Mengonfigurasi SSO berbasis Kerberos dari layanan Power BI ke sumber data lokal

Mengaktifkan SSO memudahkan Power BI laporan dan dasbor untuk me-refresh data dari sumber lokal sambil menghargai izin tingkat pengguna yang dikonfigurasi pada sumber tersebut. Gunakan delegasi yang dibatasi Kerberos untuk mengaktifkan konektivitas SSO yang lancar.

Artikel ini menjelaskan langkah-langkah yang perlu Anda ambil untuk mengonfigurasi SSO berbasis Kerberos dari layanan Power BI ke sumber data lokal.

Prasyarat

Beberapa item harus dikonfigurasi agar delegasi yang dibatasi Kerberos berfungsi dengan baik, termasuk *Nama Prinsipal Layanan (SPN) dan pengaturan delegasi pada akun layanan.

Catatan

Menggunakan alias DNS dengan SSO tidak didukung.

Kerangka konfigurasi

Langkah-langkah yang diperlukan untuk mengonfigurasi akses menyeluruh gateway diuraikan di bawah ini.

1. Selesaikan semua langkah di Bagian 1: Konfigurasi dasar.

2. Bergantung pada lingkungan Active Directory Domain Services dan sumber data yang digunakan, Anda mungkin perlu menyelesaikan beberapa atau semua konfigurasi yang dijelaskan di Bagian 2: Konfigurasi khusus lingkungan.

   Kemungkinan skenario yang mungkin memerlukan konfigurasi tambahan tercantum di bawah ini:

   Skenario	Buka
   Lingkungan Active Directory Domain Services Anda diperkuat keamanannya.	Menambahkan akun layanan gateway ke Otorisasi Windows dan Grup Akses
   Akun layanan gateway dan akun pengguna yang akan ditiru gateway berada di domain atau forest terpisah.	Menambahkan akun layanan gateway ke Otorisasi Windows dan Grup Akses
   Anda tidak memiliki Microsoft Entra Koneksi dengan sinkronisasi akun pengguna yang dikonfigurasi dan UPN yang digunakan di Power BI untuk pengguna tidak cocok dengan UPN di lingkungan Direktori Aktif lokal Anda.	Mengatur parameter konfigurasi pemetaan pengguna pada mesin gateway
   Anda berencana menggunakan sumber data SAP Hana dengan SSO.	Menyelesaikan langkah-langkah konfigurasi khusus sumber data
   Anda berencana menggunakan sumber data SAP Business Warehouse dengan SSO.	Menyelesaikan langkah-langkah konfigurasi khusus sumber data
   Anda berencana menggunakan sumber data Teradata dengan SSO.	Menyelesaikan langkah-langkah konfigurasi khusus sumber data

3. Memvalidasi konfigurasi Anda seperti yang dijelaskan di Bagian 3: Validasi konfigurasi untuk memastikan bahwa SSO disiapkan dengan benar.

Bagian 1: Konfigurasi dasar

Langkah 1: Menginstal dan mengonfigurasi gateway data lokal Microsoft

Gateway data lokal mendukung peningkatan di tempat, dan pengalihan pengaturan gateway yang ada.

Langkah 2: Mendapatkan hak admin domain untuk mengonfigurasi pengaturan delegasi yang dibatasi SPN (SetSPN) dan Kerberos

Untuk mengonfigurasi pengaturan delegasi SPN dan Kerberos, administrator domain harus menghindari pemberian hak kepada seseorang yang tidak memiliki hak admin domain. Di bagian berikut, kami membahas langkah-langkah konfigurasi yang direkomendasikan secara lebih rinci.

Langkah 3: Mengonfigurasi akun layanan Gateway

Opsi A di bawah ini adalah konfigurasi yang diperlukan kecuali Anda memiliki Microsoft Entra Koneksi yang dikonfigurasi dan akun pengguna disinkronkan. Dalam hal ini, opsi B disarankan.

Opsi A: Jalankan layanan Windows gateway sebagai akun domain dengan SPN

Dalam penginstalan standar, gateway berjalan sebagai akun layanan lokal mesin, NT Service\PBIEgwService.

Untuk mengaktifkan delegasi yang dibatasi Kerberos, gateway harus berjalan sebagai akun domain, kecuali instans Microsoft Entra Anda sudah disinkronkan dengan instans Active Directory lokal Anda (dengan menggunakan Microsoft Entra DirSync/Koneksi). Untuk beralih ke akun domain, lihat mengubah akun layanan gateway.

