Verbinding maken met Power BI Report Server en SSRS vanuit mobiele Power BI-toepassingen

In dit artikel wordt beschreven hoe u uw omgeving configureert om OAuth-verificatie te ondersteunen met de mobiele Power BI-app om verbinding te maken met Power BI Report Server en SQL Server Reporting Services 2016 of hoger.

Vereisten

Windows Server is vereist voor de WEB toepassingsproxy (WAP) en Active Directory Federation Services (AD FS) servers. U hoeft geen domein op windows-functionaliteitsniveau te hebben.

Als u wilt dat gebruikers een rapportserververbinding kunnen toevoegen aan hun mobiele Power BI-app, moet u hen toegang verlenen tot de basismap van de rapportserver.

Notitie

Vanaf 1 maart 2025 kan de Power BI - Mobiel-app geen verbinding meer maken met Report Server met behulp van het OAuth-protocol via AD FS die is geconfigureerd in Windows Server 2016. Klanten die OAuth gebruiken met AD FS die zijn geconfigureerd in Windows Server 2016 en Web toepassingsproxy (WAP), moeten hun AD FS-server upgraden naar Windows Server 2019 of hoger, of microsoft Entra-toepassingsproxy gebruiken. Na de upgrade van Windows Server moeten Power BI - Mobiel app-gebruikers zich mogelijk opnieuw aanmelden bij Report Server.

Deze upgrade is vereist door een wijziging in de verificatiebibliotheek die wordt gebruikt door de mobiele app. De wijziging is op geen enkele manier van invloed op Microsoft-ondersteuning voor AD FS op Windows Server 2016, maar in plaats daarvan alleen de mogelijkheid van de Power BI - Mobiel-app om er verbinding mee te maken.

DNS-configuratie (Domain Name Services)

De openbare URL is de URL waarmee de mobiele Power BI-app verbinding maakt. Het ziet er bijvoorbeeld ongeveer als volgt uit.

https://reports.contoso.com

Uw DNS-record voor rapporten naar het openbare IP-adres van de WAP-server (Web toepassingsproxy). U moet ook een openbare DNS-record configureren voor uw AD FS-server. U hebt bijvoorbeeld de AD FS-server geconfigureerd met de volgende URL.

https://fs.contoso.com

Uw DNS-record voor fs naar het openbare IP-adres van de WAP-server (Web toepassingsproxy), omdat deze wordt gepubliceerd als onderdeel van de WAP-toepassing.

Certificaten

U moet certificaten configureren voor zowel de WAP-toepassing als de AD FS-server. Beide certificaten moeten deel uitmaken van een geldige certificeringsinstantie die door uw mobiele apparaten wordt herkend.

Reporting Services-configuratie

Er is niet veel te configureren aan de zijde van Reporting Services. U hoeft alleen maar te controleren of:

• Er is een geldige SPN (Service Principal Name) om de juiste Kerberos-verificatie in te schakelen.
• De Reporting Services-server is ingeschakeld voor het onderhandelen over verificatie.
• Gebruikers hebben toegang tot de basismap van de rapportserver.

Service Principal Name (SPN)

De SPN is een unieke id voor een service die gebruikmaakt van Kerberos-verificatie. U moet ervoor zorgen dat u over een juiste HTTP SPN beschikt voor uw rapportserver.

Zie Een Service Principal Name (SPN) registreren voor een rapportserver voor informatie over het configureren van de juiste SPN (Service Principal Name) voor uw rapportserver.

Onderhandelen over verificatie inschakelen

Als u wilt dat een rapportserver Kerberos-verificatie gebruikt, moet u het verificatietype van de rapportserver configureren als RSWindowsNegotiate. U doet dit in het bestand rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Zie Een Reporting Services-configuratiebestand wijzigen en Windows-verificatie configureren op een rapportserver voor meer informatie.

Ad FS-configuratie (Active Directory Federation Services)

U moet AD FS configureren op een Windows-server in uw omgeving. De configuratie kan worden uitgevoerd via het Serverbeheer en het selecteren van Functies en onderdelen toevoegen onder Beheren. Zie Active Directory Federation Services voor meer informatie.

