Bevezetés
Ha Power BI-tartalmat szeretne beágyazni az alkalmazásba, ki kell fejlesztenie az alkalmazást egy hozzáférési jogkivonat beszerzéséhez. A hitelesítési folyamat (és a hozzáférési jogkivonat) típusa a beágyazási forgatókönyvtől függ.
Megjegyzés
A beágyazási forgatókönyvek megismeréséhez tekintse meg a Beágyazott Power BI-elemzési termék kiválasztása modult.
Ha bármelyik forgatókönyvet használja, az alkalmazásnak Azure AD jogkivonatot kell beszereznie. A Azure AD jogkivonat jogcímeket tartalmaz a Power BI REST API-hoz megadott engedélyek azonosításához. Lejárati ideje általában egy óra. Érvényes Azure AD jogkivonatnak minden API-műveletben jelen kell lennie.
Interaktív hitelesítési folyamat használata
Ha Azure AD jogkivonatot szeretne beszerezni a Szervezeti forgatókönyvhöz, az alkalmazás interaktív hitelesítési folyamatot használ. Az interaktív hitelesítési folyamat azt jelenti, hogy Azure AD kérheti a felhasználót, hogy jelentkezzen be a felhasználónevével és jelszavával, és (esetleg) többtényezős hitelesítéssel (MFA). Azure AD arra is kérheti a felhasználót, hogy adjon további hozzájárulást az erőforrásokhoz (ez az alkalmazás első bejelentkezésekor szükséges).
Megjegyzés
Ha az alkalmazás engedélyezi az egyszeri bejelentkezés (SSO) használatát, a felhasználóknak nem kell minden alkalommal bejelentkezniük, amikor használják. A hitelesítési folyamat gyorsítótárazza a hitelesítő adatokat egy munkamenet-cookie-ban, amikor a felhasználó először hitelesíti magát, és az alkalmazás ezeket a gyorsítótárazott hitelesítő adatokat használhatja a lejáratukig, ami alapértelmezés szerint 90 nap után van.
A beszerzése után az alkalmazásnak gyorsítótárazza a Azure AD tokent. Az alkalmazás ezután arra fogja használni, hogy olyan Power BI-tartalmat ágyazz be, amellyel a felhasználónak van engedélye dolgozni.
Az alábbi videó egy interaktív hitelesítési folyamat használatát mutatja be.
A 3. leckében megtudhatja, hogyan szerezhet be Azure AD tokeneket.
Nem interaktív hitelesítési folyamat használata
Ha Azure AD jogkivonatot szeretne beszerezni az Ügyfelek számára forgatókönyvhöz, az alkalmazás nem interaktív hitelesítési folyamatot használ. Az alkalmazásfelhasználóknak nem kell Power BI-fiókkal rendelkezniük, és még akkor sem használják ezeket a fiókokat, ha igen. A dedikált Azure AD-identitás, más néven a beágyazási identitás hitelesíti magát Azure AD. A beágyazási identitás lehet szolgáltatásnév vagy fő felhasználói fiók.
A nem interaktív hitelesítési folyamatokat csendes hitelesítésnek is nevezik. Megpróbál beszerezni egy Azure-jogkivonatot oly módon, hogy a hitelesítési szolgáltatás nem tud további információkat kérni a felhasználótól. Miután az alkalmazás felhasználója hitelesítést végzett az alkalmazással (az alkalmazás bármilyen választott hitelesítési módszert használhat), az alkalmazás a beágyazási identitással szerez be egy Azure AD tokent egy nem interaktív hitelesítési folyamattal.
Miután az alkalmazás beszerez egy Azure AD-jogkivonatot, gyorsítótárazza, majd beágyazási jogkivonat létrehozásához használja. A beágyazási jogkivonatok a Power BI-tartalmakra és azok elérésére vonatkozó tényeket jelölik.
A beágyazási jogkivonatok a következőket írják le:
- Adott Power BI-tartalomra vonatkozó jogcímek.
- A megtekintésre, létrehozásra vagy szerkesztésre beállított hozzáférési szint. (A létrehozási és szerkesztési szintek csak a Power BI-jelentésekre vonatkoznak.)
- A jogkivonat élettartama, amely meghatározza, hogy a jogkivonat mikor jár le.
- Igény esetén egy cél-munkaterületre vonatkozó jogcím az új jelentések mentéséhez.
- Igény szerint egy vagy több hatékony identitást is használhat, hogy a Power BI kikényszerítse az adatengedélyeket.
Megjegyzés
A hatékony identitások megismeréséhez tekintse meg az Adatengedélyek kényszerítése a Power BI embedded analyticshez című modult.
Tekintse meg az alábbi videót, amely egy nem interaktív hitelesítési folyamat használatát mutatja be.
A 3. leckében megtudhatja, hogyan szerezhet be beágyazási jogkivonatokat.
