Introdução
Para incorporar conteúdos do Power BI na sua aplicação, tem de desenvolver a aplicação para adquirir um token de acesso. O tipo de fluxo de autenticação (e token de acesso) depende do cenário de incorporação.
Nota
Para saber mais sobre cenários de incorporação, veja o módulo Selecionar um produto de análise incorporado do Power BI .
Quando utiliza qualquer um dos cenários, a aplicação tem de adquirir um token de Azure AD. Um token de Azure AD contém afirmações para identificar as permissões concedidas à API REST do Power BI. Tem um tempo de expiração, que normalmente é de uma hora. Um token de Azure AD válido tem de estar presente em todas as operações da API.
Utilizar um fluxo de autenticação interativo
Para adquirir um token de Azure AD para o cenário Para a sua organização, a aplicação utiliza um fluxo de autenticação interativo. Um fluxo de autenticação interativo significa que Azure AD podem pedir ao utilizador para iniciar sessão com o nome de utilizador e a palavra-passe e (possivelmente) através da autenticação multifator (MFA). Azure AD também pode pedir ao utilizador que conceda mais consentimento aos recursos (necessários ao iniciar sessão pela primeira vez na aplicação).
Nota
Quando a aplicação ativa a utilização do início de sessão único (SSO), os utilizadores não têm de iniciar sessão sempre que a utilizarem. O processo de autenticação coloca as credenciais em cache num cookie de sessão quando o utilizador autentica pela primeira vez e a aplicação pode utilizar estas credenciais em cache até expirarem, ou seja, após 90 dias por predefinição.
Depois de adquirida, a sua aplicação deve colocar em cache o token de Azure AD. Em seguida, a aplicação irá utilizá-la para incorporar conteúdos do Power BI com os quais o utilizador tem permissão para trabalhar.
O vídeo seguinte demonstra a utilização de um fluxo de autenticação interativo.
Irá aprender a adquirir tokens de Azure AD na unidade 3.
Utilizar um fluxo de autenticação não interativo
Para adquirir um token de Azure AD para o cenário Para os seus clientes, a aplicação utiliza um fluxo de autenticação não interativo. Os utilizadores de aplicações não são obrigados a ter uma conta do Power BI e, mesmo quando o fazem, essas contas não são utilizadas. Uma identidade de Azure AD dedicada, conhecida como identidade de incorporação, autentica-se com Azure AD. Uma identidade de incorporação pode ser um principal de serviço ou uma conta de utilizador principal.
Um fluxo de autenticação não interativo também é conhecido como autenticação silenciosa. Tenta adquirir um token do Azure de forma a que o serviço de autenticação não possa pedir informações adicionais ao utilizador. Assim que o utilizador da aplicação se autenticar com a sua aplicação (a aplicação pode utilizar qualquer método de autenticação que escolher), a aplicação utiliza a identidade de incorporação para adquirir um token de Azure AD através de um fluxo de autenticação não interativo.
Assim que a sua aplicação adquirir um token de Azure AD, este coloca em cache e, em seguida, utiliza-o para gerar um token de incorporação. Um token de incorporação representa factos sobre o conteúdo do Power BI e como aceder aos mesmos.
Especificamente, um token de incorporação descreve:
- Afirmações a conteúdos específicos do Power BI.
- Nível de acesso, que definiu para ver, criar ou editar. (Os níveis de criação e edição aplicam-se apenas a relatórios do Power BI.)
- Duração do token, que determina quando o token expira.
- Opcionalmente, uma afirmação a uma área de trabalho de destino para guardar novos relatórios.
- Opcionalmente, uma ou mais identidades eficazes para que o Power BI possa impor permissões de dados.
Nota
Para saber mais sobre identidades eficazes, trabalhe através do módulo Impor permissões de dados para análise incorporada do Power BI .
Veja o seguinte vídeo que demonstra a utilização de um fluxo de autenticação não interativo.
Irá aprender a adquirir tokens de incorporação na unidade 3.