Mengonfigurasi SPN untuk akun layanan gateway

Pertama, tentukan apakah SPN sudah dibuat untuk akun domain yang digunakan sebagai akun layanan gateway:

1. Sebagai administrator domain, luncurkan snap-in Pengguna Direktori Aktif dan Konsol Manajemen Microsoft Komputer (MMC).

2. Di panel kiri, klik kanan nama domain, pilih Temukan, lalu masukkan nama akun layanan gateway.

3. Dalam hasil pencarian, klik kanan akun layanan gateway dan pilih Properti.

4. Jika tab Delegasi terlihat pada dialog Properti, maka SPN sudah dibuat dan Anda dapat melompat ke Mengonfigurasi delegasi yang dibatasi Kerberos.

5. Jika tidak ada tab Delegasi pada kotak dialog Properti, Anda bisa membuat SPN secara manual pada akun untuk mengaktifkannya. Gunakan alat setspn yang dilengkapi dengan Windows (Anda memerlukan hak admin domain untuk membuat SPN).

   Misalnya, akun layanan gateway adalah Contoso\GatewaySvc dan layanan gateway berjalan pada komputer bernama MyGatewayMachine. Untuk mengatur SPN untuk akun layanan gateway, jalankan perintah berikut:

   setspn -S gateway/MyGatewayMachine Contoso\GatewaySvc

   Anda dapat mengelola atribut POSIX menggunakan MMC snap-in Pengguna dan Komputer Active Directory Domain Services.

Opsi B: Mengonfigurasi komputer untuk Microsoft Entra Koneksi

Jika Microsoft Entra Koneksi dikonfigurasi dan akun pengguna disinkronkan, layanan gateway tidak perlu melakukan pencarian Microsoft Entra lokal pada runtime. Sebagai gantinya, Anda cukup menggunakan SID layanan lokal untuk layanan gateway untuk menyelesaikan semua konfigurasi yang diperlukan di ID Microsoft Entra. Langkah-langkah konfigurasi delegasi yang dibatasi Kerberos yang diuraikan dalam artikel ini sama dengan langkah-langkah konfigurasi yang diperlukan dalam konteks Microsoft Entra. Mereka diterapkan ke objek komputer gateway (seperti yang diidentifikasi oleh SID layanan lokal) di ID Microsoft Entra, bukan akun domain. Layanan lokal SID untuk NT SERVICE/PBIEgwService adalah sebagai berikut:

S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079

Untuk membuat SPN untuk SID ini terhadap komputer Power BI Gateway, Anda harus menjalankan perintah berikut dari prompt perintah administratif (ganti <COMPUTERNAME> dengan nama komputer Power BI Gateway):

SetSPN -s HTTP/S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079 <COMPUTERNAME>

Catatan

Bergantung pada pengaturan keamanan lokal, Anda mungkin perlu menambahkan akun layanan gateway, NT SERVICE\PBIEgwService, ke grup Administrator lokal di komputer gateway lalu memulai ulang layanan gateway di aplikasi gateway. Opsi ini tidak didukung untuk skenario yang memiliki beberapa gateway, karena Active Directory memberlakukan SPN unik di seluruh forest. Untuk skenario ini, gunakan opsi A sebagai gantinya.

Langkah 4: Mengonfigurasi delegasi yang dibatasi Kerberos

Anda dapat mengonfigurasi pengaturan delegasi untuk delegasi yang dibatasi Kerberos standar atau delegasi yang dibatasi Kerberos berbasis sumber daya. Untuk informasi selengkapnya tentang perbedaan antara kedua pendekatan untuk delegasi, lihat Gambaran umum delegasi yang dibatasi Kerberos.

Akun layanan berikut diperlukan:

• Akun layanan gateway: Pengguna layanan yang mewakili gateway di Direktori Aktif, dengan SPN dikonfigurasi di Langkah 3.
• Akun layanan Sumber Data: Pengguna layanan yang mewakili sumber data di Direktori Aktif, dengan SPN yang dipetakan ke sumber data.

Catatan

Gateway dan akun layanan sumber data harus terpisah. Akun layanan yang sama tidak dapat digunakan untuk mewakili gateway dan sumber data.

