Konfigurowanie logowania jednokrotnego opartego na protokole Kerberos z usługa Power BI do lokalnych źródeł danych

  • Artykuł

Włączenie logowania jednokrotnego ułatwia użytkownikom raportów i pulpitów nawigacyjnych usługi Power BI odświeżanie danych ze źródeł lokalnych przy jednoczesnym przestrzeganiu uprawnień na poziomie użytkownika skonfigurowanych w tych źródłach. Użyj ograniczonego delegowania protokołu Kerberos, aby umożliwić bezproblemową łączność z logowaniem jednokrotnym.

W tym artykule opisano kroki, które należy wykonać, aby skonfigurować logowanie jednokrotne oparte na protokole Kerberos z usługa Power BI do lokalnych źródeł danych.

Wymagania wstępne

Aby delegowanie ograniczone protokołu Kerberos działało prawidłowo, należy skonfigurować kilka elementów, w tym *Główne nazwy usługi (SPN) i ustawienia delegowania na kontach usług.

Uwaga

Używanie aliasu DNS z logowaniem jednokrotnym nie jest obsługiwane.

Konspekt konfiguracji

Poniżej opisano kroki wymagane do konfigurowania logowania jednokrotnego bramy.

  1. Wykonaj wszystkie kroki opisane w sekcji 1: Konfiguracja podstawowa.

  2. W zależności od używanego środowiska usługi Active Directory i źródeł danych może być konieczne ukończenie niektórych lub wszystkich konfiguracji opisanych w sekcji 2: Konfiguracja specyficzna dla środowiska.

    Poniżej wymieniono możliwe scenariusze, które mogą wymagać dodatkowej konfiguracji:

    Scenariusz Przejdź do
    Środowisko usługi Active Directory jest ze wzmocnionym zabezpieczeniami. Dodawanie konta usługi bramy do grupy autoryzacji i dostępu systemu Windows
    Konto usługi bramy i konta użytkowników, które brama będzie personifikować, znajdują się w oddzielnych domenach lub lasach. Dodawanie konta usługi bramy do grupy autoryzacji i dostępu systemu Windows
    Nie masz Połączenie firmy Microsoft ze skonfigurowaną synchronizacją konta użytkownika, a nazwa UPN używana w usłudze Power BI dla użytkowników nie jest zgodna z nazwą UPN w lokalnym środowisku usługi Active Directory. Ustawianie parametrów konfiguracji mapowania użytkownika na maszynie bramy
    Planujesz używać źródła danych SAP HANA z logowaniem jednokrotnym. Wykonywanie kroków konfiguracji specyficznych dla źródła danych
    Planujesz używać źródła danych SAP BW z logowaniem jednokrotnym. Wykonywanie kroków konfiguracji specyficznych dla źródła danych
    Planujesz używać źródła danych Teradata z logowaniem jednokrotnym. Wykonywanie kroków konfiguracji specyficznych dla źródła danych

  3. Zweryfikuj konfigurację zgodnie z opisem w sekcji 3: Zweryfikuj konfigurację , aby upewnić się, że logowanie jednokrotne jest skonfigurowane poprawnie.

Sekcja 1. Konfiguracja podstawowa

Krok 1. Instalowanie i konfigurowanie lokalnej bramy danych firmy Microsoft

Lokalna brama danych obsługuje uaktualnienie w miejscu i przejęcie ustawień istniejących bram.

Krok 2. Uzyskiwanie uprawnień administratora domeny do konfigurowania nazw SPN (SetSPN) i ograniczonych ustawień delegowania protokołu Kerberos

Aby skonfigurować nazwy SPN i ustawienia delegowania protokołu Kerberos, administrator domeny powinien unikać udzielania praw do osoby, która nie ma uprawnień administratora domeny. W poniższej sekcji bardziej szczegółowo omówiono zalecane kroki konfiguracji.

Krok 3. Konfigurowanie konta usługi bramy

Opcja Poniżej jest wymagana konfiguracja, chyba że masz skonfigurowaną Połączenie firmy Microsoft, a konta użytkowników są synchronizowane. W takim przypadku zalecana jest opcja B.

