Active Directory (AD) SSO
オンプレミスのデータ ゲートウェイは、Active Directory が構成されているオンプレミスのデータ ソースに接続するための Active Directory (AD) SSO をサポートしています。 AD SSO には、Kerberos の制約付き委任と Security Assertion Markup Language (SAML) の両方が含まれています。 SSO と AD SSO でサポートされているデータ ソースの一覧の詳細については、「Power BI のオンプレミスのデータ ゲートウェイ用シングル サインオン (SSO) の概要」を参照してください。
Active Directory SSO を実行する場合のクエリ手順
SSO を使ったクエリ実行は、次の図に示す 3 つのステップで構成されます。
各手順の詳細を次に示します。
構成済みゲートウェイにクエリ要求が送信されるときに、クエリごとに Power BI サービスには "ユーザー プリンシパル名 (UPN)"、つまり現在 Power BI サービスにサインインしているユーザーの完全修飾ユーザー名が含まれます。
ゲートウェイは、Microsoft Entra の UPN を Active Directory のローカル ID にマップする必要があります。
a. Microsoft Entra DirSync (Microsoft Entra Connect とも呼ばれます) が構成されている場合、ゲートウェイでのマッピングは自動的に行われます。
b. そうでない場合、ゲートウェイは、ローカル環境の Active Directory ドメインの検索を実行し、Microsoft Entra の UPN を参照してローカル AD ユーザーにマップできます。
ゲートウェイ サービスのプロセスは、マップされたローカル ユーザーを偽装して、基になるデータベースへの接続を開いた後、クエリを送信します。 データベースと同じマシンにゲートウェイをインストールする必要はありません。
関連するコンテンツ
ゲートウェイ経由での SSO 実現に関する基礎を理解したところで、Kerberos と SAML に関する詳細をお読みください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示