Bergantung pada pendekatan mana yang ingin Anda gunakan, lanjutkan ke salah satu bagian berikut. Jangan selesaikan kedua bagian:

• Opsi A: Delegasi standar yang dibatasi Kerberos. Ini adalah rekomendasi default untuk sebagian besar lingkungan.
• Opsi B: Delegasi yang dibatasi Kerberos berbasis sumber daya. Ini diperlukan jika sumber data Anda milik domain yang berbeda dari gateway Anda.

Opsi A: Delegasi standar yang dibatasi Kerberos

Kami sekarang akan mengatur pengaturan delegasi untuk akun layanan gateway. Ada berbagai alat yang dapat Anda gunakan untuk melakukan langkah-langkah ini. Di sini, kita akan menggunakan snap-in MMC Pengguna Active Directory Domain Services dan Komputer untuk mengelola dan menerbitkan informasi di direktori. Ini tersedia di pengontrol domain secara default; di komputer lain, Anda dapat mengaktifkannya melalui konfigurasi fitur Windows.

Kita perlu mengonfigurasi delegasi yang dibatasi Kerberos dengan transisi protokol. Dengan delegasi yang dibatasi, Anda harus eksplisit tentang layanan mana yang Anda izinkan gateway untuk menyajikan informasi masuk yang didelegasikan ke. Misalnya, hanya SQL Server atau server SAP Hana Anda yang menerima panggilan delegasi dari akun layanan gateway.

Bagian ini mengasumsikan Anda telah mengonfigurasi SPN untuk sumber data dasar Anda (seperti SQL Server, SAP Hana, SAP Business Warehouse, Teradata, atau Spark). Untuk mempelajari cara mengonfigurasi SPN server sumber data tersebut, lihat dokumentasi teknis untuk server database masing-masing dan lihat bagian SPN apa yang diperlukan aplikasi Anda? di posting blog Daftar Periksa Kerberos Saya.

Dalam langkah-langkah berikut, kami mengasumsikan lingkungan lokal dengan dua komputer di domain yang sama: mesin gateway dan server database yang berjalan SQL Server yang telah dikonfigurasi untuk SSO berbasis Kerberos. Langkah-langkah ini dapat diadopsi untuk salah satu sumber data lain yang didukung, selama sumber data telah dikonfigurasi untuk akses menyeluruh berbasis Kerberos. Dalam contoh ini, kita akan menggunakan gambar berikut:

• Domain Direktori Aktif (Netbios): Contoso
• Nama mesin gateway: MyGatewayMachine
• Akun layanan gateway: Contoso\GatewaySvc
• nama komputer sumber data SQL Server : TestSQLServer
• SQL Server akun layanan sumber data: Contoso\SQLService

Berikut cara mengonfigurasi pengaturan delegasi:

1. Dengan hak administrator domain, buka snap-in MMC Pengguna direktori aktif dan Komputer.

2. Klik kanan akun layanan gateway (Contoso\GatewaySvc), dan pilih Properti.

3. Pilih tab Delegasi.

4. Pilih Percayai komputer ini untuk delegasi ke hanya layanan tertentu>Gunakan protokol autentikasi apa pun.

5. Di bawah Layanan tempat akun ini dapat menyajikan kredensial yang didelegasikan: pilih Tambahkan.

6. Dalam dialog baru, pilih Pengguna atau Komputer.

7. Masukkan akun layanan untuk sumber data, lalu pilih OK.

   Misalnya, sumber data SQL Server dapat memiliki akun layanan seperti Contoso\SQLService. SPN yang sesuai untuk sumber data seharusnya sudah diatur pada akun ini.

8. Pilih SPN yang Anda buat untuk server database.

   Dalam contoh kami, SPN dimulai dengan MSSQLSvc. Jika Anda menambahkan FQDN dan NetBIOS SPN untuk layanan database Anda, pilih keduanya. Anda mungkin hanya melihat satu.

9. Pilih OK.

   Sekarang Anda akan melihat SPN dalam daftar layanan tempat akun layanan gateway dapat menyajikan infromasi masuk yang didelegasikan.

   

10. Untuk melanjutkan proses penyiapan, lanjutkan ke Memberikan hak kebijakan lokal akun layanan gateway pada mesin gateway.

Opsi B: Delegasi yang dibatasi Kerberos berbasis sumber daya

Anda menggunakan delegasi yang dibatasi Kerberos berbasis sumber daya untuk mengaktifkan konektivitas akses menyeluruh untuk Windows Server 2012 dan versi yang lebih baru. Jenis delegasi ini memungkinkan layanan front-end dan back-end berada di domain yang berbeda. Agar berfungsi, domain layanan back-end perlu mempercayai domain layanan front-end.

