Introdução
Para inserir conteúdo do Power BI no seu aplicativo, você deve desenvolver o aplicativo para adquirir um token de acesso. O tipo de fluxo de autenticação (e token de acesso) depende do cenário de inserção.
Observação
Para saber mais sobre cenários de inserção, estude o módulo Selecionar um produto de análise integrada do Power BI.
Quando você usa qualquer um dos cenários, seu aplicativo deve adquirir um token do Azure AD. Um token do Azure AD contém declarações para identificar as permissões concedidas à API REST do Power BI. Ele tem um tempo de expiração, que normalmente é de uma hora. Um token válido do Azure AD deve estar presente em todas as operações de API.
Usar um fluxo de autenticação interativo
Para adquirir um token do Azure AD para o cenário Para sua organização, o aplicativo usa um fluxo de autenticação interativo. Um fluxo de autenticação interativo significa que o Azure AD pode solicitar que o usuário entre usando o nome de usuário e senha dele e (possivelmente) usando a MFA (autenticação multifator). O Azure AD também pode solicitar que o usuário conceda mais consentimento aos recursos (necessários ao entrar pela primeira vez no aplicativo).
Observação
Quando o aplicativo habilita o uso do SSO (logon único), os usuários não precisam entrar sempre que o usam. O processo de autenticação armazenará credenciais em cache em um cookie de sessão quando o usuário se autenticar pela primeira vez e o aplicativo poderá usar essas credenciais armazenadas em cache até que elas expirem, o que, por padrão, é após 90 dias.
Depois de adquirido, seu aplicativo deve armazenar em cache o token do Azure AD. Em seguida, o aplicativo o usará para inserir conteúdo do Power BI com o qual o usuário tem permissão para trabalhar.
O vídeo a seguir demonstra o uso de um fluxo de autenticação interativo.
Você aprenderá a adquirir tokens do Azure AD na unidade 3.
Usar um fluxo de autenticação não interativo
Para adquirir um token do Azure AD para o cenário Para seus clientes, o aplicativo usa um fluxo de autenticação não interativo. Os usuários do aplicativo não precisam ter uma conta do Power BI e, mesmo quando tiverem, elas não são usadas. Uma identidade dedicada do Azure AD, conhecida como identidade de inserção, é autenticada com o Azure AD. Uma identidade de inserção pode ser uma entidade de serviço ou uma conta de usuário mestre.
Um fluxo de autenticação não interativo também é conhecido como autenticação silenciosa. Ele tenta adquirir um token do Azure de uma maneira em que o serviço de autenticação não pode solicitar informações adicionais ao usuário. Depois que o usuário do aplicativo se autentica com seu aplicativo (o aplicativo pode usar qualquer método de autenticação escolhido), o aplicativo usa a identidade de inserção para adquirir um token do Azure AD usando um fluxo de autenticação não interativo.
Depois que seu aplicativo adquire um token do Azure AD, ele o armazena em cache e o usa para gerar um token de inserção. Um token de inserção representa fatos sobre conteúdo do Power BI e como acessá-los.
Especificamente, um token de inserção descreve:
- Declarações para conteúdo do Power BI específico.
- Nível de acesso, que você define para exibir, criar ou editar. (Os níveis de criação e edição se aplicam somente a relatórios do Power BI.)
- Tempo de vida do token, que determina quando o token expira.
- Opcionalmente, uma declaração para um espaço de trabalho de destino para salvar novos relatórios.
- Opcionalmente, uma ou mais identidades eficazes para que o Power BI possa impor permissões de dados.
Observação
Para saber sobre identidades eficazes, estude o módulo Impor permissões de dados para a análise integrada do Power BI.
Assista ao vídeo a seguir que demonstra o uso de um fluxo de autenticação não interativo.
Você aprenderá a adquirir tokens de inserção na unidade 3.
