Compartilhar via

Usar o Proxy de Aplicativo Web e os Serviços de Federação do Active Directory – Servidor de Relatórios do Power BI

Este artigo descreve como usar o WAP (Proxy de Aplicativo Web) e os AD FS (Serviços de Federação do Active Directory) para se conectar ao Servidor de Relatórios do Power BI e ao SSRS (SQL Server Reporting Services) 2016 e posterior. Por meio dessa integração, os usuários que estiverem fora da rede corporativa podem acessar o Servidor de Relatórios do Power BI e os relatórios do Reporting Services em seus navegadores clientes e serão protegidos pela pré-autenticação dos AD FS. Para os aplicativos móveis do Power BI, confira também Conectar-se ao Servidor de Relatórios de aplicativos móveis do Power BI.

Observação

A partir de 1.º de março de 2025, o aplicativo Power BI Mobile não poderá mais se conectar ao Servidor de Relatórios usando o protocolo OAuth por meio do AD FS configurado no Windows Server 2016. Os clientes que usam o OAuth com o AD FS configurado no Windows Server 2016 e o WAP (Proxy de Aplicativo Web) precisarão atualizar seu servidor do AD FS para o Windows Server 2019 ou posterior, ou usar o proxy de aplicativo do Microsoft Entra. Após a atualização do Windows Server, talvez os usuários do aplicativo Power BI Mobile precisem entrar novamente no Servidor de Relatórios.

Essa atualização é necessária devido a uma alteração na biblioteca de autenticação usada pelo aplicativo móvel. A alteração não afeta de maneira nenhuma o suporte da Microsoft para o AD FS no Windows Server 2016, mas apenas a capacidade do aplicativo Power BI Mobile de se conectar a ele.

Observação

A configuração descrita nesse artigo não é mais o método preferencial de conexão ao Servidor de Relatórios do Power BI e ao SQL Server Reporting Services (SSRS) 2016 e posterior. Configure a conexão usando o proxy de aplicativo do Microsoft Entra, conforme descrito em Configurar o Servidor de Relatórios do Power BI com o proxy do aplicativo do Microsoft Entra

Pré-requisitos

Configuração DNS (Serviços de nomes de domínio)

  • Determine a URL pública à qual o usuário se conectará. Ela será semelhante a este exemplo: https://reports.contosolab.com.
  • Configure o registro DNS para o nome do host, reports.contosolab.com, por exemplo, para apontar para o endereço IP público do servidor WAP (Proxy de Aplicativo Web).
  • Configure um registro DNS público para seu servidor AD FS. Por exemplo, talvez você tenha configurado o servidor AD FS com a seguinte URL: https://adfs.contosolab.com.
  • Configure o registro DNS para apontar para o endereço IP público do servidor WAP (Proxy de Aplicativo Web), como adfs.contosolab.com, por exemplo. Ele é publicado como parte do aplicativo WAP.

Certificados

É necessário configurar certificados para o aplicativo WAP e para o servidor AD FS. Esses certificados devem fazer parte de uma autoridade de certificado válida que seus dispositivos reconheçam.

1. Configurar o servidor de relatório

Precisamos garantir que tenhamos um SPN (Nome da Entidade de Serviço) válido. O SPN válido permite que a autenticação Kerberos adequada ocorra e habilita o servidor de relatório para negociar a autenticação.

SPN (Nome da Entidade de Serviço)

O SPN é um identificador exclusivo para um serviço que usa a autenticação Kerberos. Certifique-se de ter um SPN HTTP apropriado presente para o servidor de relatório.

Para obter informações sobre como configurar o SPN (Nome da Entidade de Serviço) adequado para seu servidor de relatório, consulte Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatório.

Habilitando a autenticação do tipo negociar

Para habilitar um servidor de relatório para usar a autenticação Kerberos, é necessário configurar o Tipo de Autenticação do servidor de relatório para ser RSWindowsNegotiate. Configure-o no arquivo rsreportserver.config.

<AuthenticationTypes>

    <RSWindowsNegotiate />

    <RSWindowsNTLM />

</AuthenticationTypes>

Para obter mais informações, consulte Modify a Reporting Services Configuration File (Modificar um arquivo de configuração de serviços) e Configurar a Autenticação do Windows no servidor de relatório.

2. Configurar os Serviços de Federação do Active Directory (AD FS)

É necessário configurar o AD FS em um servidor do Windows em seu ambiente. A configuração pode ser feita por meio do Gerenciador do Servidor e selecionando Adicionar Funções e Recursos em Gerenciar. Para obter mais informações, consulte Serviços de Federação do Active Directory.

Importante

A partir de 1.º de março de 2025, os aplicativos Power BI Mobile não poderão mais se conectar ao Servidor de Relatórios por meio do AD FS configurado no Windows Server 2016. Confira a nota no início deste artigo.

Conclua estas etapas no servidor AD FS usando o aplicativo de Gerenciamento do AD FS.

  1. Clique com o botão direito do mouse em Confianças da Terceira Parte Confiável>Adicionar Confianças da Terceira Parte Confiável.

