Een rapport insluiten met op tokens gebaseerde identiteit (SSO)

VAN TOEPASSING OP: App is eigenaar van gegevens Gebruiker is eigenaar van gegevens

Met de identiteit op basis van tokens kan een ISV een Microsoft Entra-toegangstoken gebruiken om de identiteit van een klant door te geven aan een Azure SQL-database die wordt beheerd in de tenant van de klant.

ISV-klanten die hun gegevens in Azure SQL Database bewaren en beheren, kunnen hun gegevens veilig houden in hun tenant bij de integratie met Power BI Embedded in de ISV-app.

Bij het genereren van het insluittoken geeft u de identiteit van de gebruiker in Azure SQL op door het Microsoft Entra-toegangstoken van die gebruiker door te geven voor de Azure SQL-server. Het toegangstoken wordt vervolgens gebruikt om alleen de relevante gegevens voor die gebruiker op te halen uit Azure SQL voor die specifieke sessie.

Identiteit op basis van tokens instellen

De identiteit op basis van tokens werkt alleen voor DirectQuery-modellen op een capaciteit die is verbonden met een Azure SQL Database die is geconfigureerd om Microsoft Entra-verificatie toe te staan. De gegevensbron van het semantische model moet zijn geconfigureerd voor het gebruik van OAuth2-referenties van eindgebruikers om een identiteit op basis van tokens te kunnen gebruiken. Meer informatie over Microsoft Entra-verificatie voor Azure SQL Database.

Instellen in portal

1. Selecteer in de Power BI-portal Semantisch model > Meer opties (drie puntjes) > Instellingen > gegevensbronreferenties >Referenties bewerken.

   

2. Vink het OAuth2-vakje aan.

   

Instellen met API

Stuur een Gateways - Datasource-API-aanroep bijwerken met "useEndUserOAuth2Credentials" = True en "credentialType": "OAuth2" voor het gewenste semantische model. De aanvraagbody moet er ongeveer als volgt uitzien:

{
  "credentialDetails": {
    "credentials": "{\"credentialData\":[{\"name\":\"accessToken\",\"value\":\"eyJ…\"}]}",
    "credentialType": "OAuth2",
    "encryptedConnection": "Encrypted",
    "encryptionAlgorithm": "None",
    "privacyLevel": "Organizational",
    "useEndUserOAuth2Credentials": true
  }
}

Een identiteitstoken genereren

Als u een toegangstoken voor Azure SQL wilt maken, moet de app beschikken over gedelegeerde machtigingen voor Azure SQL DB en Data Warehouse voor Azure SQL Database-API in de configuratie voor app-registratie van Microsoft Entra in Azure Portal.

Verifieer en verwerf een token voor de gebruiker van het Azure AD v2-eindpunt voor het volgende bereik: https://database.windows.net/.default

Zie de volgende MSAL-codevoorbeelden voor hulp:

• Codevoorbeelden voor verificatie en autorisatie van Het Microsoft Identity Platform - Microsoft Entra | Microsoft Learn
• Microsoft identity platform en OAuth 2.0-autorisatiecodestroom

Insluittoken genereren

Als u een rapport wilt insluiten met een identiteit op basis van tokens, genereert u een insluittoken dat de basisidentiteit van het token van de gewenste ISV-gebruiker bevat. Zie de volgende voorbeelden voor het genereren van insluittokens voor verschillende scenario's.

Power BI-rapport met eenmalige aanmelding

{
  "datasets": [
    {
      "id": "66ba5010-xxxx-xxxx-xxxx-f2bf0125abeb",
    }
  ],
  "reports": [
    {
      "allowEdit": false,
      "id": "9e6da541-xxxx-xxxx-xxxx-7d9442827cce"
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": "YourServerName.database.windows.net",
            "database": "YourDataBaseName"
          }
        }
      ]
    }
  ]
}

Gepagineerd rapport met SSO

{
  "reports": [
    {
      "allowEdit": false,
      "id": "2b0a27c7-xxxx-xxxx-xxxx-4d2036b42f90"
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": "YourServerName.database.windows.net",
            "database": "YourDataBaseName"
          }
        }
      ]
    }
  ]
}

Power BI-rapport met eenmalige aanmelding en RLS in het semantische model

{
  "datasets": [
    {
      "id": "fff1a505-xxxx-xxxx-xxxx-e69f81e5b974",
    }
  ],
  "reports": [
    {
      "allowEdit": false,
      "id": "10ce71df-xxxx-xxxx-xxxx-814a916b700d"
    }
  ],
  "identities": [
    {
      "username": "YourUsername",
      "datasets": [
        "fff1a505-xxxx-xxxx-xxxx-e69f81e5b974"
      ],
      "roles": [
        "YourRole"
      ]
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": "YourServerName.database.windows.net",
            "database": "YourDataBaseName"
          }
        }
      ]
    }
  ]
}

Gepagineerd rapport dat is verbonden met het semantische Power BI-model met RLS en SSO-gegevensbron die is verbonden met DirectQuery met een andere Power BI-gegevensset

{
  "datasets": [
    {
      "id": "35a4a948-xxxx-xxxx-xxxx-2e6ad7a02dc7",
      "xmlaPermissions": "ReadOnly"
    },
    {
      "id": "064ef46d-xxxx-xxxx-xxxx-fd6dda7a467b",
      "xmlaPermissions": "ReadOnly"
    }
  ],
  "reports": [
    {
      "allowEdit": false,
      "id": "9e81ebf7-xxxx-xxxx-xxxx-5a6294b43d55"
    }
  ],
  "identities": [
    {
      "username": "YourUsename",
      "datasets": [
        "35a4a948-xxxx-xxxx-xxxx-2e6ad7a02dc7"
      ],
      "roles": [
        "YourRole"
      ]
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": " YourServerName.database.windows.net",
            "database": " YourDatabaseName "
          }
        }
      ]
    }
  ]
}

In het volgende voorbeeld ziet u een ingesloten Power BI-rapport met Single Sign-On en RLS die zijn toegepast op de gegevensset.