Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come usare il proxy applicazione Web e Active Directory Federation Services (AD FS) per connettersi a Server di report di Power BI e a SQL Server Reporting Services (SSRS) 2016 e versioni successive. Grazie a questa integrazione, gli utenti che si trovano fuori dalla rete aziendale possono accedere ai report di Server di report di Power BI e Reporting Services personali dal browser client usufruendo della protezione della preautenticazione di AD FS. Per le app Power BI per dispositivi mobili, vedere anche Connettersi al Server di report di Power BI e a SSRS (SQL Server Reporting Services) dalle. applicazioni Power BI per dispositivi mobili.
Nota
A partire dal 1° marzo 2025, l'app Power BI per dispositivi mobili non sarà più in grado di connettersi al server di report usando il protocollo OAuth tramite AD FS configurato in Windows Server 2016. I clienti che usano OAuth con AD FS configurato in Windows Server 2016 e Proxy applicazione Web (WAP) dovranno aggiornare il server AD FS a Windows Server 2019 o versione successiva oppure usare l'Application Proxy Microsoft Entra. Dopo l'aggiornamento di Windows Server, gli utenti dell'app Power BI per dispositivi mobili potrebbero dover accedere nuovamente al server di report.
Questo aggiornamento è necessario da una modifica nella libreria di autenticazione usata dall'app per dispositivi mobili. La modifica non influisce in alcun modo sul supporto tecnico Microsoft per AD FS in Windows Server 2016, ma solo sulla possibilità di connettersi all'app Power BI per dispositivi mobili.
Nota
La configurazione descritta in questo articolo non è più il metodo preferito per la connessione al Server di report di Power BI e a SSRS 2016 e versioni successive. Configurare la connessione usando il proxy di applicazione di Microsoft Entra, come descritto in Configurare il Server di report di Power BI con il proxy di applicazione Microsoft Entra
Prerequisiti
Configurazione Domain Name Services (DNS)
- Determinare l'URL pubblico a cui si connetterà l'utente. Può essere simile all'esempio seguente:
https://reports.contosolab.com. - Configurare il record DNS per il nome host,
reports.contosolab.com, ad esempio, in modo che punti all'indirizzo IP pubblico del server proxy applicazione Web. - Configurare un record DNS pubblico per il server AD FS. Il server AD FS, ad esempio, potrebbe essere stato configurato con l'URL
https://adfs.contosolab.com. - Configurare il record DNS in modo che punti all'indirizzo IP pubblico del server proxy applicazione Web, ad esempio
adfs.contosolab.com. Viene pubblicato nell'ambito dell'applicazione proxy applicazione Web.
Certificati
È necessario configurare i certificati per l'applicazione proxy applicazione Web e per il server AD FS. Entrambi questi certificati devono essere parte di un'autorità di certificazione valida e riconosciuta dai computer in uso.
1. Configurare il server di report
È necessario assicurarsi che sia disponibile un nome dell'entità servizio (SPN) valido. Il nome SPN valido consente di eseguire l'autenticazione Kerberos in modo corretto e di abilitare il server di report per l'autenticazione con negoziazione.
Nome dell'entità servizio (SPN)
Il nome dell'entità servizio (SPN) è un identificatore univoco per un servizio che usa l'autenticazione Kerberos. Assicurarsi di avere un nome SPN HTTP corretto per il server di report.
Per informazioni su come configurare il corretto nome dell'entità servizio (SPN) per il server di report, vedere Registrare un nome dell'entità servizio (SPN) per un server di report.
Abilitare la negoziazione dell'autenticazione
Per abilitare l'uso dell'autenticazione Kerberos in un server di report è necessario configurare il tipo di autenticazione del server di report come RSWindowsNegotiate. Questa configurazione viene eseguita all'interno del file rsreportserver.config.
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsNTLM />
</AuthenticationTypes>
Per altre informazioni, vedere Modificare un file di configurazione di Reporting Services e Configurare l'autenticazione di Windows nel server di report.
2. Configurare Active Directory Federation Services (AD FS)
È necessario configurare AD FS in un server Windows all'interno dell'ambiente. La configurazione può essere eseguita usando Server Manager e selezionando Aggiungi ruoli e funzionalità in Gestisci. Per altre informazioni, vedere Active Directory Federation Services.
Importante
A partire dal 1° marzo 2025, le app Power BI per dispositivi mobili non potranno più connettersi al server di report tramite AD FS configurato in Windows Server 2016. Vedere anche la nota all'inizio di questo articolo.
Nel server AD FS completare questa procedura usando l'app di gestione di AD FS.
Fare clic con il pulsante destro del mouse su Attendibilità componente>Aggiungi attendibilità componente.