Usar uma entidade de serviço
Seu aplicativo pode usar uma entidade de serviço para adquirir um token do Azure AD. Uma entidade de serviço do Azure é uma identidade de segurança usada por aplicativos. Ela define a política de acesso e as permissões para o aplicativo no locatário do Azure AD, habilitando recursos principais, como autenticação do aplicativo durante a entrada e autorização durante o acesso a recursos. Uma entidade de serviço pode se autenticar usando um certificado ou segredo do aplicativo. Recomendamos que você proteja as entidades de serviço usando certificados para seus aplicativos de produção, em vez de chaves secretas, porque elas são mais seguras.
Quando a identidade de inserção do seu aplicativo é uma entidade de serviço, um administrador de locatário do Power BI deve primeiro:
- Habilitar o uso de entidades de serviço.
- Registrar um grupo de segurança que as contenha.
A imagem a seguir mostra as Configurações do desenvolvedor (encontradas nas configurações de locatário do portal de administração) em que um administrador do Power BI pode permitir que as entidades de serviço usem APIs do Power BI.
Importante
Quando um administrador permite o uso da entidade de serviço com o Power BI, as permissões do Azure AD do aplicativo não têm mais efeito. A partir daí, os administradores gerenciam as permissões do aplicativo no portal de administração do Power BI.
No Power BI, a entidade de serviço deve pertencer à função de administrador ou membro do espaço de trabalho para inserir o conteúdo do espaço de trabalho. Somente novos espaços de trabalho dão suporte a atribuições de função a uma entidade de serviço e não há suporte para espaços de trabalho pessoais.
Observação
Não é possível entrar no serviço do Power BI usando uma entidade de serviço.
Para obter mais informações, consulte:
- Objetos de aplicativo e entidade de serviço no Azure Active Directory (objeto de entidade de serviço).
- Conteúdo inserido do Power BI com a entidade de serviço e um certificado
Usar uma conta de usuário mestre
Seu aplicativo pode usar uma conta de usuário mestre para adquirir um token do AD. Uma conta de usuário mestre é um usuário regular do Azure AD. No Power BI, a conta deve pertencer à função de administrador ou membro do espaço de trabalho para inserir o conteúdo do espaço de trabalho. Ela também deve ter uma licença Power BI Pro ou Power BI PPU (Premium por usuário).
Observação
Não é possível usar uma conta de usuário mestre para inserir relatórios paginados.
Comparar tipos de identidade de inserção
É recomendável usar uma entidade de serviço para aplicativos de produção. Ela fornece a maior segurança e, por esse motivo, é a abordagem recomendada pelo Azure AD. Além disso, dá suporte a uma melhor automação e escala e há menos sobrecarga de gerenciamento. No entanto, ela requer direitos de administrador do Power BI para configuração e gerenciamento.
Você pode considerar o uso de uma conta de usuário mestre para aplicativos de teste ou desenvolvimento. É fácil de configurar e pode entrar no serviço do Power BI para ajudar a solucionar problemas. No entanto, há um custo associado porque ela requer uma licença Power BI Pro ou PPU. Além disso, uma conta de usuário mestre não pode exigir MFA.
Em resumo, a tabela a seguir compara os dois tipos de identidade de inserção.
| Item | Entidade de serviço | Conta de usuário mestre |
|---|---|---|
| Tipo de objeto do Azure AD | Entidade de serviço | Usuário |
| Gerenciamento de credenciais | Usar segredos ou certificados com rotação periódica | Fazer atualizações de senha frequentes |
| Configurações de locatário do Power BI | Um administrador do Power BI precisa permitir o uso de entidades de serviço. Recomendamos que as entidades de serviço pertençam a um grupo de segurança dedicado | Não aplicável |
| Uso da API REST do Power BI | Não há suporte para algumas operações de administrador e fluxos de dados; você pode habilitar a autenticação da entidade de serviço para APIs de administrador somente leitura. | Todas as operações têm suporte |
| Entrada no serviço do Power BI | Sem suporte | Com suporte |
| Licenciamento | Não é necessária | Power BI Pro ou PPU |
| Recomendação do Azure AD | Recomendado (especialmente para aplicativos de produção) | Não recomendado (mas pode ser adequado para aplicativos de teste ou desenvolvimento) |
| Informações adicionais | Não é possível exigir MFA; Não é possível inserir relatórios paginados |