Bagikan melalui

Mengonfigurasi Server Laporan Power BI dengan proksi aplikasi Microsoft Entra

Artikel ini membahas cara menggunakan proksi aplikasi Microsoft Entra untuk menyambungkan ke Server Laporan Power BI dan SQL Server Reporting Services (SSRS) 2016 dan yang lebih baru. Melalui integrasi ini, pengguna yang jauh dari jaringan perusahaan dapat mengakses laporan Server Laporan Power BI dan Reporting Services mereka dari browser klien mereka dan dilindungi oleh ID Microsoft Entra. Baca selengkapnya tentang akses jarak jauh ke aplikasi lokal melalui proksi aplikasi Microsoft Entra.

Detail lingkungan

Kami menggunakan nilai-nilai ini dalam contoh yang kami buat.

  • Domain: umacontoso.com
  • Server Laporan Power BI: PBIRSAZUREAPP.umacontoso.com
  • Sumber Data SQL Server: SQLSERVERAZURE.umacontoso.com

Unduh Power BI Report Server

Setelah menginstal Power BI Report Server (dengan asumsi pada Azure VM), konfigurasikan layanan web Power BI Report Server dan URL portal web menggunakan langkah-langkah berikut:

  1. Buat aturan masuk dan keluar pada firewall VM untuk Port 80 (Port 443 jika Anda memiliki URL https yang dikonfigurasi). Selain itu, buat aturan masuk dan keluar untuk Azure VM dari portal Azure untuk protokol TCP – Port 80.

  2. Nama DNS yang dikonfigurasi untuk VM di lingkungan kita adalah pbirsazureapp.eastus.cloudapp.azure.com.

  3. Konfigurasikan layanan web eksternal Power BI Report Server dan URL portal web dengan memilih tab Lanjutkan tombol >Tambahkan>Pilih Nama Header Host dan tambahkan nama host (nama DNS) seperti yang diperlihatkan di sini.

    Manajer Konfigurasi Server Laporan

  4. Kami melakukan langkah sebelumnya untuk bagian layanan Web dan portal Web serta mendapatkan URL yang terdaftar di server laporan Configuration Manager:

    • https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer
    • https://pbirsazureapp.eastus.cloudapp.azure.com/Reports

  5. Di portal Azure kita melihat dua alamat IP untuk VM di bagian jaringan

    • IP Publik.
    • IP Privat.

    Alamat IP Publik digunakan untuk akses dari luar komputer virtual.

  6. Oleh karena itu, kami menambahkan entri file host pada VM (Power BI Report Server) untuk menyertakan alamat IP Publik dan nama hostpbirsazureapp.eastus.cloudapp.azure.com.

  7. Perhatikan bahwa pada memulai ulang VM, alamat IP dinamis mungkin berubah, dan Anda mungkin harus menambahkan alamat IP yang tepat lagi dalam file host. Untuk menghindari hal ini, Anda dapat mengatur alamat IP Publik ke statis di portal Azure.

  8. URL layanan Web dan portal Web harus berhasil diakses setelah membuat perubahan yang disebutkan di atas.

  9. Saat mengakses URL https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer di server, kami diminta tiga kali untuk mendapatkan kredensial, dan melihat layar kosong.

  10. Tambahkan entri registri berikut ini:

    HKEY\_LOCAL\_MACHINE \SYSTEM\CurrentControlset\Control \Lsa\ MSV1\_0 kunci registri

  11. Tambahkan nilai baru BackConnectionHostNames, nilai multi-string, dan berikan nama hostpbirsazureapp.eastus.cloudapp.azure.com.

Setelah itu, kita juga dapat mengakses URL di server.

Mengonfigurasi Power BI Report Server untuk bekerja dengan Kerberos

1. Konfigurasi jenis autentikasi

Kita perlu mengonfigurasi jenis autentikasi untuk server laporan yang memungkinkan delegasi yang dibatasi Kerberos. Konfigurasi ini dilakukan dalam file rsreportserver.config.

Dalam file rsreportserver.config, temukan bagian Authentication/AuthenticationTypes.

Kami ingin memastikan bahwa RSWindowsNegotiate tercantum dan pertama kali dalam daftar jenis autentikasi. Tampilannya akan terlihat seperti berikut ini.