Seguire i passaggi nell'Aggiunta guidata attendibilità componente.
Scegliere l'opzione Non in grado di riconoscere attestazioni per usare la sicurezza integrata di Windows come meccanismo di autenticazione.
Immettere il nome preferito in Specifica nome visualizzato e selezionare Avanti. Aggiungere l'identificatore dell'attendibilità componente:
<ADFS\_URL>/adfs/services/trustAd esempio:
https://adfs.contosolab.com/adfs/services/trust
Scegliere i Criteri di controllo di accesso adatti alle esigenze dell'organizzazione e selezionare Avanti.
Selezionare Avanti e quindi Fine per completare l'Aggiunta guidata attendibilità componente.
Al termine, le proprietà delle attendibilità componente dovrebbero avere l'aspetto seguente.
3. Configurare il proxy applicazione Web
È consigliabile abilitare il ruolo di Proxy applicazione Web Windows in un server nell'ambiente in uso. Deve essere in un server Windows. Per altre informazioni, vedere Proxy applicazione Web in Windows Server e Pubblicazione di applicazioni con la preautenticazione di AD FS.
Configurare la delega vincolata
Per passare dall'autenticazione basata su form all'autenticazione di Windows, è necessario usare la delega vincolata con transizione del protocollo. Questo passaggio fa parte della configurazione di Kerberos. Il nome SPN del server di report è già stato definito nella configurazione del server di report.
È necessario configurare la delega vincolata nell'account del computer Server WAP all'interno di Active Directory. Se non si hanno diritti per Active Directory, può essere necessario collaborare con un amministratore di dominio.
Per configurare la delega vincolata, eseguire questa procedura.
Sul computer in cui sono installati gli strumenti di Active Directory, avviare Utenti e computer di Active Directory.
Trovare l'account del computer per il server WAP. Per impostazione predefinita, si trova nel contenitore Computer.
Fare clic con il pulsante destro sul server WAP e passare a Proprietà.
Nella scheda Delega selezionare Computer attendibile per la delega solo ai servizi specificati e quindi Usa un qualsiasi protocollo di autenticazione.
Questa opzione consente di impostare una delega vincolata per l'account computer del server proxy applicazione Web. È quindi necessario specificare i servizi che questo computer è autorizzato a delegare.
Selezionare Aggiungi nella casella Servizi.
Selezionare Utenti o computer.
Immettere l'account del servizio che si sta usando per il server di report. Questo account è lo stesso usato per aggiungere il nome SPN HTTP nella sezione Configurare il server di report precedente.
Selezionare il nome SPN HTTP per il server di report e quindi selezionare OK.
Nota
Potrebbe essere visualizzato solo il nome SPN di NetBIOS. Se esistono entrambi, verranno invece selezionati i nomi SPN di NetBIOS e FQDN.
Se si seleziona la casella di controllo Espansa, il risultato dovrebbe essere simile al seguente.
Aggiungere applicazione WAP
Nel server proxy applicazione Web aprire la console Gestione accesso remoto e selezionare Proxy applicazione Web nel riquadro di spostamento.
Nel riquadro Attività selezionare Pubblica.
Nella pagina Iniziale, fare clic su Avanti.
Nella pagina Preautenticazione selezionare Active Directory Federation Services (AD FS) e quindi selezionare Avanti.
Selezionare la preautenticazione Web e MSOFBA, dato che si configurerà solo l'accesso al server di report tramite browser, non tramite app per dispositivi mobili.
Aggiungere il Componente creato nel server AD FS, come illustrato di seguito, e quindi selezionare Avanti.
Nella sezione URL esterno inserire l'URL accessibile pubblicamente configurato nel server proxy applicazione Web. Aggiungere l'URL configurato con il server di report (Gestione configurazione del server di report) come illustrato di seguito nella sezione URL server back-end. Aggiungere il nome SPN del server di report nella sezione SPN server back-end.
Selezionare Avanti e Pubblica.
Per convalidare la configurazione proxy applicazione Web, eseguire il comando di PowerShell seguente.
Get-WebApplicationProxyApplication -Name "PBIRSWAP" | FL
Connettersi al server di report tramite il browser
È quindi possibile accedere all'URL proxy applicazione Web pubblico, ad esempio https://reports.contosolab.com/ReportServer per il servizio Web e https://reports.contosolab.com/Reports per il portale Web dal browser. Dopo l'autenticazione, è possibile visualizzare i report.
Contenuto correlato
- Connettersi al Server di report e a SSRS dalle applicazioni di Power BI per dispositivi mobili
- Che cos'è Server di report di Power BI?
Altre domande? Contattare la community di Power BI