Dalam langkah-langkah berikut, kami mengasumsikan lingkungan lokal dengan dua komputer di domain yang sama: mesin gateway dan server database yang berjalan SQL Server yang telah dikonfigurasi untuk SSO berbasis Kerberos. Langkah-langkah ini dapat diadopsi untuk salah satu sumber data lain yang didukung, selama sumber data telah dikonfigurasi untuk akses menyeluruh berbasis Kerberos. Dalam contoh ini, kita akan menggunakan gambar berikut:

• Domain frontend Active Directory (Netbios): ContosoFrontEnd
• Domain backend Active Directory (Netbios): ContosoBackEnd
• Nama mesin gateway: MyGatewayMachine
• Akun layanan gateway: ContosoFrontEnd\GatewaySvc
• nama komputer sumber data SQL Server : TestSQLServer
• SQL Server akun layanan sumber data: Contoso\SQLService

Selesaikan langkah-langkah konfigurasi berikut:

1. Gunakan snap-in MMC Pengguna direktori aktif dan Komputer pada pengontrol domain untuk domain ContosoFrontEnd dan verifikasi tidak ada pengaturan delegasi yang diterapkan untuk akun layanan gateway.

   

2. Gunakan snap-in MMC Pengguna Active Directory dan Komputer pada pengontrol domain untuk domain ContosoFrontEnd dan verifikasi tidak ada pengaturan delegasi yang diterapkan untuk akun layanan gateway.

   

3. Di tab Editor Atribut properti akun, verifikasi bahwa atribut msDS-AllowedToActOnBehalfOfOtherIdentity tidak diatur.

   

4. Di Pengguna Active Directory dan Komputer, buat grup di pengontrol domain untuk domain ContosoBackEnd. Tambahkan akun layanan gateway GatewaySvc ke grup ResourceDelGroup.

   Untuk menambahkan pengguna dari domain tepercaya, grup ini harus memiliki cakupan Domain lokal.

5. Buka perintah dan jalankan perintah berikut di pengendali domain untuk domain ContosoBackEnd untuk memperbarui atribut msDS-AllowedToActOnBehalfOfOtherIdentity dari akun layanan back-end:

   $c = Get-ADGroup ResourceDelGroup
   Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c
   

6. Di Pengguna dan Komputer Active Directory, verifikasi bahwa pembaruan tercermin di tab Editor Atribut di properti untuk akun layanan back-end.

Langkah 5: Aktifkan Enkripsi AES pada Akun Layanan

Terapkan pengaturan berikut ke akun layanan gateway dan setiap akun layanan sumber data yang dapat didelegasikan gateway:

Catatan

Jika ada enctype yang ditentukan pada akun layanan, konsultasikan dengan Administrator Direktori Aktif Anda, karena mengikuti langkah-langkah di bawah ini akan menimpa nilai enctype yang ada dan dapat merusak klien.

1. Dengan hak administrator domain, buka snap-in MMC Pengguna direktori aktif dan Komputer.

2. Klik kanan akun layanan gateway/sumber data dan pilih Properti.

3. Pilih tab Akun.

4. Di bawah Opsi Akun, aktifkan setidaknya satu (atau kedua) opsi berikut. Perhatikan bahwa opsi yang sama perlu diaktifkan untuk semua akun layanan.

   • Akun ini mendukung enkripsi Kerberos AES 128-bit
   • Akun ini mendukung enkripsi Kerberos AES 256-bit

Catatan

Jika Anda tidak yakin skema enkripsi mana yang akan digunakan, konsultasikan dengan Administrator Direktori Aktif Anda.

Langkah 6: Berikan hak kebijakan lokal akun layanan gateway pada mesin gateway

Terakhir, pada mesin yang menjalankan layanan gateway (MyGatewayMachine dalam contoh kami), berikan akun layanan gateway kebijakan lokal Meniru klien setelah autentikasi dan Bekerja sebagai bagian dari sistem operasi (SeTcbPrivilege). Lakukan konfigurasi ini dengan Editor Kebijakan Grup Lokal (gpedit.msc).

1. Di mesin gateway, jalankan gpedit.msc.

2. Buka Kebijakan Komputer Lokal>Konfigurasi Komputer> Pengaturan Windows>Pengaturan Keamanan >Kebijakan Lokal>Penetapan Hak Pengguna.