Opcja A: Uruchom usługę bramy systemu Windows jako konto domeny z nazwą SPN

W standardowej instalacji brama jest uruchamiana jako konto usługi lokalnej komputera NT Service\PBIEgwService.

Konto usługi lokalnej komputera

Aby włączyć ograniczone delegowanie protokołu Kerberos, brama musi działać jako konto domeny, chyba że wystąpienie usługi Microsoft Entra jest już zsynchronizowane z lokalnym wystąpieniem usługi Active Directory (przy użyciu narzędzia Microsoft Entra DirSync/Połączenie). Aby przełączyć się na konto domeny, zobacz Zmienianie konta usługi bramy.

Konfigurowanie nazwy SPN dla konta usługi bramy

Najpierw określ, czy nazwa SPN została już utworzona dla konta domeny używanego jako konto usługi bramy:

  1. Jako administrator domeny uruchom przystawkę Użytkownicy i komputery usługi Active Directory Microsoft Management Console (MMC).

  2. W okienku po lewej stronie kliknij prawym przyciskiem myszy nazwę domeny, wybierz pozycję Znajdź, a następnie wprowadź nazwę konta usługi bramy.

  3. W wynikach wyszukiwania kliknij prawym przyciskiem myszy konto usługi bramy i wybierz polecenie Właściwości.

  4. Jeśli karta Delegowanie jest widoczna w oknie dialogowym Właściwości, nazwa SPN została już utworzona i możesz przejść do sekcji Konfigurowanie ograniczonego delegowania protokołu Kerberos.

  5. Jeśli w oknie dialogowym Właściwości nie ma karty Delegowanie, możesz ręcznie utworzyć nazwę SPN na koncie, aby ją włączyć. Użyj narzędzia setspn dostarczanego z systemem Windows (aby utworzyć nazwę SPN, musisz mieć uprawnienia administratora domeny).

    Załóżmy na przykład, że konto usługi bramy to Contoso\GatewaySvc , a usługa bramy jest uruchomiona na maszynie o nazwie MyGatewayMachine. Aby ustawić nazwę SPN dla konta usługi bramy, uruchom następujące polecenie:

    setspn -S gateway/MyGatewayMachine Contoso\GatewaySvc

    Nazwę SPN można również ustawić przy użyciu przystawki programu MMC Użytkownicy i komputery usługi Active Directory.

Opcja B: Konfigurowanie komputera dla Połączenie firmy Microsoft

Jeśli skonfigurowano Połączenie firmy Microsoft, a konta użytkowników są synchronizowane, usługa bramy nie musi wykonywać lokalnych odnośników microsoft Entra w czasie wykonywania. Zamiast tego możesz po prostu użyć identyfikatora SID usługi lokalnej dla usługi bramy, aby ukończyć całą wymaganą konfigurację w usłudze Microsoft Entra ID. Kroki konfiguracji ograniczonego delegowania protokołu Kerberos opisane w tym artykule są takie same jak kroki konfiguracji wymagane w kontekście microsoft Entra. Są one stosowane do obiektu komputera bramy (zidentyfikowanego przez identyfikator SID usługi lokalnej) w identyfikatorze Entra firmy Microsoft zamiast konta domeny. Identyfikator SID usługi lokalnej dla usługi NT SERVICE/PBIEgwService jest następujący:

S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079

Aby utworzyć nazwę SPN dla tego identyfikatora SID na komputerze usługi Power BI Gateway, należy uruchomić następujące polecenie z wiersza polecenia administracyjnego (zastąp <COMPUTERNAME> ciąg nazwą komputera usługi Power BI Gateway):

SetSPN -s HTTP/S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079 <COMPUTERNAME>

Uwaga

W zależności od ustawień zabezpieczeń lokalnych może być konieczne dodanie konta usługi bramy NT SERVICE\PBIEgwService do lokalnej grupy Administracja istratorów na maszynie bramy, a następnie ponownie uruchomić usługę bramy w aplikacji bramy. Ta opcja nie jest obsługiwana w scenariuszach z wieloma bramami, ponieważ usługa Active Directory wymusza unikatowe nazwy SPN w całym lesie. W przypadku tych scenariuszy należy użyć opcji A .