    Adicionar Confianças da Terceira Parte Confiável

  2. Siga as etapas do assistente Adicionar Objeto de Confiança de Terceira Parte Confiável.

    Escolha a opção Sem reconhecimento de declaração para usar a Segurança integrada do Windows como o mecanismo de autenticação.

    Bem-vindo ao assistente Adicionar Objeto de Confiança de Terceira Parte Confiável

    Informe o nome desejado em Especificar Nome para Exibição e selecione Avançar. Adicione o identificador do objeto de confiança de terceira parte confiável: <ADFS\_URL>/adfs/services/trust

    Por exemplo: https://adfs.contosolab.com/adfs/services/trust

    Servidor de relatório

    Escolha a Política de Controle de Acesso que atende às necessidades da sua organização e selecione Avançar.

    Escolha o controle de acesso

    Selecione Avançar e Concluir para terminar o assistente Adicionar Objeto de Confiança de Terceira Parte Confiável.

    Ao terminar, as propriedades de Confianças da Terceira Parte Confiável devem ser semelhantes às apresentadas a seguir.

    Confianças da Terceira Parte Confiável

3. Configurar o WAP (Proxy de Aplicativo Web)

Habilite a função do Windows Proxy do Aplicativo Web (Função) em um servidor no seu ambiente. Ele deve estar em um servidor Windows. Para obter mais informações, consulte Proxy de aplicativo Web no Windows Server e Publicar aplicativos usando pré-autenticação do AD FS.

Configurar a delegação restrita

Para fazer a transição da Autenticação de formulários para a autenticação do Windows, é necessário usar a delegação restrita com transição de protocolos. Essa etapa faz parte da configuração do Kerberos. Já definimos o SPN do servidor de relatório na configuração do servidor de relatório.

É necessário configurar a delegação restrita na conta do computador do servidor WAP dentro do Active Directory. Talvez seja necessário trabalhar com um administrador de domínio se você não tiver direitos no Active Directory.

Para configurar a delegação restrita, siga estas etapas.

  1. Em um computador com as ferramentas do Active Directory instaladas, abra Usuários e Computadores do Active Directory.

  2. Localize a conta do computador do servidor WAP. Por padrão, ela estará no contêiner Computadores.

  3. Clique com botão direito do mouse no servidor WAP e acesse Propriedades.

  4. Na guia Delegação, selecione Confiar no computador para delegação apenas a serviços especificados e Usar qualquer protocolo de autenticação.

    Confiar neste computador

  5. Esta opção configura a delegação restrita para essa conta do computador do servidor WAP. Em seguida, é necessário especificar os serviços aos quais este computador tem permissão para delegar.

  6. Selecione Adicionar na caixa de serviços.

    Adicionar objeto de confiança do AD FS

  7. Selecione Usuários ou Computadores.

  8. Informe a conta de serviço que você está usando para o servidor de relatórios. Essa conta é a mesma que você usou para adicionar o SPN HTTP na seção anterior configuração do servidor de relatório.

  9. Selecione o SPN HTTP para o servidor de relatório e selecione OK.

    Observação

    Você pode ver apenas o SPN NetBIOS. Na verdade, ele selecionará os SPNs NetBIOS e FQDN se ambos existirem.

  10. Ao marcar a caixa de seleção Expandido, o resultado deve ter a seguinte aparência.

    Propriedades WAP

Adicionar aplicativo WAP

  1. No servidor Proxy de Aplicativo Web, abra o console Gerenciamento de Acesso Remoto e selecione Proxy de Aplicativo Web no painel de Navegação.

  2. No painel Tarefas, selecionePublicar.

  3. Sobre o boas-vindas página, selecione próxima.

    Bem-vindo à publicação

  4. Na página Pré-autenticação, selecione Serviços de Federação do Active Directory (AD FS) e Avançar.

    Pré-autorização

  5. Selecione a pré-autenticação Web e MSOFBA, pois vamos configurar apenas o acesso do navegador ao servidor de relatório e não o acesso ao aplicativo móvel.

    Clientes com suporte

  6. Adicione a Terceira Parte Confiável que criamos no servidor de AD FS, como mostrado abaixo, e depois selecione Avançar.

    Publicação de Terceira Parte Confiável

  7. Na seção URL Externa, coloque a URL publicamente acessível configurada no servidor WAP. Adicione a URL configurada com o servidor de relatório (Configuration Manager do servidor de relatório), como mostrado abaixo na seção URL do Servidor Back-end. Adicione o SPN do servidor de relatório na seção SPN do servidor back-end.

    Configurações de publicação

  8. Selecione Avançar e Publicar.

  9. Execute o comando PowerShell a seguir para validar a configuração WAP.

    Get-WebApplicationProxyApplication -Name "PBIRSWAP" | FL

    Comando do PowerShell

Conectar-se ao servidor de relatório por meio do navegador

Em seguida, você pode acessar a URL do WAP público, por exemplo, https://reports.contosolab.com/ReportServer para o serviço Web e https://reports.contosolab.com/Reports para o portal da Web do navegador. Depois de ser autenticado com êxito, você poderá visualizar os relatórios.

Entrada do AD FS

Conteúdo relacionado

Mais perguntas? Experimente perguntar à Comunidade do Power BI