   

3. Di bawah Penetapan Hak Pengguna, dari daftar kebijakan, pilih Tirukan klien setelah autentikasi.

   

4. Klik kanan kebijakan, buka Properti, lalu lihat daftar akun.

   Daftar harus menyertakan akun layanan gateway (Contoso\GatewaySvc atau ContosoFrontEnd\GatewaySvc tergantung pada jenis delegasi yang dibatasi).

5. Di bawah Penetapan Hak Pengguna, pilih Bekerja sebagai bagian dari sistem operasi (SeTcbPrivilege) dari daftar kebijakan. Memastikan bahwa akun layanan gateway disertakan dalam daftar akun.

6. Mulai ulang proses layanan gateway data lokal.

Langkah 7: akun Windows dapat mengakses mesin gateway

SSO menggunakan Autentikasi Windows, jadi pastikan akun Windows dapat mengakses mesin gateway. Jika tidak yakin, tambahkan NT-AUTHORITY\Authenticated Users (S-1-5-11) ke grup "Pengguna" komputer lokal.

Bagian 2: Konfigurasi khusus lingkungan

Menambahkan akun layanan gateway ke Otorisasi Windows dan Grup Akses

Lengkapi bagian ini jika salah satu dari situasi berikut berlaku:

• Lingkungan Active Directory Domain Services Anda diperkuat keamanannya.
• Ketika akun layanan gateway dan akun pengguna yang akan ditiru oleh gateway berada di domain atau hutan yang terpisah.

Anda juga dapat menambahkan akun layanan gateway ke Otorisasi Windows dan Grup Akses dalam situasi di mana domain/forest belum diperkuat, tetapi tidak diperlukan.

Untuk informasi selengkapnya, lihat Windows Otorisasi dan Grup Akses.

Untuk menyelesaikan langkah konfigurasi ini, untuk setiap domain yang berisi pengguna Active Directory yang Anda inginkan agar akun layanan gateway dapat meniru:

1. Masuk ke komputer di domain, dan luncurkan mm-in MMC Pengguna dan Komputer Active Directory.
2. Temukan grup Otorisasi Windows dan Grup Akses, yang biasanya ditemukan di kontainer Bawaan.
3. Klik dua kali pada grup, dan klik tab Anggota.
4. Klik Tambahkan, dan ubah lokasi domain ke domain tempat akun layanan gateway berada.
5. Ketik nama akun layanan gateway dan klik Periksa Nama untuk memverifikasi bahwa akun layanan gateway dapat diakses.
6. Klik OK.
7. Klik Terapkan.
8. Mulai ulang layanan gateway.

Mengatur parameter konfigurasi pemetaan pengguna pada mesin gateway

Selesaikan bagian ini jika:

• Anda tidak memiliki Microsoft Entra Koneksi dengan sinkronisasi akun pengguna yang dikonfigurasi AND
• UPN yang digunakan dalam Power BI untuk pengguna tidak cocok dengan UPN di lingkungan Active Directory Domain Services lokal Anda.

Setiap pengguna Active Directory yang dipetakan dengan cara ini harus memiliki izin SSO untuk sumber data Anda.

1. Buka file konfigurasi gateway utama, Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll. Secara default, file ini disimpan di C:\Program Files\On-premises data gateway.

2. Atur ADUserNameLookupProperty ke atribut Active Directory yang tidak digunakan. Kami akan menggunakan msDS-cloudExtensionAttribute1 dalam langkah-langkah berikut. Atribut ini hanya tersedia di Windows Server 2012 dan yang lebih baru.

3. Atur ADUserNameReplacementProperty ke SAMAccountName lalu simpan file konfigurasi.

   Catatan

   Dalam skenario multi-domain, Anda mungkin perlu mengatur ADUserNameReplacementProperty ke untuk userPrincipalName mempertahankan informasi domain pengguna.

4. Dari tab Layanan pengelola tugas, klik kanan layanan gateway dan pilih Hidupkan ulang.

   

5. Untuk setiap pengguna layanan Power BI yang ingin Anda aktifkan SSO Kerberos, atur msDS-cloudExtensionAttribute1 properti pengguna Direktori Aktif lokal (dengan izin SSO ke sumber data Anda) ke nama pengguna lengkap (UPN) pengguna layanan Power BI. Misalnya, jika Anda masuk ke layanan Power BI sebagai test@contoso.com dan Anda ingin memetakan pengguna ini ke pengguna Active Directory lokal dengan izin SSO, katakanlah, test@LOCALDOMAIN.COM, atur msDS-cloudExtensionAttribute1 atribut pengguna ini ketest@contoso.com.

