埋め込み分析アクセス トークン

適用対象: アプリ所有データ ユーザー所有データ

Power BI のコンテンツ (レポート、ダッシュボード、タイルなど) を使用するには、アクセス トークンが必要です。 ソリューションに応じて、Microsoft Entra トークン、埋め込みトークン、またはその両方をこのトークンとして使用できます。

"顧客向け埋め込み" ソリューションでは、Power BI コンテンツへのアクセス権を Web ユーザーに付与する埋め込みトークンがアプリケーションによって生成されます。

Note

"顧客向け埋め込み" ソリューションを使用する場合は、任意の認証方法を使用して、Web アプリへのアクセスを許可できます。

"組織向け埋め込み" ソリューションの場合は、Web アプリのユーザーは独自の資格情報を使用して Microsoft Entra ID に対する認証を行います。 顧客は、Power BI サービス上で自分がアクセス許可を持っている Power BI コンテンツにアクセスできます。

Microsoft Entra トークン

"顧客向け埋め込み" と "組織向け埋め込み" のどちらのソリューションについても、Microsoft Entra トークンが必要です。 Microsoft Entra トークンは、すべての REST API 操作に必要であり、1 時間後に有効期限が切れます。

• "顧客向け埋め込み" ソリューションでは、Microsoft Entra トークンは埋め込みトークンを生成するために使用されます。

• "組織向け埋め込み" ソリューションでは、Microsoft Entra トークンは Power BI にアクセスするために使用されます。

Microsoft Entra トークンは、次のいずれかの方法で取得できます。

• 外部の Postman ツールを使用してトークンを取得します。 詳しくは、こちらの Power BI コミュニティ スレッドを参照してください。 サービス プリンシパルの要求 URL は https://login.microsoftonline.com/{tenantID}/oauth2/v2.0/token である必要がありますが、マスター ユーザーの場合は https://login.microsoftonline.com/{tenantID}/oauth2/v2.0/token または https://login.microsoftonline.com/common/oauth2/token のいずれかになります。

• PowerBI-Developer-Samples のサンプル ソリューションに従います。 次に例を示します。

  • 顧客向けの埋め込みについては、こちらの AadService.cs ファイルをご覧ください。 AppOwnsData/Web.config で authorityUrl と scopeBase を見つけます。

  • 組織の埋め込みについては、こちらの OwinOpenIdConnect.cs ファイルをご覧ください。 UserOwnsData/Web.config で authorityUrl を見つけます。

  注意

  一部のソブリン クラウドの authorityUrl と scopeBase 値については、政府機関向けクラウドと国/地域内クラウド用のアプリへのコンテンツの埋め込みに関するページを参照してください。

埋め込みトークン

"顧客向け埋め込み" ソリューションを使用する場合は、ユーザーがアクセスできる Power BI コンテンツを Web アプリで認識する必要があります。 埋め込みトークン REST API を使用して埋め込みトークンを生成します。そこでは次の情報を指定します。

• Web アプリ ユーザーがアクセスできるコンテンツ

• Web アプリ ユーザーのアクセス レベル ("表示"、"作成"、または "編集")

詳細については、「埋め込みトークンを生成するときの考慮事項」を参照してください。

認証フロー

このセクションでは、"顧客向け埋め込み" と "組織向け埋め込み" のソリューション用のさまざまな認証フローについて説明します。

顧客向けに埋め込む

"顧客向け埋め込み" ソリューションには、非対話型の認証フローが使用されます。 "顧客向け埋め込み" ソリューションでは、ユーザーは Power BI にアクセスするために Microsoft Entra にサインインしません。 代わりに、Web アプリで予約済み Microsoft Entra ID を使用して Microsoft Entra ID に対する認証を行い、"埋め込みトークン" を生成します。 予約済み ID には、"サービス プリンシパル" または "マスター ユーザー" を使用できます。

• サービス プリンシパル Web アプリで Microsoft Entra のサービス プリンシパル オブジェクトを使用して Microsoft Entra ID に対する認証を行い、"アプリ専用の Microsoft Entra トークン" を取得します。 この "アプリ専用" の認証方法は、Microsoft Entra ID によって推奨されます。

  サービス プリンシパルを使用する場合は、Power BI サービスの "管理者" の設定で、Power BI API のアクセスを有効にする必要があります。 アクセスを有効にすることにより、Web アプリで Power BI REST API にアクセスできるようになります。 ワークスペースで API 操作を使用するには、サービス プリンシパルがワークスペースの "メンバー" または管理者である必要があります。

