Поделиться через

Настройка приложения идентификатора Microsoft Entra

  • Статья

Чтобы использовать API проверки подлинности, поставщик программного обеспечения должен сначала зарегистрировать приложение в идентификаторе Microsoft Entra для поддержки каждого облака и предварительно выполнить проверку подлинности приложений Power BI с выделенным область для каждого визуального элемента. Затем администратор клиента должен предоставить согласие. В этой статье описаны все эти основные шаги.

API проверки подлинности поддерживается в следующих облаках:

  • COM(обязательно) — коммерческое облако
  • CN — Облако Китая
  • GCC — облако сообщества государственных организаций США
  • GCCHIGH - Us Government Community Cloud High
  • DOD - Министерство обороны США Cloud

Регистрация приложения в идентификаторе Microsoft Entra

Для каждого облака, предназначенного для поддержки визуального элемента, выполните действия, описанные ниже.

  1. Перейдите к соответствующему портал Azure и перейдите к Регистрация приложений.

  2. Выбор + новая регистрация

    Снимок экрана: новый пользовательский интерфейс регистрации приложения Microsoft Entra.

  3. На странице регистрации приложения выполните следующие действия.

    1. Введите нужное имя приложения в разделе "Имя ".
    2. Выберите учетные записи в любом каталоге организации (любой каталог Azure AD — Мультитенант) в разделе "Поддерживаемые типы учетных записей ".
    3. Выберите Зарегистрировать.

    Снимок экрана: страница

  4. После успешной регистрации приложения выберите " Предоставить API " в меню слева.

    Снимок экрана: страница предоставления API приложения регистрации идентификатора Microsoft Entra ID.

  5. В поле URI идентификатора приложения нажмите кнопку "Добавить".

    Снимок экрана: страница предоставления API с параметром добавления URI идентификатора приложения.

  6. В поле URI "Изменить идентификатор приложения" введите проверенный личный домен, гарантируя, что он начинается с "https://" и не содержит "onmicrosoft.com" и нажмите кнопку "Сохранить".

    Чтобы добавить личный домен, выполните приведенные действия.

    1. Перейдите к именам пользовательских доменов Идентификатора Microsoft Entra ID.
    2. Добавьте личный домен.

    Снимок экрана: страница

    Примечание.

    URI приложения можно вручную добавить в манифест приложения в массиве identifierUris .

    Снимок экрана: пример кода для добавления URI приложения.

  7. Выберите и добавьте область.

  8. В поле "Имя области" введите <visual_guid>_CV_ForPBI и добавьте необходимые сведения. Заполните поля согласия Администратор. Затем нажмите кнопку "Добавить область". (Существует 40 символов, область ограничение длины, но вы можете вручную изменить имя область в зарегистрированном манифесте приложения для управления этим ограничением.

    Снимок экрана: изменение окна область с полями для область имени и других сведений.

  9. Чтобы предварительно авторизовать приложения Power BI, выполните приведенные действия.

    1. Выберите + Добавить клиентское приложение.

      Снимок экрана: изменение окна область с полями для добавления клиентского приложения.

    2. Введите идентификатор приложения приложения WFE Power BI "871c010f-5e61-4fb1-83ac-98610a7e9110" в поле идентификатора клиента правой части окна.

    3. Выберите нужный область.

    4. Выберите Добавить приложение.

      Снимок экрана: пользовательский интерфейс для добавления клиентского приложения.

    5. Повторите этот процесс с помощью:

      • Power BI Desktop: "7f67af8a-fedc-4b08-8b4e-37c4d127b6cf".

      • Power BI Mobile:

        • COM (обязательно) и CN: "c0d2a505-13b8-4ae0-aa9e-cddd5eab0b12".
        • GCC, GCCHIGH и DOD: "ce76e270-35f5-4bea-94ff-eab975103dc6".

Администратор клиента может определить, разрешено ли пользователям предоставлять согласие на себя. Этот процесс согласия происходит за пределами Power BI.

Серверное приложение ISV (например, https://contoso.comдолжно быть предоставлено согласие на API Graph и другие зависимости (пользователи или администраторы клиента) в соответствии со стандартными правилами AAD:

Если приложение ISV работает в другом клиенте, отличном от клиента визуального потребителя, предоставьте согласие для приложения поставщика программного обеспечения одним из следующих способов:

  • преконсерватор Администратор istrator:

    Следуйте инструкциям в разделе Предоставление согласия администратора на уровне клиента приложению. Замените URL-адрес согласия администратора на уровне клиента соответствующей ссылкой для каждого облака:

    • COM и GCC: https://login.microsoftonline.com/{organization}/adminconsent?client_id={clientId}
    • CN: https://login.partner.microsoftonline.cn/{organization}/adminconsent?client_id={clientId}
    • GCCHIGH и DOD: https://login.microsoftonline.us/{organization}/adminconsent?client_id={clientId}

  • Интерактивное согласие:

    Если администратор клиента не преконсентировал, любой пользователь, использующий визуальный элемент, который активирует API, получает запрос на однократное согласие при отрисовке визуального элемента. Дополнительные сведения см. в разделе "Согласие приложений".

Связанный контент