URL-címe a WAP-kiszolgálóról. Ha a WAP-kiszolgáló egy DMZ-ben található, előfordulhat, hogy teljes tartománynevet kell használnia. Győződjön meg arról, hogy a WAP-kiszolgálón található webböngészőből elérheti ezt az URL-címet. |
| BackendServerAuthenticationSPN | A Reporting Services-konfiguráció részeként létrehozott egyszerű szolgáltatásnév. |
Integrált hitelesítés beállítása a WAP-alkalmazáshoz
A WAP-alkalmazás hozzáadása után be kell állítania a BackendServerAuthenticationMode értéket az IntegratedWindowsAuthentication használatához. A beállításhoz szüksége van a WAP-alkalmazás azonosítóra.
Get-WebApplicationProxyApplication "Contoso Reports" | fl
Futtassa a következő parancsot a BackendServerAuthenticationMode beállításához a WAP-alkalmazás azonosítójával.
Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication
Csatlakozás a Power BI Mobilalkalmazáshoz
A Power BI mobilalkalmazásban csatlakozni szeretne a Reporting Services-példányhoz. Ehhez adja meg a WAP-alkalmazás külső URL-címét .
Amikor a Csatlakozás lehetőséget választja, a rendszer átirányítja az AD FS bejelentkezési oldalára. Adjon meg érvényes hitelesítő adatokat a tartományához.
Miután kiválasztotta a Bejelentkezés lehetőséget, megjelennek a Reporting Services-kiszolgáló elemei.
Többtényezős hitelesítés
Engedélyezheti a többtényezős hitelesítést, hogy további biztonságot biztosíthasson a környezet számára. További információ: A Microsoft Entra többtényezős hitelesítés konfigurálása hitelesítésszolgáltatóként az AD FS használatával.
Hibaelhárítás
A következő hibaüzenet jelenik meg: "Nem sikerült bejelentkezni az SSRS-kiszolgálóra"
Beállíthatja , hogy a Fiddler proxyként működjön a mobileszközökhöz, hogy lássa, milyen messzire jutott a kérés. Ha engedélyezni szeretné a Fiddler-proxyt a telefoneszközhöz, be kell állítania az iOS-hez és Androidhoz készült CertMakert a Fiddlert futtató gépen. A bővítmény a Telerik for Fiddler-ből származik.
Ha a bejelentkezés sikeresen működik a Fiddler használatakor, lehet, hogy a WAP-alkalmazással vagy az AD FS-kiszolgálóval kapcsolatos tanúsítványproblémája van.
Kapcsolódó tartalom
- Egyszerű szolgáltatásnév (SPN) regisztrálása egy jelentéskészítő kiszolgálóhoz
- Reporting Services konfigurációs fájljának módosítása
- Windows-hitelesítés konfigurálása jelentéskészítő kiszolgálón
- Active Directory összevonási szolgáltatások
- Webes alkalmazásproxy a Windows Serveren
- Alkalmazások közzététele AD FS-előhitelesítéssel
- A Microsoft Entra többtényezős hitelesítés konfigurálása hitelesítésszolgáltatóként az AD FS használatával
Van még esetleg kérdése? Tegye próbára a Power BI közösségét