• マスター ユーザー Web アプリで、ユーザー アカウントを使用して Microsoft Entra ID に対する認証を行い、"Microsoft Entra トークン" を取得します。 マスター ユーザーのアカウントは、Power BI Pro または Premium Per User (PPU) のライセンスを持っている必要があります。

  マスター ユーザーのアカウントを使用する場合は、アプリの委任されたアクセス許可 (スコープとも呼ばれます) を定義する必要があります。 マスター ユーザーまたは "テナント管理者" は、Power BI REST API の使用時にこれらのアクセス許可を使用するための同意を付与する必要があります。

Microsoft Entra ID に対する認証が成功した後は、Web アプリで埋め込みトークンを生成し、特定の Power BI コンテンツへのアクセスをユーザーに許可します。

Note

• "顧客向け埋め込み" ソリューションを使用して埋め込むには、A、EM、または P SKU の容量が必要です。
• 運用を開始するには、容量が必要です。

次の図は、"顧客向け埋め込み" ソリューションの認証フローを示したものです。

1. Web アプリのユーザーは、指定されている認証方法を使用して Web アプリに対する認証を行います。

2. Web アプリにより、"サービス プリンシパル" または "マスター ユーザー" を使用して、Microsoft Entra ID に対する認証が行われます。

3. Web アプリにより、Microsoft Entra ID から "Microsoft Entra トークン" が取得され、それを使用して Power BI REST API へのアクセスが行われます。 選択した認証方法によって Power BI REST API へのアクセスが提供されます。これは、認証方法がサービス プリンシパルかマスター ユーザーかによって異なります。

4. Web アプリにより、埋め込みトークン REST API 操作が呼び出され、埋め込みトークンが要求されます。 "埋め込みトークン" では、どの Power BI コンテンツを埋め込むことができるかが指定されています。

5. REST API から Web アプリに、"埋め込みトークン" が返されます。

6. Web アプリにより、埋め込みトークンがユーザーの Web ブラウザーに渡されます。

7. Web アプリのユーザーは、埋め込みトークンを使用して Power BI にアクセスします。

組織向けの埋め込み

"組織向け埋め込み" ソリューションでは、対話型の認証フローを使用します。 Web アプリのユーザーは、独自の Power BI の資格情報を使用して、Microsoft Entra ID に対する認証を行います。 ユーザーは、Microsoft Entra ID にアプリを登録したときに設定された API アクセス許可に同意する必要があります。 ユーザーは Microsoft の [要求されているアクセス許可] ダイアログで、これらのアクセス許可を付与するように求められます。 同意が付与されると、ユーザーは自分がアクセスできる Power BI コンテンツを埋め込むことができます。

Note

• "組織向け埋め込み" ソリューションでは、A SKU はサポートされていません。

• 運用を開始するには、次のいずれかの構成が必要です。

  • Pro ライセンスを持つすべてのユーザー。
  • PPU ライセンスを持つすべてのユーザー。
  • 容量 または Fabric F64 以上の容量。 この構成を使用すると、すべてのユーザーが無料ライセンスを持つことができます。

次の図は、"組織向け埋め込み" ソリューションの認証フローの例を示したものです。

1. Web アプリのユーザーが Web アプリにアクセスします。

2. Web アプリにより、Web アプリのユーザーは Microsoft Entra ID にリダイレクトされます。

3. Web アプリのユーザーは、自分の Power BI 資格情報を使用して、Microsoft Entra ID に対する認証を行います。

4. Microsoft Entra ID により、Web アプリのユーザーがもう一度 Web アプリに Microsoft Entra トークンと共にリダイレクトされます。 暗黙的な許可のシナリオでは、アクセス トークンはユーザーのブラウザーに返されます。

5. Web アプリにより、Microsoft Entra トークンがユーザーの Web ブラウザーに渡されます。

6. Power BI Web アプリにより、Microsoft Entra トークンを使用して、Web アプリのユーザーがアクセス許可を持っているレポートやダッシュボードなどの Power BI コンテンツが埋め込まれます。

関連するコンテンツ

• 埋め込みトークンを生成するときの考慮事項
• Power BI Embedded の分析の容量と SKU

他にわからないことがある場合は、 Power BI コミュニティで質問してみてください。