Krok 4. Konfigurowanie ograniczonego delegowania protokołu Kerberos

Możesz skonfigurować ustawienia delegowania dla standardowego ograniczonego delegowania Kerberos lub ograniczonego delegowania kerberos opartego na zasobach. Aby uzyskać więcej informacji na temat różnic między dwoma podejściami do delegowania, zobacz Omówienie ograniczonego delegowania protokołu Kerberos.

Wymagane są następujące konta usług:

  • Konto usługi bramy: użytkownik usługi reprezentujący bramę w usłudze Active Directory z nazwą SPN skonfigurowaną w kroku 3.
  • Konto usługi Źródła danych: użytkownik usługi reprezentujący źródło danych w usłudze Active Directory z nazwą SPN zamapowany na źródło danych.

Uwaga

Konta usługi bramy i źródła danych muszą być oddzielne. Nie można użyć tego samego konta usługi do reprezentowania zarówno bramy, jak i źródła danych.

W zależności od tego, którego podejścia chcesz użyć, przejdź do jednej z poniższych sekcji. Nie dokończ obu sekcji:

Opcja A: Ograniczone delegowanie protokołu Kerberos w warstwie Standardowa

Teraz ustawimy ustawienia delegowania dla konta usługi bramy. Istnieje wiele narzędzi, których można użyć do wykonania tych kroków. W tym miejscu użyjemy przystawki programu MMC Użytkownicy i komputery usługi Active Directory do administrowania i publikowania informacji w katalogu. Jest ona domyślnie dostępna na kontrolerach domeny; na innych maszynach można ją włączyć za pomocą konfiguracji funkcji systemu Windows.

Musimy skonfigurować ograniczone delegowanie protokołu Kerberos z przejściem protokołu. W przypadku ograniczonego delegowania należy jawnie określać usługi, do których bramy można prezentować delegowane poświadczenia. Na przykład tylko program SQL Server lub serwer SAP HANA akceptuje wywołania delegowania z konta usługi bramy.

W tej sekcji założono, że nazwy SPN zostały już skonfigurowane dla bazowych źródeł danych (takich jak SQL Server, SAP HANA, SAP BW, Teradata lub Spark). Aby dowiedzieć się, jak skonfigurować nazwy SPN serwera źródła danych, zapoznaj się z dokumentacją techniczną odpowiedniego serwera bazy danych i zobacz sekcję What SPN does your app require? (Jaka nazwa SPN wymaga twojej aplikacji? ) w wpisie w blogu My Kerberos Checklist (Moja lista kontrolna protokołu Kerberos).

W poniższych krokach przyjęto założenie, że środowisko lokalne z dwoma maszynami w tej samej domenie: maszyną bramy i serwerem bazy danych z uruchomionym programem SQL Server, który został już skonfigurowany do logowania jednokrotnego opartego na protokole Kerberos. Kroki te można zastosować dla jednego z innych obsługiwanych źródeł danych, o ile źródło danych zostało już skonfigurowane na potrzeby logowania jednokrotnego opartego na protokole Kerberos. W tym przykładzie użyjemy następujących ustawień:

  • domena usługi Active Directory (Netbios): Contoso
  • Nazwa maszyny bramy: MyGatewayMachine
  • Konto usługi bramy: Contoso\GatewaySvc
  • Nazwa maszyny źródła danych programu SQL Server: TestSQLServer
  • Konto usługi źródła danych programu SQL Server: Contoso\SQLService

Poniżej przedstawiono sposób konfigurowania ustawień delegowania:

  1. Przy użyciu uprawnień administratora domeny otwórz przystawkę programu MMC Użytkownicy i komputery usługi Active Directory.

  2. Kliknij prawym przyciskiem myszy konto usługi bramy (Contoso\GatewaySvc), a następnie wybierz pozycję Właściwości.

  3. Wybierz kartę Delegowanie .

  4. Wybierz pozycję Ufaj temu komputerowi, aby delegowanie do określonych usług używało tylko>dowolnego protokołu uwierzytelniania.