<AuthenticationTypes>

    <RSWindowsNegotiate/>

</AuthenticationTypes>

Jika Anda harus mengubah file konfigurasi, hentikan dan mulai ulang layanan server laporan dari Pengelola Konfigurasi Server Laporan untuk memastikan perubahan berlaku.

2. Daftarkan nama perwakilan layanan (SPN)

Buka prompt perintah sebagai administrator dan lakukan langkah-langkah berikut.

Daftarkan SPN berikut di bawah akun layanan Power BI Report Server menggunakan perintah berikut

setspn -s http/Netbios name\_of\_Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

setspn -s http/FQDN\_of Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

Contoh:

setspn -s http/pbirs contoso\pbirssvcacc
setspn -s http/pbirs.contoso.com contoso\pbirssvcacc

Daftarkan SPN berikut di bawah akun layanan SQL Server menggunakan perintah berikut (untuk instans default SQL Server):

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server: 1433 (PortNumber) <SQL service service account>

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server<SQL service service account>

Contoh:

setspn -s MSSQLSVC/sqlserver.contoso.com:1433 contoso\sqlsvcacc
setspn -s MSSQLSVC/sqlserver.contoso.com contoso\sqlsvcacc

3. Mengonfigurasi pengaturan delegasi

Kita harus mengonfigurasi pengaturan delegasi pada akun layanan server laporan.

  1. Buka Pengguna Active Directory dan Komputer.

  2. Buka Properti akun layanan server laporan dalam Pengguna Active Directory dan Komputer.

  3. Kami ingin mengonfigurasi delegasi yang dibatasi dengan transit protokol. Dengan delegasi yang dibatasi, kami harus eksplisit tentang layanan mana yang ingin kami delegasikan.

  4. Klik kanan akun layanan server laporan dan pilih Properti.

  5. Pilih tab Delegasi.

  6. Pilih Percayai pengguna ini untuk delegasi ke layanan tertentu saja..

  7. Pilih Gunakan protokol autentikasi apa pun.

  8. Di bawah Layanan tempat akun ini dapat menyajikan kredensial yang didelegasikan : pilih Tambahkan.

  9. Dalam dialog baru, pilih Pengguna atau Komputer.

  10. Masukkan akun layanan untuk layanan server SQL dan pilih OK.

    Dimulai dengan MSSQLSVC.

  11. Tambahkan SPN.

  12. Pilih OK. Anda akan melihat SPN dalam daftar sekarang.

Langkah-langkah ini membantu mengonfigurasi Power BI Report Server untuk bekerja dengan mekanisme autentikasi Kerberos dan mendapatkan koneksi pengujian ke sumber data yang berfungsi di komputer lokal Anda.

Mengonfigurasi konektor proksi aplikasi Microsoft Entra

Lihat artikel untuk konfigurasi yang terkait dengan konektor proksi aplikasi

Kami menginstal konektor proksi aplikasi di Server Laporan Power BI, tetapi Anda dapat mengonfigurasinya di server terpisah dan memastikan bahwa delegasi disiapkan dengan benar.

Pastikan konektor tepercaya untuk delegasi

Pastikan konektor dipercaya untuk delegasi ke SPN yang ditambahkan ke akun kumpulan aplikasi server laporan.

Konfigurasikan Kerberos Constrained Delegation (KCD) sehingga layanan proksi aplikasi Microsoft Entra dapat mendelegasikan identitas pengguna ke akun kumpulan aplikasi server laporan. Konfigurasikan KCD dengan mengaktifkan konektor proksi aplikasi untuk mengambil tiket Kerberos untuk pengguna Anda yang telah diautentikasi di ID Microsoft Entra. Kemudian server tersebut akan meneruskan konteks ke aplikasi target atau Power BI Report Server dalam kasus ini.

Untuk mengonfigurasi KCD, ulangi langkah-langkah berikut untuk setiap komputer konektor.

  1. Masuk ke pengendali domain sebagai administrator domain, lalu buka Pengguna dan Komputer Active Directory.
  2. Temukan komputer tempat konektor dijalankan.
  3. Klik dua kali komputer, lalu pilih tab Delegasi.
  4. Atur pengaturan delegasi ke Percayai komputer ini untuk delegasi ke layanan tertentu saja. Kemudian, pilih Gunakan protokol autentikasi apa saja.
  5. Pilih Tambahkan, lalu pilih Pengguna atau Komputer.
  6. Masukkan akun layanan yang Anda gunakan untuk Power BI Report Server. Ini adalah akun yang Anda tambahkan SPN ke dalam konfigurasi server laporan.
  7. Klik OK.
  8. Untuk menyimpan perubahan, klik OK lagi.

Menerbitkan melalui proksi aplikasi Microsoft Entra

Sekarang Anda siap untuk mengonfigurasi proksi aplikasi Microsoft Entra.

Terbitkan Server Laporan Power BI melalui proksi aplikasi dengan pengaturan berikut. Untuk instruksi langkah demi langkah tentang cara menerbitkan aplikasi melalui proksi aplikasi, lihat Menambahkan aplikasi lokal ke ID Microsoft Entra.

  • URL Internal: Masukkan URL ke server laporan yang dapat dijangkau konektor di jaringan perusahaan. Pastikan URL ini dapat dijangkau dari server tempat konektor diinstal. Praktik terbaik adalah menggunakan domain tingkat atas seperti https://servername/ untuk menghindari masalah dengan subpath yang diterbitkan melalui proksi aplikasi. Misalnya, gunakan https://servername/ dan bukan https://servername/reports/ atau https://servername/reportserver/. Kami telah mengonfigurasi lingkungan kami dengan https://pbirsazureapp.eastus.cloudapp.azure.com/.

    Catatan

    Sebaiknya gunakan koneksi HTTPS yang aman ke server laporan. Lihat Mengonfigurasi koneksi SSL di server laporan mode asli untuk informasi caranya.

  • URL Eksternal: Masukkan URL publik yang akan dihubungkan oleh aplikasi seluler Power BI. Misalnya, ini mungkin terlihat seperti https://reports.contoso.com jika domain kustom digunakan. Untuk menggunakan domain kustom, unggah sertifikat untuk domain tersebut dan arahkan data DNS ke domain msappproxy.net default untuk aplikasi Anda. Untuk langkah-langkah mendetail, lihat Bekerja dengan domain kustom di proksi aplikasi Microsoft Entra.

Kami telah mengonfigurasi URL eksternal untuk https://pbirsazureapp-umacontoso2410.msappproxy.net/ lingkungan kami.

  • Metode pra-autentikasi: ID Microsoft Entra.
  • Grup Konektor: Default.

Grup konektor default

Kami belum membuat perubahan apa pun di bagian Pengaturan Tambahan. Ini dikonfigurasi untuk bekerja dengan opsi default.

Penting

Saat mengonfigurasi proksi aplikasi, perhatikan bahwa properti Batas Waktu Aplikasi Backend diatur ke Default (85 detik). Jika Anda memiliki laporan yang membutuhkan waktu lebih dari 85 detik untuk dieksekusi, atur properti ini ke Panjang (180 detik), yang merupakan nilai batas waktu tertinggi yang mungkin. Saat dikonfigurasi untuk Long, semua laporan harus diselesaikan dalam waktu 180 detik atau waktunya habis dan mengakibatkan kesalahan.

Pengaturan tambahan

Mengonfigurasi SSO

Setelah aplikasi Anda diterbitkan, konfigurasikan pengaturan akses menyeluruh dengan langkah-langkah berikut:

  1. Pada halaman aplikasi di portal, pilih Akses menyeluruh.

  2. Untuk Mode Akses menyeluruh, pilih Autentikasi Windows Terpadu.

  3. Atur SPN Aplikasi Internal ke nilai yang Anda tetapkan sebelumnya. Anda dapat mengidentifikasi nilai ini dengan menggunakan langkah-langkah berikut:

    • Coba jalankan laporan atau lakukan pengujian koneksi ke sumber data sehingga tiket Kerberos dibuat.
    • Setelah berhasil menjalankan koneksi laporan/pengujian, buka prompt perintah dan jalankan perintah: klist. Di bagian hasil, Anda akan melihat tiket dengan http/ SPN. Jika sama dengan SPN yang telah Anda konfigurasi dengan Power BI Report Server, gunakan SPN tersebut di bagian ini.

  4. Pilih Identitas Proses Masuk yang Didelegasikan untuk konektor yang akan digunakan atas nama pengguna Anda. Untuk informasi selengkapnya, lihat Bekerja dengan identitas lokal dan cloud yang berbeda.

    Sebaiknya gunakan nama Prinsipal Pengguna. Dalam sampel kami, kami mengonfigurasinya untuk bekerja dengan opsi nama Prinsipal Pengguna :

    Mengonfigurasi Autentikasi Windows Terintegrasi

  5. Klik Save untuk menyimpan perubahan Anda.

Selesaikan menyiapkan aplikasi Anda

Untuk menyelesaikan penyiapan aplikasi Anda, buka bagian Pengguna dan grup dan tetapkan pengguna untuk mengakses aplikasi ini.

  1. Konfigurasikan bagian Autentikasi pendaftaran Aplikasi untuk aplikasi Power BI Report Server sebagai berikut untuk URL Pengalihan dan pengaturan Tingkat Lanjut:

    • Buat URL Pengalihan baru dan konfigurasikan dengan Type = Web dan URI Pengalihan = https://pbirsazureapp-umacontoso2410.msappproxy.net/
    • Di bagian Pengaturan Tingkat Lanjut, konfigurasikan URL Keluar kehttps://pbirsazureapp-umacontoso2410.msappproxy.net/?Appproxy=logout

    Cuplikan layar memperlihatkan panel Autentikasi P B I R S dengan Pengalihan U R I s dan Pengaturan tingkat lanjut.

  2. Lanjutkan mengonfigurasi bagian Autentikasi pendaftaran Aplikasi untuk aplikasi Power BI Report Server sebagai berikut untuk pemberian implisit, Jenis klien default, dan Jenis akun yang didukung:

    • Atur Pemberian implisit ke token ID.
    • Atur Jenis klien default ke Tidak.
    • Untuk Jenis akun yang didukung, pilih Akun hanya dalam direktori organisasi ini (hanya Microsoft - Penyewa tunggal).

    Cuplikan layar memperlihatkan panel Autentikasi P B I R S dengan pengaturan seperti yang dijelaskan.

    Peringatan

    Microsoft menyarankan Agar Anda tidak menggunakan alur pemberian implisit. Dalam kebanyakan skenario, alternatif yang lebih aman tersedia dan direkomendasikan. Konfigurasi tertentu dari alur ini membutuhkan tingkat kepercayaan yang sangat tinggi dalam aplikasi, dan membawa risiko yang tidak ada dalam alur lain. Anda hanya boleh menggunakan alur ini ketika alur lain yang lebih aman tidak memungkinkan. Untuk informasi selengkapnya, lihat masalah keamanan dengan alur pemberian implisit.

  3. Setelah akses menyeluruh disiapkan dan URL https://pbirsazureapp-umacontoso2410.msappproxy.net berfungsi, kami harus memastikan bahwa akun yang kami gunakan untuk masuk disinkronkan dengan akun tempat izin disediakan di Power BI Report Server.

  4. Pertama-tama kita harus mengonfigurasi domain kustom yang kita rencanakan untuk digunakan dalam login, lalu pastikan domain tersebut diverifikasi

  5. Dalam hal ini, kami membeli domain yang disebut umacontoso.com dan mengonfigurasi zona DNS dengan entri. Anda juga dapat mencoba menggunakan onmicrosoft.com domain dan menyinkronkannya dengan AD lokal.

    Lihat artikel Tutorial: Memetakan nama DNS kustom yang sudah ada ke Azure App Service untuk referensi.

  6. Setelah berhasil memverifikasi entri DNS untuk domain kustom, Anda akan dapat melihat status sebagai Terverifikasi yang sesuai dengan domain dari portal.

    Nama domain

  7. Instal Microsoft Entra Connect di server pengendali domain dan konfigurasikan untuk disinkronkan dengan ID Microsoft Entra.

    Menyambungkan direktori

  8. Setelah ID Microsoft Entra disinkronkan dengan AD lokal, kita akan melihat status berikut dari portal Azure:

    status portal Azure

  9. Selain itu, setelah sinkronisasi berhasil, buka domain AD dan kepercayaan pada pengontrol Domain. Klik kanan Domain Active Directory dan Properti Kepercayaan > dan tambahkan UPN. Di lingkungan kami, umacontoso.com adalah domain kustom yang kami beli.

  10. Setelah menambahkan UPN, Anda harus dapat mengonfigurasi akun pengguna dengan UPN sehingga akun Microsoft Entra dan akun AD lokal terhubung dan token dikenali selama autentikasi.

    Nama domain AD tercantum di daftar drop-down bagian Nama masuk pengguna setelah Anda melakukan langkah sebelumnya. Konfigurasikan nama pengguna, dan pilih domain dari daftar drop-down di bagian Nama masuk pengguna dari properti pengguna AD.

    Properti Direktori Aktif

  11. Setelah sinkronisasi AD berhasil, Anda akan melihat akun AD lokal yang muncul di portal Azure di bawah bagian Pengguna dan Grup aplikasi. Sumber untuk akun tersebut adalah Windows Server AD.

  12. Masuk dengan umasm@umacontoso.com akan setara dengan menggunakan kredensial Umacontoso\umasmWindows.

    Langkah-langkah sebelumnya ini berlaku jika Anda memiliki AD lokal yang dikonfigurasi dan berencana untuk menyinkronkannya dengan ID Microsoft Entra.

    Berhasil masuk setelah menerapkan langkah-langkah di atas:

    Layar masuk

    Diikuti oleh tampilan portal web:

    Portal Server Laporan Power BI

    Dengan koneksi pengujian yang berhasil ke sumber data menggunakan Kerberos sebagai autentikasi:

    Portal Server Laporan Power BI berhasil tersambung

Akses dari aplikasi seluler Power BI

Mengonfigurasi pendaftaran aplikasi

Sebelum aplikasi seluler Power BI dapat menyambungkan dan mengakses Server Laporan Power BI, Anda harus mengonfigurasi pendaftaran aplikasi yang dibuat secara otomatis untuk Anda di Terbitkan melalui proksi aplikasi Microsoft Entra sebelumnya di artikel ini.

Catatan

Jika Anda menggunakan kebijakan akses bersyarat yang mengharuskan aplikasi seluler Power BI menjadi aplikasi klien yang disetujui, Anda tidak dapat menggunakan proksi aplikasi Microsoft Entra untuk menyambungkan aplikasi seluler Power BI ke Server Laporan Power BI.

  1. Pada halaman Gambaran Umum ID Microsoft Entra, pilih Pendaftaran aplikasi.

  2. Pada tab Semua aplikasi, cari aplikasi yang Anda buat untuk Power BI Report Server.

  3. Pilih aplikasi tersebut, lalu pilih Autentikasi.

  4. Tambahkan URI Pengalihan berikut berdasarkan platform yang Anda gunakan.

    Saat mengonfigurasi aplikasi untuk Power BI Mobile iOS, tambahkan URI Pengalihan jenis Klien Publik (Seluler dan Desktop):

    • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
    • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
    • mspbi-adal://com.microsoft.powerbimobile
    • mspbi-adalms://com.microsoft.powerbimobilems

    Saat mengonfigurasi aplikasi untuk Power BI Mobile Android, tambahkan URI Pengalihan jenis Klien Publik (Seluler dan Desktop):

    • urn:ietf:wg:oauth:2.0:oob
    • mspbi-adal://com.microsoft.powerbimobile
    • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
    • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

    Jika Anda mengonfigurasi aplikasi untuk Power BI Mobile iOS dan Android, tambahkan URI Pengalihan jenis Klien Publik (Seluler dan Desktop) berikut ke daftar URI Pengalihan yang dikonfigurasi untuk iOS: .

    • urn:ietf:wg:oauth:2.0:oob

    Penting

    URI Pengalihan harus ditambahkan agar aplikasi berfungsi dengan benar.

Koneksi dari aplikasi seluler Power BI

  1. Di aplikasi seluler Power BI, hubungkan ke instans server laporan. Untuk menyambungkannya, masukkan URL Eksternal untuk aplikasi yang Anda terbitkan melalui Proksi Aplikasi.
  2. Pilih Sambungkan. Anda akan diarahkan ke halaman masuk Microsoft Entra.
  3. Masukkan info masuk yang valid untuk pengguna Anda dan pilih Masuk. Anda akan melihat elemen dari server laporan.

Konten terkait

Ada pertanyaan lagi? Coba tanyakan kepada Komunitas Power BI