Introduzione
Per incorporare contenuto di Power BI nell'app, è necessario sviluppare l'app per l'acquisizione di un token di accesso. Il tipo di flusso di autenticazione (e token di accesso) dipende dallo scenario di incorporamento.
Nota
Per informazioni sugli scenari di incorporamento, seguire il modulo Selezionare un prodotto di analisi incorporata di Power BI.
Quando si usa uno dei due scenari, l'app deve acquisire un token di Azure AD. Un token di Azure AD contiene attestazioni per identificare le autorizzazioni concesse all'API REST di Power BI. Ha una scadenza, che è in genere di un'ora. Un token di Azure AD valido deve essere presente in tutte le operazioni API.
Usare un flusso di autenticazione interattivo
Per acquisire un token di Azure AD per lo scenario Per l'organizzazione, l'app usa un flusso di autenticazione interattivo. Un flusso di autenticazione interattivo significa che Azure AD può richiedere all'utente di accedere usando il nome utente e la password e (possibilmente) usando l'autenticazione a più fattori (MFA). Azure AD potrebbe anche richiedere all'utente di concedere più consenso alle risorse (necessario quando si accede per la prima volta per l'app).
Nota
Se l'app consente l'uso dell'accesso Single Sign-on (SSO), gli utenti non devono accedere ogni volta che la usano. Il processo di autenticazione memorizza nella cache le credenziali in un cookie di sessione quando l'utente esegue l'autenticazione per la prima volta e l'app può usare queste credenziali memorizzate nella cache fino alla scadenza, ovvero dopo 90 giorni per impostazione predefinita.
Dopo l'acquisizione, l'app dovrà memorizzare nella cache il token di Azure AD. L'app lo userà quindi per incorporare il contenuto di Power BI che l'utente è autorizzato a usare.
Il video seguente illustra l'uso di un flusso di autenticazione interattiva.
Nell'unità 3 verrà illustrato come acquisire i token di Azure AD.
Usare un flusso di autenticazione non interattivo
Per acquisire un token di Azure AD per lo scenario Per i clienti, l'app usa un flusso di autenticazione non interattivo. Gli utenti dell'app non devono avere un account Power BI e, anche quando lo fanno, questi account non vengono usati. Un'identità di Azure AD dedicata, nota come identità di incorporamento, esegue l'autenticazione con Azure AD. Un'identità di incorporamento può essere un'entità servizio o un account utente master.
Un flusso di autenticazione non interattivo è noto anche come autenticazione invisibile all'utente. Tenta di acquisire un token di Azure in modo che il servizio di autenticazione non possa chiedere all'utente informazioni aggiuntive. Dopo che l'utente esegue l'autenticazione con l'app (con qualsiasi metodo di autenticazione scelto), l'app usa l'identità di incorporamento per acquisire un token di Azure AD usando un flusso di autenticazione non interattivo.
Dopo che l'app acquisisce un token di Azure AD, lo memorizza nella cache e lo usa per generare un token di incorporamento. Un token di incorporamento rappresenta i fatti relativi al contenuto di Power BI e come accedervi.
In particolare, un token di incorporamento descrive:
- Attestazioni per contenuto specifico di Power BI.
- Livello di accesso, impostato per la visualizzazione, la creazione o la modifica. I livelli di creazione e modifica si applicano solo ai report di Power BI.
- Durata del token, che determina il momento in cui il token scade.
- Facoltativamente, un'attestazione per un'area di lavoro di destinazione in cui salvare i nuovi report.
- Facoltativamente, una o più identità effettive in modo che Power BI possa applicare le autorizzazioni per i dati.
Nota
Per informazioni sulle identità effettive, usare il modulo Applicare le autorizzazioni per i dati per l'analisi incorporata di Power BI.
Guardare il video seguente che illustra l'uso di un flusso di autenticazione non interattivo.
Nell'unità 3 verrà illustrato come acquisire i token di incorporamento.