  5. W obszarze Usługi, do których to konto może prezentować delegowane poświadczenia, wybierz pozycję Dodaj.

  6. W nowym oknie dialogowym wybierz pozycję Użytkownicy lub komputery.

  7. Wprowadź konto usługi dla źródła danych, a następnie wybierz przycisk OK.

    Na przykład źródło danych programu SQL Server może mieć konto usługi, takie jak Contoso\SQLService. Odpowiednia nazwa SPN dla źródła danych powinna być już ustawiona na tym koncie.

  8. Wybierz nazwę SPN utworzoną dla serwera bazy danych.

    W naszym przykładzie nazwa SPN zaczyna się od MSSQLSvc. Jeśli dodano zarówno nazwę FQDN, jak i nazwę SPN NetBIOS dla usługi bazy danych, wybierz obie. Może zostać wyświetlony tylko jeden.

  9. Wybierz przycisk OK.

    Nazwa SPN powinna być teraz widoczna na liście usług, do których konto usługi bramy może przedstawiać delegowane poświadczenia.

    Okno dialogowe Właściwości Połączenie or bramy

  10. Aby kontynuować proces instalacji, przejdź do sekcji Udzielanie praw zasad lokalnych konta usługi bramy na maszynie bramy.

Opcja B: ograniczone delegowanie kerberos oparte na zasobach

Ograniczone delegowanie Kerberos oparte na zasobach umożliwia łączność logowania jednokrotnego dla systemu Windows Server 2012 i nowszych wersji. Ten typ delegowania pozwala usługom frontonu i zaplecza znajdować się w różnych domenach. Aby działało, domena usługi zaplecza musi ufać domenie usługi frontonu.

W poniższych krokach założono, że środowisko lokalne z dwoma maszynami w różnych domenach: maszyną bramy i serwerem bazy danych z uruchomionym programem SQL Server, który został już skonfigurowany na potrzeby logowania jednokrotnego opartego na protokole Kerberos. Te kroki można zastosować dla jednego z innych obsługiwanych źródeł danych, o ile źródło danych zostało już skonfigurowane na potrzeby logowania jednokrotnego opartego na protokole Kerberos. W tym przykładzie użyjemy następujących ustawień:

  • Domena frontonu usługi Active Directory (Netbios): ContosoFrontEnd
  • Domena zaplecza usługi Active Directory (Netbios): ContosoBackEnd
  • Nazwa maszyny bramy: MyGatewayMachine
  • Konto usługi bramy: ContosoFrontEnd\GatewaySvc
  • Nazwa maszyny źródła danych programu SQL Server: TestSQLServer
  • Konto usługi źródła danych programu SQL Server: ContosoBackEnd\SQLService

Wykonaj następujące kroki konfiguracji:

  1. Użyj przystawki programu MMC Użytkownicy i komputery usługi Active Directory na kontrolerze domeny dla domeny ContosoFrontEnd i sprawdź, czy dla konta usługi bramy nie są stosowane żadne ustawienia delegowania.

    Właściwości łącznika bramy

  2. Użyj Użytkownicy i komputery usługi Active Directory na kontrolerze domeny contosoBackEnd i sprawdź, czy dla konta usługi zaplecza nie są stosowane żadne ustawienia delegowania.

    Właściwości usługi SQL

  3. Na karcie Edytor atrybutów właściwości konta sprawdź, czy atrybut msDS-AllowedToActOnBehalfOfOtherIdentity nie jest ustawiony.

    Atrybuty usługi SQL

  4. W Użytkownicy i komputery usługi Active Directory utwórz grupę na kontrolerze domeny dla domeny ContosoBackEnd. Dodaj konto usługi bramy GatewaySvc do grupy ResourceDelGroup.