Belangrijk

Vanaf 1 maart 2025 kunnen de Power BI - Mobiel-apps geen verbinding meer maken met Report Server via AD FS die zijn geconfigureerd op Windows Server 2016. Zie de opmerking aan het begin van dit artikel.

Een toepassingsgroep maken

In het scherm AD FS-beheer wilt u een toepassingsgroep maken voor Reporting Services die informatie bevat voor de Power BI - Mobiel-apps.

U kunt de toepassingsgroep maken met de volgende stappen.

1. Klik in de AD FS-beheer-app met de rechtermuisknop op Toepassingsgroepen en selecteer Toepassingsgroep toevoegen...

   

2. Geef in de wizard Toepassingsgroep toevoegen een naam op voor de toepassingsgroep en selecteer Systeemeigen toepassing die toegang heeft tot een web-API.

   

3. Selecteer Volgende.

4. Geef een naam op voor de toepassing die u toevoegt.

5. Terwijl de client-id automatisch wordt gegenereerd voor uw, voert u in 484d54fc-b481-4eee-9505-0258a1913020 in voor zowel iOS als Android.

6. U wilt de volgende omleidings-URL's toevoegen:

   Vermeldingen voor Power BI - Mobiel – iOS:
   msauth://code/mspbi-adal://com.microsoft.powerbimobile
   msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
   mspbi-adal://com.microsoft.powerbimobile
   mspbi-adalms://com.microsoft.powerbimobilems

   Android-apps hebben alleen de volgende stappen nodig:
   urn:ietf:wg:oauth:2.0:oob

   

7. Selecteer Volgende.

8. Geef de URL voor uw rapportserver op. De URL is de externe URL die uw web-toepassingsproxy bereikt. Deze moet de volgende indeling hebben.

   Notitie

   Deze URL is hoofdlettergevoelig.

   https://<report server url>/reports

   

9. Selecteer Volgende.

10. Kies het toegangsbeheerbeleid dat past bij de behoeften van uw organisatie.

    

11. Selecteer Volgende.

12. Selecteer Volgende.

13. Selecteer Volgende.

14. Selecteer Sluiten.

Wanneer dit is voltooid, ziet u de eigenschappen van uw toepassingsgroep er ongeveer als volgt uit.

Voer nu de volgende PowerShell-opdracht uit op de AD FS-server om ervoor te zorgen dat het vernieuwen van tokens wordt ondersteund.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Wap-configuratie (Web toepassingsproxy)

U wilt de Windows-functie Web toepassingsproxy (functie) inschakelen op een server in uw omgeving. Deze moet zich op een Windows-server bevinden. Zie Web toepassingsproxy in Windows Server en Publishing Applications met behulp van AD FS Preauthentication voor meer informatie.

Configuratie van beperkte delegatie

Om over te stappen van OAuth-verificatie naar Windows-verificatie, moeten we beperkte delegering gebruiken met protocolovergang. Dit maakt deel uit van de Kerberos-configuratie. We hebben de Reporting Services SPN al gedefinieerd in de Reporting Services-configuratie.

We moeten beperkte delegering configureren voor het WAP Server-computeraccount in Active Directory. Mogelijk moet u met een domeinbeheerder werken als u geen rechten hebt voor Active Directory.

Als u beperkte delegering wilt configureren, moet u de volgende stappen uitvoeren.

1. Start Active Directory op een computer waarop de Active Directory-hulpprogramma's zijn geïnstalleerd.

2. Zoek het computeraccount voor uw WAP-server. Standaard bevindt deze zich in de computercontainer.

3. Klik met de rechtermuisknop op de WAP-server en ga naar Eigenschappen.

4. Selecteer het tabblad Delegatie .

5. Selecteer Deze computer alleen vertrouwen voor delegering naar opgegeven services en gebruik vervolgens een verificatieprotocol.

   

   Hiermee stelt u beperkte delegering in voor dit WAP Server-computeraccount. Vervolgens moeten we de services opgeven waaraan deze computer mag delegeren.

