Condividi tramite

Configurazione dell'applicazione Microsoft Entra ID

  • Articolo

Per usare l'API di autenticazione, l'ISV deve prima registrare un'applicazione in Microsoft Entra ID per ogni cloud da supportare, e preautorizzare le applicazioni Power BI con un ambito dedicato per ogni oggetto visivo. L'amministratore tenant deve quindi concedere il consenso. Questo articolo descrive tutti questi passaggi essenziali.

L'API di autenticazione è supportata nei cloud seguenti:

  • COM (Obbligatorio) - Cloud commerciale
  • CN - Cloud della Cina
  • GCC - Government Community Cloud degli USA
  • GCCHIGH - Government Community Cloud High degli USA
  • DOD - Cloud per il dipartimento della difesa degli USA

Registrare l'app in Microsoft Entra ID

Per ogni cloud che l'oggetto visivo deve supportare, seguire questa procedura:

  1. Passare al rispettivo portale di Azure e passare a Registrazioni app.

  2. Selezionare + Nuova registrazione

    Screenshot della nuova interfaccia utente di registrazione dell'app Microsoft Entra.

  3. Nella pagina Registrare un'applicazione eseguire le operazioni seguenti:

    1. Immettere il nome dell'applicazione desiderato nella sezione Nome.
    2. Selezionare Account in qualsiasi directory organizzativa (qualsiasi directory di Azure AD - Multi-tenant) nella sezione Tipi di account supportati.
    3. Selezionare Registra.

    Screenshot della pagina Registra un'app dell'app di registrazione di Microsoft Entra ID.

  4. Dopo aver registrato correttamente l'applicazione, selezionare Esporre un'API nel menu a sinistra.

    Screenshot della pagina Esporre un'API dell'app di registrazione di Microsoft Entra ID.

  5. Nel campo URI ID applicazione selezionare Aggiungi.

    Screenshot della pagina Esporre un'API con l'opzione per aggiungere un URI ID applicazione.

  6. Nel campo Modifica URI ID applicazione immettere il dominio personalizzato verificato, assicurandosi che inizi con "https://" e non contenga "onmicrosoft.com", e selezionare Salva.

    Per aggiungere di un dominio personalizzato:

    1. Passare a Nomi di dominio personalizzati di Microsoft Entra ID.
    2. Aggiungere il dominio personalizzato.

    Screenshot della pagina Esporre un'API con la pagina Modifica URI ID applicazione aperta.

    Nota

    L'URI dell'applicazione può essere aggiunto manualmente al manifesto dell'applicazione nella matrice "identifierUri".

    Screenshot che mostra un esempio di codice per l'aggiunta di un URI dell'applicazione.

  7. Selezionare + Aggiungi un ambito.

  8. Nel campo Nome ambito immettere <visual_guid>_CV_ForPBI e aggiungere le informazioni necessarie. Compilare i campi di consenso amministratore. Selezionare quindi il pulsante Aggiungi ambito. Esiste una limitazione della lunghezza dell'ambito di 40 caratteri, ma è possibile modificare manualmente il nome dell'ambito nel manifesto dell'applicazione registrata per gestire questa limitazione.

    Screenshot della finestra di modifica di un ambito con i campi per il nome dell'ambito e altre informazioni.

  9. Per pre-autorizzare le applicazioni Power BI:

    1. Selezionare + Aggiungi un'applicazione client.

      Screenshot della finestra di modifica di un ambito con i campi per l'aggiunta di un'applicazione client.

    2. Immettere l’appId dell’applicazione Power BI WFE nel campo ID client della finestra di destra.

      • COM (obbligarorio) e CN: "871c010f-5e61-4fb1-83ac-98610a7e9110".
      • GCC, GCCHIGH e DOD: “ec04d7d8-0476-4acd-bce4-81f438363d37".

    3. Selezionare l'ambito desiderato.

    4. Seleziona Aggiungi applicazione.

      Screenshot che mostra l'interfaccia utente per aggiungere un'applicazione client.

    5. Ripetere questo processo con:

      • Power BI Desktop:

        • COM (obbligatorio) e CN: "7f67af8a-fedc-4b08-8b4e-37c4d127b6cf".
        • GCC, GCCHIGH e DOD: “6807062e-abc9-480a-ae93-9f7deee6b470".

      • Power BI per dispositivi mobili:

        • COM (obbligatorio) e CN: "c0d2a505-13b8-4ae0-aa9e-cddd5eab0b12".
        • GCC, GCCHIGH e DOD: "ce76e270-35f5-4bea-94ff-eab975103dc6".

L'amministratore tenant può determinare se gli utenti sono autorizzati a fornire il consenso per se stessi. Questo processo di consenso viene eseguito all'esterno di Power BI.

L'applicazione back-end ISV (ad esempio, https://contoso.com) deve essere autorizzata a utilizzare l'API Graph e altre dipendenze (da utenti o amministratori tenant) in base alle regole AAD standard:

Se l'applicazione ISV è in esecuzione in un tenant diverso rispetto al tenant del consumer visivo, concedere il consenso per l'applicazione ISV in uno dei modi seguenti:

  • Preconsenso amministratore:

    Seguire le istruzioni in Concedere il consenso amministratore a livello di tenant a un'applicazione. Sostituire l'URL di consenso amministratore a livello di tenant con il rispettivo collegamento per ogni cloud:

    • COM e GCC: https://login.microsoftonline.com/{organization}/adminconsent?client_id={clientId}
    • CN: https://login.partner.microsoftonline.cn/{organization}/adminconsent?client_id={clientId}
    • GCCHIGH e DOD: https://login.microsoftonline.us/{organization}/adminconsent?client_id={clientId}

  • Consenso interattivo:

    Se l'amministratore tenant non ha dato il consenso, qualsiasi utente che usa un oggetto visivo che attiva l'API riceve una richiesta di consenso una tantum durante il rendering dell'oggetto visivo. Per altre informazioni, vedere Esperienza di consenso dell'applicazione.

Contenuto correlato