    Aby dodać użytkowników z zaufanej domeny, ta grupa musi mieć zakres Domeny lokalnej. Właściwości grupy

  5. Otwórz wiersz polecenia i uruchom następujące polecenia w kontrolerze domeny ContosoBackEnd , aby zaktualizować atrybut msDS-AllowedToActOnBehalfOfOtherIdentity konta usługi zaplecza:

    $c = Get-ADGroup ResourceDelGroup
Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c

  6. W Użytkownicy i komputery usługi Active Directory sprawdź, czy aktualizacja została odzwierciedlona na karcie Edytor atrybutów we właściwościach konta usługi zaplecza.

Krok 5. Włączanie szyfrowania AES na kontach usług

Zastosuj następujące ustawienia do konta usługi bramy i każdego konta usługi źródła danych, do którego brama może delegować:

Uwaga

Jeśli istnieją typy entypów zdefiniowane na kontach usług, skontaktuj się z Administracja istratorem usługi Active Directory, ponieważ poniższe kroki zastąpią istniejące wartości typów entypes i mogą przerwać klientów.

  1. Przy użyciu uprawnień administratora domeny otwórz przystawkę programu MMC Użytkownicy i komputery usługi Active Directory.

  2. Kliknij prawym przyciskiem myszy konto usługi bramy/źródła danych i wybierz pozycję Właściwości.

  3. Wybierz kartę Konto.

  4. W obszarze Opcje konta włącz co najmniej jedną (lub obie) następujące opcje. Należy pamiętać, że dla wszystkich kont usług należy włączyć te same opcje.

    • To konto obsługuje szyfrowanie 128-bitowe kerberos AES
    • To konto obsługuje szyfrowanie 256-bitowe protokołu Kerberos AES

Uwaga

Jeśli nie masz pewności, który schemat szyfrowania ma być używany, skontaktuj się z Administracja istratorem usługi Active Directory.

Krok 6. Udzielanie praw zasad lokalnych konta usługi bramy na maszynie bramy

Na koniec na maszynie z uruchomioną usługą bramy (MyGatewayMachine w naszym przykładzie) przyznaj konto usługi bramy konto usługi lokalnej Personifikuj klienta po uwierzytelnieniu i Działanie w ramach systemu operacyjnego (SeTcbPrivilege). Wykonaj tę konfigurację za pomocą Edytora lokalnych zasad grupy (gpedit.msc).

  1. Na maszynie bramy uruchom polecenie gpedit.msc.

  2. Przejdź do pozycji Konfiguracja komputera lokalnego Konfiguracja>komputera>Windows Ustawienia> Zabezpieczenia Ustawienia> Lokalne zasady>Przypisywanie praw użytkownika.

    Struktura folderów Zasady komputera lokalnego

  3. W obszarze Przypisywanie praw użytkownika z listy zasad wybierz pozycję Personifikuj klienta po uwierzytelnieniu.

    Personifikuj zasady klienta

  4. Kliknij prawym przyciskiem myszy zasady, otwórz polecenie Właściwości, a następnie wyświetl listę kont.

    Lista musi zawierać konto usługi bramy (Contoso\GatewaySvc lub ContosoFrontEnd\GatewaySvc w zależności od typu ograniczonego delegowania).

  5. W obszarze Przypisywanie praw użytkownika wybierz pozycję Ustaw jako część systemu operacyjnego (SeTcbPrivilege) z listy zasad. Upewnij się, że konto usługi bramy znajduje się na liście kont.

  6. Uruchom ponownie proces lokalnej bramy danych.

Krok 7. Konto systemu Windows może uzyskać dostęp do maszyny bramy

Logowanie jednokrotne korzysta z uwierzytelniania systemu Windows, dlatego upewnij się, że konto systemu Windows może uzyskać dostęp do maszyny bramy. Jeśli nie masz pewności, dodaj nt-AUTHORITY\Uwierzytelnieni użytkownicy (S-1-5-11) do grupy "Użytkownicy" komputera lokalnego.

Sekcja 2. Konfiguracja specyficzna dla środowiska

Dodawanie konta usługi bramy do grupy autoryzacji i dostępu systemu Windows

Wykonaj tę sekcję, jeśli ma zastosowanie dowolna z następujących sytuacji:

  • Środowisko usługi Active Directory jest ze wzmocnionym zabezpieczeniami.
  • Gdy konto usługi bramy i konta użytkowników, które brama będzie personifikować, znajdują się w oddzielnych domenach lub lasach.