Usare un’entità servizio
Per acquisire un token di Azure AD, l'app può usare un'entità servizio. Un'entità servizio di Azure è un uso delle app di identità di sicurezza. Definisce i criteri di accesso e le autorizzazioni per l'app nel tenant di Azure AD, abilitando le funzionalità di base, ad esempio l'autenticazione dell'app durante l'accesso e l'autorizzazione durante l'accesso alle risorse. Un'entità servizio può eseguire l'autenticazione usando un segreto o un certificato dell'app. Per le app di produzione, è consigliabile proteggere le entità servizio usando i certificati invece delle chiavi private, perché sono più sicuri.
Quando l'identità di incorporamento dell'app è un'entità servizio, un amministratore del tenant di Power BI deve prima di tutto:
- Abilitare l'uso delle entità servizio.
- Registrare un gruppo di sicurezza che le contiene.
L'immagine seguente mostra le impostazioni modalità sviluppatore (disponibili nelle impostazioni del tenant del portale di amministrazione) in cui un amministratore di Power BI può abilitare le entità servizio per l'uso delle API di Power BI.
Importante
Quando un amministratore consente l'uso dell'entità servizio con Power BI, le autorizzazioni di Azure AD dell'app non diventano più effettive. A partire da quel momento, gli amministratori gestiscono le autorizzazioni dell'app nel portale di amministrazione di Power BI.
In Power BI l'entità servizio deve appartenere al ruolo amministratore o membro dell'area di lavoro per incorporare il contenuto dell'area di lavoro. Solo le nuove aree di lavoro supportano le assegnazioni di ruolo a un'entità servizio e le aree di lavoro personali non sono supportate.
Nota
Non è possibile accedere alla servizio Power BI usando un'entità servizio.
Per altre informazioni, vedere:
- Oggetti applicazione ed entità servizio in Azure Active Directory.
- Incorporare contenuto di Power BI con un'entità servizio e un certificato
Usare un account utente master
L'app può usare un account utente master per acquisire un token di AD. Un account utente master è un normale utente di Azure AD. In Power BI l'account deve appartenere al ruolo amministratore o membro dell'area di lavoro per incorporare il contenuto dell'area di lavoro. Deve anche avere una licenza di Power BI Pro o di Power BI Premium per utente.
Nota
Non è possibile usare un account utente master per incorporare report impaginati.
Confronto tra i tipi di identità di incorporamento
È consigliabile usare un'entità servizio per le app di produzione. Offre la sicurezza più elevata e per questo motivo è l'approccio consigliato da Azure AD. Supporta anche una maggiore automazione e scalabilità, a fronte di un sovraccarico di gestione inferiore. Tuttavia, per le attività di configurazione e gestione, è necessario avere diritti di amministratore di Power BI.
È possibile scegliere di usare un account utente master per le app di sviluppo o test. È facile da configurare e può accedere al servizio Power BI per la risoluzione dei problemi. Tuttavia, esiste un costo associato perché richiede una licenza di Power BI Pro o una licenza per utente. Inoltre, un account utente master non può richiedere l'autenticazione a più fattori.
In conclusione, la tabella seguente contiene un riepilogo dei due tipi di identità di incorporamento.
Elemento | Entità servizio | Account utente master |
---|---|---|
Tipo di oggetto di Azure AD | Entità servizio | User |
Gestione delle credenziali | Usare segreti o certificati con rotazione periodica | Eseguire aggiornamenti frequenti delle password |
Impostazioni del tenant di Power BI | Un amministratore di Power BI deve consentire l'uso delle entità servizio; è consigliabile che le entità servizio appartengano a un gruppo di sicurezza dedicato | Non applicabile |
Utilizzo dell'API REST di Power BI | Alcune operazioni di amministrazione e flussi di dati non sono supportate; è possibile abilitare l'autenticazione dell'entità servizio per le API di amministratore di sola lettura. | Sono supportate tutte le operazioni |
Accesso al servizio Power BI | Non supportato | Supportato |
Licenza | Facoltativo | Power BI Pro o per utente |
Elementi consigliati di Azure AD | Scelta consigliata (in particolare per le app di produzione) | Scelta non consigliata (ma può essere indicata per le app di sviluppo o test) |
Informazioni aggiuntive | Non è possibile richiedere l'autenticazione a più fattori; non è possibile incorporare report impaginati |