6. Selecteer Toevoegen... onder het vak Services.

   

7. Gebruikers of computers selecteren ...

8. Voer het serviceaccount in dat u voor Reporting Services gebruikt. Dit account is het account waaraan u de SPN hebt toegevoegd binnen de Reporting Services-configuratie.

9. Selecteer de SPN voor Reporting Services en selecteer vervolgens OK.

   Notitie

   Mogelijk ziet u alleen de NetBIOS SPN. In feite worden zowel de NetBIOS- als FQDN-SPN's geselecteerd als ze beide bestaan.

   

10. Het resultaat moet er ongeveer als volgt uitzien wanneer het selectievakje Uitgevouwen is ingeschakeld.

    

11. Selecteer OK.

WAP-toepassing toevoegen

Hoewel u toepassingen kunt publiceren in de console rapporttoegangsbeheer, willen we de toepassing maken via PowerShell. Hier volgt de opdracht om de toepassing toe te voegen.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication

Parameter	Opmerkingen
ADFSRelyingPartyName	De web-API-naam die u hebt gemaakt als onderdeel van de toepassingsgroep in AD FS.
ExternalCertificateThumbprint	Het certificaat dat moet worden gebruikt voor de externe gebruikers. Het is belangrijk dat het certificaat geldig is op mobiele apparaten en afkomstig is van een vertrouwde certificeringsinstantie.
BackendServerUrl	De URL naar de rapportserver vanaf de WAP-server. Als de WAP-server zich in een DMZ bevindt, moet u mogelijk een volledig gekwalificeerde domeinnaam gebruiken. Zorg ervoor dat u deze URL kunt bereiken vanuit de webbrowser op de WAP-server.
BackendServerAuthenticationSPN	De SPN die u hebt gemaakt als onderdeel van de Reporting Services-configuratie.

Geïntegreerde verificatie instellen voor de WAP-toepassing

Nadat u de WAP-toepassing hebt toegevoegd, moet u de BackendServerAuthenticationMode instellen om IntegratedWindowsAuthentication te gebruiken. U hebt de id van de WAP-toepassing nodig om deze in te stellen.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Voer de volgende opdracht uit om de BackendServerAuthenticationMode in te stellen met behulp van de id van de WAP-toepassing.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Verbinding maken met de Power BI - Mobiel-app

In de mobiele Power BI-app wilt u verbinding maken met uw Reporting Services-exemplaar. Hiervoor geeft u de externe URL voor uw WAP-toepassing op.

Wanneer u Verbinding maken selecteert, wordt u omgeleid naar de aanmeldingspagina van AD FS. Voer geldige referenties in voor uw domein.

Nadat u Aanmelden hebt geselecteerd, ziet u de elementen van uw Reporting Services-server.

Meervoudige verificatie

U kunt meervoudige verificatie inschakelen om extra beveiliging voor uw omgeving in te schakelen. Zie Microsoft Entra-meervoudige verificatie configureren als verificatieprovider met AD FS voor meer informatie.

Probleemoplossing

U ontvangt de foutmelding 'Aanmelden bij SSRS-server is mislukt'

U kunt Fiddler instellen als proxy voor uw mobiele apparaten om te zien hoe ver de aanvraag is ingediend. Als u een Fiddler-proxy voor uw telefoonapparaat wilt inschakelen, moet u de CertMaker voor iOS en Android instellen op de computer waarop Fiddler wordt uitgevoerd. De invoegtoepassing is afkomstig van Telerik voor Fiddler.

Als de aanmelding werkt bij het gebruik van Fiddler, hebt u mogelijk een certificaatprobleem met de WAP-toepassing of de AD FS-server.

Gerelateerde inhoud

• Een Service Principal Name (SPN) voor een rapportserver registreren
• Een Reporting Services-configuratiebestand wijzigen
• Windows-verificatie configureren op een rapportserver
• Active Directory Federation Services
• Web-toepassingsproxy in Windows Server
• Toepassingen publiceren met ad FS-verificatie vooraf
• Meervoudige verificatie van Microsoft Entra configureren als verificatieprovider met AD FS
  Meer vragen? Probeer de Power BI-community