Możesz również dodać konto usługi bramy do grupy autoryzacji systemu Windows i dostępu w sytuacjach, gdy domena/las nie została wzmocniona, ale nie jest wymagana.

Aby uzyskać więcej informacji, zobacz Autoryzacja systemu Windows i grupa dostępu.

Aby ukończyć ten krok konfiguracji, dla każdej domeny zawierającej użytkowników usługi Active Directory, których konto usługi bramy ma mieć możliwość personifikacji:

  1. Zaloguj się do komputera w domenie i uruchom przystawkę programu MMC Użytkownicy i komputery usługi Active Directory.
  2. Znajdź grupę Autoryzacja systemu Windows i Grupa dostępu, która jest zwykle znajdowana w kontenerze Builtin.
  3. Kliknij dwukrotnie grupę, a następnie kliknij kartę Członkowie .
  4. Kliknij przycisk Dodaj i zmień lokalizację domeny na domenę, w którym znajduje się konto usługi bramy.
  5. Wpisz nazwę konta usługi bramy i kliknij pozycję Sprawdź nazwy , aby sprawdzić, czy konto usługi bramy jest dostępne.
  6. Kliknij przycisk OK.
  7. Kliknij Zastosuj.
  8. Uruchom ponownie usługę bramy.

Ustawianie parametrów konfiguracji mapowania użytkownika na maszynie bramy

Wykonaj tę sekcję, jeśli:

  • Nie masz Połączenie firmy Microsoft ze skonfigurowaną synchronizacją konta użytkownika AND
  • Nazwa UPN używana w usłudze Power BI dla użytkowników nie jest zgodna z nazwą UPN w lokalnym środowisku usługi Active Directory.

Każdy użytkownik usługi Active Directory mapowany w ten sposób musi mieć uprawnienia logowania jednokrotnego dla źródła danych.

  1. Otwórz główny plik konfiguracji bramy, Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll. Domyślnie ten plik jest przechowywany w lokalizacji C:\Program Files\On-premises data gateway.

  2. Ustaw właściwość ADUserNameLookupProperty na nieużywany atrybut usługi Active Directory. Użyjemy msDS-cloudExtensionAttribute1 poniższych kroków. Ten atrybut jest dostępny tylko w systemie Windows Server 2012 lub nowszym.

  3. Ustaw wartość ADUserNameReplacementProperty , SAMAccountName a następnie zapisz plik konfiguracji.

    Uwaga

    W scenariuszach obejmujących wiele domen może być konieczne ustawienie właściwości ADUserNameReplacementProperty w celu userPrincipalName zachowania informacji o domenie użytkownika.

  4. Na karcie Usługi Menedżera zadań kliknij prawym przyciskiem myszy usługę bramy i wybierz polecenie Uruchom ponownie.

    Zrzut ekranu przedstawiający kartę Usługi Menedżera zadań

  5. Dla każdego użytkownika usługa Power BI, dla którego chcesz włączyć logowanie jednokrotne protokołu Kerberos, ustaw msDS-cloudExtensionAttribute1 właściwość lokalnego użytkownika usługi Active Directory (z uprawnieniem logowania jednokrotnego do źródła danych) na pełną nazwę użytkownika (UPN) użytkownika usługa Power BI. Jeśli na przykład zalogujesz się do usługa Power BI jako test@contoso.com i chcesz zamapować tego użytkownika na lokalnego użytkownika usługi Active Directory z uprawnieniami logowania jednokrotnego, na przykład test@LOCALDOMAIN.COM, ustaw atrybut tego użytkownika msDS-cloudExtensionAttribute1 na test@contoso.com.

    Właściwość można ustawić msDS-cloudExtensionAttribute1 za pomocą przystawki programu MMC Użytkownicy i komputery usługi Active Directory:

    1. Jako administrator domeny uruchom Użytkownicy i komputery usługi Active Directory.

    2. Kliknij prawym przyciskiem myszy nazwę domeny, wybierz pozycję Znajdź, a następnie wprowadź nazwę konta lokalnego użytkownika usługi Active Directory do mapowania.

