Power Query コネクタの署名の処理
Power BI では、選択したセキュリティ設定によってカスタム コネクタの読み込みが制限されます。 一般的な規則として、カスタム コネクタの読み込みセキュリティが "推奨" に設定されているとカスタム コネクタが一切読み込まれないため、読み込まれるようにするにはセキュリティを下げる必要があります。
これに対する例外は、信頼された "署名済みコネクタ" です。 署名済みコネクタは特殊な形式のカスタム コネクタで、.mez ファイルではなく .pqx であり、これは証明書を使用して署名されています。 署名者は、ユーザーまたはユーザーの IT 部門に署名の拇印を提供できます。これをレジストリに格納し、特定のコネクタを信頼していることを安全に示すことができます。
以下の手順により、証明書と "MakePQX" ツールを使用してカスタム コネクタに署名できます。使用可能な証明書がない場合に証明書を生成する方法についても説明します。
Note
以下の手順をテストするための自己署名証明書の作成方法については、PowerShell の New-SelfSignedCertificate に関する Microsoft ドキュメントを参照してください。
Note
証明書を pfx 形式でエクスポートする方法については、Export-PfxCertificate を参照してください。
MakePQX をダウンロードします。
含まれている zip 内の MakePQX フォルダーを任意の場所に展開します。
コマンド ラインから MakePQX を呼び出して実行します。 フォルダー内に他のライブラリが必要なため、1 つの実行可能ファイルのみをコピーすることはできません。 パラメーターを指定せずに実行すると、ヘルプ情報が返されます。
使用法: MakePQX [options] [command]
"オプション:
| [オプション] | 説明 |
|---|---|
| -? | -h | --help | ヘルプ情報を表示します。 |
コマンド:
| コマンド | 説明 |
|---|---|
| pack | pqx ファイルを作成します。 |
| sign | 未署名の pqx に署名し、pqx が署名済みの場合は副署します。 既存の署名を置き換えるには、--replace オプションを使用します。 |
| verify | pqx ファイルの署名の状態を確認します。 署名が無効な場合、戻り値は 0 以外になります。 |
MakePQX には 3 つのコマンドがあります。 コマンドの詳細を表示するには、MakePQX [command] --help を使用します。
Pack
Pack コマンドは、mez ファイルを引数に取り、署名可能な pqx ファイルにパックします。 pqx ファイルは、今後追加される一部の機能もサポートできます。
使用法: MakePQX パック [オプション]
オプション:
| オプション | 説明 |
|---|---|
| -? | -h | --help | ヘルプ情報を表示します。 |
| -mz | --mez | 入力拡張ファイル。 |
| -c | --certificate | 拡張ファイルに署名するために使用される証明書 (.pfx)。 |
| -p | --password | 証明書ファイルのパスワード。 |
| -t | --target | 出力ファイル名。 既定値は、入力ファイルと同じ名前です。 |
例
C:\Users\cpope\Downloads\MakePQX>MakePQX.exe pack -mz "C:\Users\cpope\OneDrive\Documents\Power BI Desktop\Custom Connectors\HelloWorld.mez" -t "C:\Users\cpope\OneDrive\Documents\Power BI Desktop\Custom Connectors\HelloWorldSigned.pqx"
署名
Sign コマンドは、証明書を使用して pqx ファイルに署名し、拇印を付与します。セキュリティ設定がより厳格な Power BI クライアントでは、信頼確認のためにこの拇印をチェックできます。 このコマンドは pqx ファイルを引数に取り、署名済みの同じ pqx ファイルを返します。
使用法: MakePQX sign [引数] [オプション]
引数:
| 引数 | 説明 |
|---|---|
| <pqx ファイル> | pqx ファイルのパス。 |
"オプション:
| オプション | 説明 |
|---|---|
| -c | --certificate | 拡張ファイルに署名するために使用される証明書 (.pfx)。 |
| -p | --password | 証明書ファイルのパスワード。 |
| -r | --replace | 副署の代わりに既存の署名を置き換えます。 |
| -? | -h | --help | ヘルプ情報を表示します。 |
例
C:\Users\cpope\Downloads\MakePQX>MakePQX sign "C:\Users\cpope\OneDrive\Documents\Power BI Desktop\Custom Connectors\HelloWorldSigned.pqx" --certificate ContosoTestCertificate.pfx --password password
確認
Verify コマンドは、モジュールが正しく署名されており、証明書のステータスを示していることを検証します。
使用法: MakePQX verify [引数] [オプション]
引数:
| 引数 | 説明 |
|---|---|
| <pqx ファイル> | pqx ファイルのパス。 |
"オプション:
| オプション | 説明 |
|---|---|
| -q | --quiet | 署名検証の出力を非表示にします。 |
| -? | -h | --help | ヘルプ情報を表示します。 |
例
C:\Users\cpope\Downloads\MakePQX>MakePQX verify "C:\Users\cpope\OneDrive\Documents\Power BI Desktop\Custom Connectors\HelloWorldSigned.pqx"
{
"SignatureStatus": "Success",
"CertificateStatus": [
{
"Issuer": "CN=Colin Popell",
"Thumbprint": "16AF59E4BE5384CD860E230ED4AED474C2A3BC69",
"Subject": "CN=Colin Popell",
"NotBefore": "2019-02-14T22:47:42-08:00",
"NotAfter": "2020-02-14T23:07:42-08:00",
"Valid": false,
"Parent": null,
"Status": "UntrustedRoot"
}
]
}
署名済みのコネクタを Power BI Desktop で信頼する
署名を検証したら、エンド ユーザーに拇印を提供し、信頼済みとして一覧にすることができます。 拇印を提供する方法については、Power BI のドキュメントを参照してください。