Szolgáltatásnév használata
Az alkalmazás szolgáltatásnévvel szerezhet be egy Azure AD tokent. Az Azure-szolgáltatásnév egy biztonsági identitást használó alkalmazás. Meghatározza az alkalmazás hozzáférési szabályzatát és engedélyeit a Azure AD bérlőben, lehetővé téve az olyan alapvető funkciókat, mint az alkalmazás hitelesítése bejelentkezéskor, valamint az engedélyezés az erőforrás-hozzáférés során. A szolgáltatásnév az alkalmazás titkos kódját vagy tanúsítványát használva végezhet hitelesítést. Azt javasoljuk, hogy a szolgáltatásneveket titkos kulcsok helyett tanúsítványokkal védje az éles alkalmazásokhoz, mert az biztonságosabb.
Ha az alkalmazás beágyazási identitása szolgáltatásnév, a Power BI-bérlő rendszergazdájának először a következőket kell tennie:
- Szolgáltatásnevek használatának engedélyezése.
- Regisztráljon egy biztonsági csoportot, amely tartalmazza őket.
Az alábbi képen a fejlesztői beállítások láthatók (amelyek a felügyeleti portál bérlői beállításaiban találhatók), ahol a Power BI-rendszergazda engedélyezheti a szolgáltatásnevek számára a Power BI API-k használatát.
Fontos
Ha egy rendszergazda engedélyezi a szolgáltatásnév használatát a Power BI-ban, az alkalmazás Azure AD engedélyei a továbbiakban nem lépnek érvénybe. Ettől kezdve a rendszergazdák kezelik az alkalmazás engedélyeit a Power BI felügyeleti portálján.
A Power BI-ban a szolgáltatásnévnek a munkaterület-rendszergazdai vagy tagi szerepkörhöz kell tartoznia a munkaterület tartalmának beágyazásához. Csak az új munkaterületek támogatják a szerepkör-hozzárendeléseket egy szolgáltatásnévhez, és a személyes munkaterületek nem támogatottak.
Megjegyzés
Szolgáltatásnévvel nem lehet bejelentkezni a Power BI szolgáltatás.
További információkért lásd:
- Alkalmazás- és szolgáltatásnév-objektumok az Azure Active Directoryban (szolgáltatásnév-objektum).
- Power BI-tartalom beágyazása szolgáltatásnévvel és tanúsítvánnyal
Fő felhasználói fiók használata
Az alkalmazás egy fő felhasználói fiókkal szerezhet be egy AD-jogkivonatot. A fő felhasználói fiók normál Azure AD felhasználó. A Power BI-ban a fióknak a munkaterület-rendszergazdai vagy tagi szerepkörhöz kell tartoznia a munkaterület tartalmának beágyazásához. Emellett Power BI Pro vagy Power BI Premium felhasználónkénti (PPU) licenccel kell rendelkeznie.
Megjegyzés
Lapszámozott jelentések beágyazásához nem használható fő felhasználói fiók.
A beágyazási identitástípusok összehasonlítása
Javasoljuk, hogy használjon egyszerű szolgáltatást az éles alkalmazásokhoz. Ez biztosítja a legmagasabb biztonságot, és ezért ez a Azure AD által ajánlott megközelítés. Emellett támogatja a jobb automatizálást és skálázást, és kevesebb felügyeleti többletterheléssel jár. Ehhez azonban Power BI-rendszergazdai jogosultságok szükségesek a beállításhoz és a felügyelethez.
Érdemes lehet fő felhasználói fiókot használni fejlesztési vagy tesztelési alkalmazásokhoz. Egyszerűen beállítható, és a problémák elhárításához bejelentkezhet a Power BI szolgáltatás. Van azonban egy társított költség, mert Power BI Pro vagy PPU-licencet igényel. Emellett a fő felhasználói fiókhoz nincs szükség MFA-ra.
Összefoglalva, az alábbi táblázat összehasonlítja a két beágyazási identitástípust.
| Elem | Szolgáltatásnév | Fő felhasználói fiók |
|---|---|---|
| Azure AD objektumtípus | Szolgáltatásnév | Felhasználó |
| Hitelesítő adatok kezelése | Titkos kódok vagy tanúsítványok használata rendszeres rotálással | Gyakori jelszófrissítések |
| A Power BI-bérlő beállításai | A Power BI-rendszergazdának engedélyeznie kell a szolgáltatásnevek használatát; azt javasoljuk, hogy a szolgáltatásnevek egy dedikált biztonsági csoporthoz tartoznak | Nem alkalmazható |
| A Power BI REST API használata | Egyes rendszergazdai és adatfolyam-műveletek nem támogatottak; engedélyezheti a szolgáltatásnév hitelesítését az írásvédett rendszergazdai API-khoz. | Minden művelet támogatott |
| bejelentkezés Power BI szolgáltatás | Nem támogatott | Támogatott |
| Licencelés | Nem szükséges | Power BI Pro vagy PPU |
| Azure AD javaslat | Ajánlott (különösen éles alkalmazásokhoz) | Nem ajánlott (de alkalmas lehet alkalmazások fejlesztésére vagy tesztelésére) |
| További információ | Nem igényelhet MFA-t; A lapszámozott jelentések nem ágyazhatók be |