Utilizar um principal de serviço
A sua aplicação pode utilizar um principal de serviço para adquirir um token de Azure AD. Um principal de serviço do Azure é uma utilização de aplicações de identidade de segurança. Define a política de acesso e as permissões da aplicação no inquilino do Azure AD, ativando funcionalidades fundamentais, como a autenticação de aplicações durante o início de sessão, e a autorização durante o acesso a recursos. Um principal de serviço pode autenticar através de um segredo ou certificado de aplicação. Recomendamos que proteja os principais de serviço através de certificados para as suas aplicações de produção, em vez de chaves secretas, porque é mais seguro.
Quando a identidade de incorporação da sua aplicação é um principal de serviço, um administrador de inquilinos do Power BI tem primeiro de:
- Ativar a utilização de principais de serviço.
- Registe um grupo de segurança que os contenha.
A imagem seguinte mostra as definições de Programador (encontradas nas definições de inquilino do portal de administração) em que um administrador do Power BI pode permitir que os principais de serviço utilizem APIs do Power BI.
Importante
Quando um administrador permite a utilização do principal de serviço com o Power BI, as permissões de Azure AD da aplicação deixam de entrar em vigor. A partir daí, os administradores gerem as permissões da aplicação no portal de administração do Power BI.
No Power BI, o principal de serviço tem de pertencer à função de administrador ou membro da área de trabalho para incorporar conteúdo da área de trabalho. Apenas as novas áreas de trabalho suportam atribuições de funções a um principal de serviço e as áreas de trabalho pessoais não são suportadas.
Nota
Não é possível iniciar sessão no serviço Power BI com um principal de serviço.
Para obter mais informações, consulte:
- Objetos de principal de serviço e aplicação no Azure Active Directory (objeto principal de serviço).
- Incorporar conteúdos do Power BI com o principal de serviço e um certificado
Utilizar uma conta de utilizador principal
A sua aplicação pode utilizar uma conta de utilizador principal para adquirir um token do AD. Uma conta de utilizador principal é um utilizador Azure AD regular. No Power BI, a conta tem de pertencer à função de administrador ou membro da área de trabalho para incorporar conteúdo da área de trabalho. Também tem de ter uma licença Power BI Pro ou Power BI Premium Por Utilizador (PPU).
Nota
Não é possível utilizar uma conta de utilizador principal para incorporar relatórios paginados.
Comparar tipos de identidade de incorporação
Recomendamos a utilização de um principal de serviço para aplicações de produção . Fornece a maior segurança e, por este motivo, é a abordagem recomendada pelo Azure AD. Além disso, suporta uma melhor automatização e dimensionamento e há menos sobrecarga de gestão. No entanto, requer direitos de administrador do Power BI para configurar e gerir.
Pode considerar a utilização de uma conta de utilizador principal para aplicações de desenvolvimento ou teste . É fácil de configurar e pode iniciar sessão no serviço Power BI para ajudar a resolver problemas. No entanto, existe um custo associado porque requer uma licença de Power BI Pro ou PPU. Além disso, uma conta de utilizador principal não pode exigir mFA.
Em resumo, a tabela seguinte compara os dois tipos de identidade de incorporação.
| Item | Service principal (Principal de serviço) | Conta de utilizador principal |
|---|---|---|
| Azure AD tipo de objeto | Service principal (Principal de serviço) | Utilizador |
| Gestão de credenciais | Utilizar segredos ou certificados com rotação periódica | Fazer atualizações frequentes de palavras-passe |
| Definições do inquilino do Power BI | Um administrador do Power BI tem de permitir a utilização de principais de serviço; recomendamos que os principais de serviço pertençam a um grupo de segurança dedicado | Não aplicável |
| Utilização da API REST do Power BI | Algumas operações de administrador e fluxos de dados não são suportadas; pode ativar a autenticação do principal de serviço para APIs de administrador só de leitura. | Todas as operações são suportadas |
| serviço Power BI iniciar sessão | Não suportado | Suportado |
| Licensing | não é necessário | Power BI Pro ou PPU |
| Azure AD recomendação | Recomendado (especialmente para aplicações de produção) | Não recomendado (mas pode ser adequado para aplicações de desenvolvimento ou teste) |
| Informações adicionais | Não é possível exigir a MFA; Não é possível incorporar relatórios paginados |