   Anda dapat mengatur msDS-cloudExtensionAttribute1 properti dengan Snap-in MMC Pengguna Active Directory Domain Services dan Komputer:

   1. Sebagai administrator domain, luncurkan Pengguna Active Directory dan Komputer.

   2. Klik kanan nama domain, pilih Temukan, lalu masukkan nama akun pengguna Active Directory lokal untuk dipetakan.

   3. Pilih tab Editor Atribut.

      Temukan msDS-cloudExtensionAttribute1properti, dan klik dua kali. Atur nilai ke nama pengguna lengkap (UPN) pengguna yang Anda gunakan untuk masuk ke layanan Power BI.

   4. Pilih OK.

      

   5. Pilih Terapkan. Verifikasi bahwa nilai yang benar telah ditetapkan di kolom Nilai.

Menyelesaikan langkah-langkah konfigurasi khusus sumber data

Untuk sumber data SAP Hana, SAP Business Warehouse, dan Teradata, konfigurasi tambahan diperlukan untuk digunakan dengan SSO gateway:

• Gunakan Kerberos untuk akses menyeluruh (SSO) untuk SAP Hana.
• Gunakan akses menyeluruh Kerberos untuk SSO ke SAP Business Warehouse menggunakan CommonCryptoLib (sapcrypto.dll).
• Gunakan Kerberos untuk akses menyeluruh (SSO) ke Teradata.

Catatan

Meskipun pustaka SNC lainnya mungkin juga berfungsi untuk SSO BW, pustaka tersebut tidak didukung secara resmi oleh Microsoft.

Bagian 3: Memvalidasi konfigurasi

Langkah 1: Mengonfigurasi sumber data di Power BI

Setelah Anda menyelesaikan semua langkah konfigurasi, gunakan halaman Kelola Gateway di Power BI untuk mengonfigurasi sumber data yang akan digunakan untuk SSO. Jika Anda memiliki beberapa gateway, pastikan Anda memilih gateway yang telah Dikonfigurasi untuk SSO Kerberos. Kemudian, di bawah Pengaturan untuk sumber data, pastikan Gunakan SSO melalui Kueri Kerberos untuk DirectQuery atau Gunakan SSO melalui Kerberos untuk kueri DirectQuery Dan Impor diperiksa untuk Laporan berbasis DirectQuery dan Gunakan SSO melalui Kerberos untuk kueri DirectQuery Dan Impor diperiksa untuk Laporan berbasis Impor.

Pengaturan Gunakan SSO melalui Kerberos untuk kueri DirectQuery dan Gunakan SSO melalui Kueri Kerberos untuk DirectQuery dan Impor memberikan perilaku yang berbeda untuk laporan berbasis DirectQuery dan laporan berbasis Impor.

Gunakan SSO melalui Kerberos untuk kueri DirectQuery:

• Untuk laporan berbasis DirectQuery, informasi masuk SSO pengguna digunakan.
• Untuk laporan berbasis Impor, informasi masuk SSO tidak digunakan, tetapi informasi masuk yang dimasukkan di halaman sumber data digunakan.

Gunakan SSO melalui Kerberos untuk kueri DirectQuery Dan Impor:

• Untuk laporan berbasis DirectQuery, informasi masuk SSO pengguna digunakan.
• Untuk laporan berbasis Impor, kredensial SSO pemilik model semantik digunakan, terlepas dari pengguna yang memicu Impor.

Langkah 2: Uji akses menyeluruh

Buka Menguji konfigurasi akses menyeluruh (SSO) untuk memvalidasi dengan cepat bahwa konfigurasi Anda diatur dengan benar dan memecahkan masalah umum.

Langkah 3: Menjalankan laporan Power BI

Saat Anda menerbitkan, pilih gateway yang telah Anda konfigurasi untuk SSO jika Anda memiliki beberapa gateway.

Konten terkait

Untuk informasi selengkapnya tentang gateway data lokal dan DirectQuery, lihat sumber daya berikut ini:

• Apa yang dimaksud dengan gateway data lokal?
• DirectQuery di Power BI
• Sumber data yang didukung oleh DirectQuery
• DirectQuery dan SAP BW
• DirectQuery dan SAP Hana