    3. Wybierz kartę Edytor atrybutów.

      msDS-cloudExtensionAttribute1 Znajdź właściwość i kliknij ją dwukrotnie. Ustaw wartość na pełną nazwę użytkownika (UPN) użytkownika, którego używasz do logowania się do usługa Power BI.

    4. Wybierz przycisk OK.

      Okno Edytor atrybutów ciągu

    5. Wybierz Zastosuj. Sprawdź, czy poprawna wartość została ustawiona w kolumnie Wartość .

Wykonywanie kroków konfiguracji specyficznych dla źródła danych

W przypadku źródeł danych SAP HANA, SAP BW i Teradata wymagana jest dodatkowa konfiguracja do użycia z logowaniem jednokrotnym bramy:

Uwaga

Mimo że inne biblioteki SNC mogą również działać w przypadku logowania jednokrotnego BW, nie są one oficjalnie obsługiwane przez firmę Microsoft.

Sekcja 3. Weryfikowanie konfiguracji

Krok 1. Konfigurowanie źródeł danych w usłudze Power BI

Po wykonaniu wszystkich kroków konfiguracji użyj strony Zarządzanie bramą w usłudze Power BI, aby skonfigurować źródło danych do użycia na potrzeby logowania jednokrotnego. Jeśli masz wiele bram, upewnij się, że wybrano bramę skonfigurowaną na potrzeby logowania jednokrotnego protokołu Kerberos. Następnie w obszarze Ustawienia dla źródła danych upewnij się, że użyj logowania jednokrotnego za pośrednictwem protokołu Kerberos dla zapytań DirectQuery lub Użyj logowania jednokrotnego za pośrednictwem protokołu Kerberos w przypadku zapytań DirectQuery i importuj jest sprawdzana w przypadku raportów opartych na zapytaniach directQuery i użyj logowania jednokrotnego za pośrednictwem protokołu Kerberos dla zapytań DirectQuery i importowania jest sprawdzana pod kątem raportów opartych na importach.

Zrzut ekranu przedstawiający dodawanie ustawień logowania jednokrotnego.

Ustawienia Użyj logowania jednokrotnego za pośrednictwem protokołu Kerberos dla zapytań DirectQuery i użyj logowania jednokrotnego za pośrednictwem protokołu Kerberos w przypadku zapytań DirectQuery i importuj, zapewniają inne zachowanie w przypadku raportów opartych na zapytaniach bezpośrednich i raportów opartych na importach.

Użyj logowania jednokrotnego za pośrednictwem protokołu Kerberos dla zapytań DirectQuery:

  • W przypadku raportu opartego na trybie DirectQuery używane są poświadczenia logowania jednokrotnego użytkownika.
  • W przypadku raportu opartego na importowaniu poświadczenia logowania jednokrotnego nie są używane, ale używane są poświadczenia wprowadzone na stronie źródła danych.

Użyj logowania jednokrotnego za pośrednictwem protokołu Kerberos dla zapytań DirectQuery i importuj:

  • W przypadku raportu opartego na trybie DirectQuery używane są poświadczenia logowania jednokrotnego użytkownika.
  • W przypadku raportu opartego na importowaniu używane są poświadczenia logowania jednokrotnego właściciela modelu semantycznego, niezależnie od użytkownika wyzwalającego import.

Krok 2. Testowanie logowania jednokrotnego

Przejdź do sekcji Testowanie konfiguracji logowania jednokrotnego ( SSO), aby szybko sprawdzić, czy konfiguracja jest poprawnie ustawiona i rozwiązywać typowe problemy.

Krok 3. Uruchamianie raportu usługi Power BI

Po opublikowaniu wybierz bramę skonfigurowaną pod kątem logowania jednokrotnego, jeśli masz wiele bram.

Powiązana zawartość

Aby uzyskać więcej informacji na temat lokalnej bramy danych i trybu DirectQuery, zobacz następujące zasoby: