Pengantar
Untuk menyematkan konten Power BI di aplikasi, Anda harus mengembangkan aplikasi untuk memperoleh token akses. Jenis alur autentikasi (dan token akses) tergantung pada skenario penyematan.
Catatan
Untuk mempelajari tentang skenario penyematan, kerjakan modul Pilih produk analitik power BI yang disematkan .
Saat Anda menggunakan salah satu skenario, aplikasi Anda harus memperoleh token Azure AD. Token Azure AD berisi klaim untuk mengidentifikasi izin yang diberikan ke Power BI REST API. Ini memiliki waktu kedaluwarsa, yang biasanya satu jam. Token Azure AD yang valid harus ada di semua operasi API.
Menggunakan alur autentikasi interaktif
Untuk memperoleh token Azure AD untuk skenario Untuk organisasi Anda, aplikasi menggunakan alur autentikasi interaktif. Alur autentikasi interaktif berarti bahwa Azure AD dapat meminta pengguna untuk masuk dengan menggunakan nama pengguna dan kata sandi mereka dan (mungkin) dengan menggunakan autentikasi multifaktor (MFA). Azure AD juga dapat meminta pengguna untuk memberikan lebih banyak persetujuan ke sumber daya (diperlukan saat pertama kali masuk untuk aplikasi).
Catatan
Saat aplikasi mengaktifkan penggunaan akses menyeluruh (SSO) , pengguna tidak perlu masuk setiap kali mereka menggunakannya. Proses autentikasi akan menyimpan kredensial dalam cookie sesi saat pengguna mengautentikasi pertama kalinya, dan aplikasi dapat menggunakan kredensial cache ini sampai kedaluwarsa, yaitu setelah 90 hari secara default.
Setelah diperoleh, aplikasi Anda harus menyimpan token Azure AD. Aplikasi kemudian akan menggunakannya untuk menyematkan konten Power BI yang izinnya dikerjakan pengguna.
Video berikut menunjukkan penggunaan alur autentikasi interaktif.
Anda akan mempelajari cara memperoleh token Azure AD di unit 3.
Menggunakan alur autentikasi non-interaktif
Untuk memperoleh token Azure AD untuk skenario Untuk pelanggan Anda, aplikasi menggunakan alur autentikasi non-interaktif. Pengguna aplikasi tidak diharuskan memiliki akun Power BI, dan bahkan ketika mereka melakukannya, akun tersebut tidak digunakan. Identitas Azure AD khusus, yang dikenal sebagai identitas penyematan, mengautentikasi dengan Azure AD. Identitas penyematan dapat berupa perwakilan layanan atau akun pengguna master.
Alur autentikasi non-interaktif juga dikenal sebagai autentikasi senyap. Ini mencoba untuk memperoleh token Azure dengan cara di mana layanan autentikasi tidak dapat meminta informasi tambahan kepada pengguna. Setelah pengguna aplikasi mengautentikasi dengan aplikasi Anda (aplikasi dapat menggunakan metode autentikasi apa pun yang Anda pilih), aplikasi menggunakan identitas penyematan untuk memperoleh token Azure AD dengan menggunakan alur autentikasi non-interaktif.
Setelah aplikasi Anda memperoleh token Azure AD, aplikasi tersebut menyimpan cache lalu menggunakannya untuk menghasilkan token semat. Token semat mewakili fakta tentang konten Power BI dan cara mengaksesnya.
Secara khusus, token semat menjelaskan:
- Klaim untuk konten Power BI tertentu.
- Tingkat akses, yang Anda atur untuk menampilkan, membuat, atau mengedit. (Tingkat buat dan edit hanya berlaku untuk laporan Power BI.)
- Masa pakai token, yang menentukan kapan token kedaluwarsa.
- Secara opsional, klaim ke ruang kerja target untuk menyimpan laporan baru.
- Secara opsional, satu atau beberapa identitas yang efektif sehingga Power BI dapat memberlakukan izin data.
Catatan
Untuk mempelajari tentang identitas yang efektif, kerjakan modul Menerapkan izin data untuk analitik yang disematkan Power BI .
Tonton video berikut yang menunjukkan penggunaan alur autentikasi non-interaktif.
Anda akan mempelajari cara memperoleh token semat di unit 3.
Menggunakan perwakilan layanan
Aplikasi Anda dapat menggunakan perwakilan layanan untuk memperoleh token Azure AD. Perwakilan layanan Azure adalah aplikasi identitas keamanan yang digunakan. Ini mendefinisikan kebijakan akses dan izin untuk aplikasi di penyewa Azure AD, mengaktifkan fitur inti seperti autentikasi aplikasi selama masuk, dan otorisasi selama akses sumber daya. Perwakilan layanan dapat mengautentikasi dengan menggunakan rahasia aplikasi atau sertifikat. Kami menyarankan agar Anda mengamankan perwakilan layanan dengan menggunakan sertifikat untuk aplikasi produksi Anda, daripada kunci rahasia, karena lebih aman.
Saat identitas penyematan aplikasi Anda adalah perwakilan layanan, admin penyewa Power BI harus terlebih dahulu:
- Aktifkan penggunaan perwakilan layanan.
- Daftarkan grup keamanan yang berisinya.
Gambar berikut ini memperlihatkan pengaturan Pengembang (ditemukan di pengaturan penyewa portal admin) di mana admin Power BI bisa mengaktifkan perwakilan layanan untuk menggunakan API Power BI.
Penting
Saat admin mengizinkan penggunaan perwakilan layanan dengan Power BI, izin Azure AD aplikasi tidak lagi berlaku. Sejak saat itu, admin mengelola izin aplikasi di portal admin Power BI.
Di Power BI, perwakilan layanan harus milik admin ruang kerja atau peran anggota untuk menyematkan konten ruang kerja. Hanya ruang kerja baru yang mendukung penetapan peran ke perwakilan layanan, dan ruang kerja pribadi yang tidak didukung.
Catatan
Tidak dimungkinkan untuk masuk ke layanan Power BI dengan menggunakan perwakilan layanan.
Untuk informasi selengkapnya, lihat:
- Objek aplikasi dan perwakilan layanan di Azure Active Directory (Objek perwakilan layanan).
- Menyematkan konten Power BI dengan perwakilan layanan dan sertifikat
Menggunakan akun pengguna master
Aplikasi Anda dapat menggunakan akun pengguna master untuk memperoleh token AD. Akun pengguna master adalah pengguna Azure AD biasa. Di Power BI, akun harus milik admin ruang kerja atau peran anggota untuk menyematkan konten ruang kerja. Ini juga harus memiliki lisensi Power BI Pro atau Power BI Premium Per Pengguna (PPU).
Catatan
Tidak dimungkinkan untuk menggunakan akun pengguna master untuk menyematkan laporan yang dipaginasi.
Membandingkan jenis identitas penyematan
Sebaiknya gunakan perwakilan layanan untuk aplikasi produksi . Ini memberikan keamanan tertinggi, dan untuk alasan ini, ini adalah pendekatan yang direkomendasikan oleh Azure AD. Selain itu, ini mendukung otomatisasi dan skala yang lebih baik dan ada lebih sedikit overhead manajemen. Namun, diperlukan hak admin Power BI untuk menyiapkan dan mengelola.
Anda dapat mempertimbangkan untuk menggunakan akun pengguna master untuk aplikasi pengembangan atau pengujian . Mudah disiapkan, dan dapat masuk ke layanan Power BI untuk membantu memecahkan masalah. Namun, ada biaya terkait karena memerlukan lisensi Power BI Pro atau PPU. Selain itu, akun pengguna master tidak dapat memerlukan MFA.
Singkatnya, tabel berikut membandingkan dua jenis identitas penyematan.
| Item | Perwakilan layanan | Akun pengguna master |
|---|---|---|
| Azure AD jenis objek | Perwakilan layanan | Pengguna |
| Manajemen info masuk yang kuat | Menggunakan rahasia atau sertifikat dengan rotasi berkala | Melakukan pembaruan kata sandi yang sering |
| Pengaturan penyewa Power BI | Admin Power BI harus mengizinkan penggunaan perwakilan layanan; kami menyarankan agar perwakilan layanan termasuk dalam kelompok keamanan khusus | Tidak berlaku |
| Penggunaan REST API Power BI | Beberapa operasi admin dan aliran data tidak didukung; Anda dapat mengaktifkan autentikasi perwakilan layanan untuk API admin baca-saja. | Semua operasi didukung |
| layanan Power BI masuk | Tidak didukung | Didukung |
| Lisensi | Tidak diperlukan | Power BI Pro atau PPU |
| rekomendasi Azure AD | Direkomendasikan (terutama untuk aplikasi produksi) | Tidak disarankan (tetapi mungkin cocok untuk pengembangan atau aplikasi pengujian) |
| Informasi Tambahan | Tidak dapat memerlukan MFA; Tidak dapat menyematkan laporan yang dipaginasi |