Pripojenie k Power BI Report Serveru a ŠSRS z mobilných aplikácií Power BI

V tomto článku sa popisuje konfigurácia vášho prostredia na podporu overovania OAuth s mobilnou aplikáciou Power BI na pripojenie k power BI Report Serveru a službe SQL Server Reporting Services 2016 alebo novšej verzii.

Požiadavky

Windows Server sa vyžaduje pre webové proxy aplikácií (WAP) a servery Active Directory Federation Services (ADFS) (ADFS). Nie je potrebné mať funkčnú doménu úrovne Windowsu.

Aby mohli používatelia pridať pripojenie servera zostáv k svojej mobilnej aplikácii Power BI, musíte im udeliť prístup k domovskou zložkou servera zostáv.

Poznámka

Od 1. marca 2025 sa už aplikácia Power BI Mobile nebude môcť pripojiť k serveru zostáv pomocou protokolu OAuth prostredníctvom AD FS nakonfigurovaného v systéme Windows Server 2016. Zákazníci, ktorí používajú OAuth s AD FS nakonfigurovaným na Windows Serveri 2016 a webovom proxy aplikácií (WAP), budú musieť inovovať svoj server AD FS na Windows Server 2019 alebo novší alebo použiť server proxy aplikácie Microsoft Entra. Po inovácii Windows Servera sa používatelia mobilnej aplikácie Power BI Mobile budú musieť znova prihlásiť na server zostáv.

Táto inovácia sa vyžaduje zmenou knižnice overenia, ktorú používa mobilná aplikácia. Táto zmena v žiadnom prípade neovplyvňuje podporu spoločnosti Microsoft pre AD FS vo Windows Serveri 2016, ale skôr len schopnosť mobilnej aplikácie Power BI pripojiť sa k nemu.

Konfigurácia služby DNS

Verejná URL adresa je URL adresa, ku ktorou sa bude pripájať mobilná aplikácia Power BI. Môže to napríklad vyzerať podobne ako na nasledujúcom obrázku.

https://reports.contoso.com

Váš záznam DNS pre zostavy na verejnú IP adresu servera Web proxy aplikácií (WAP). Tiež je potrebné nakonfigurovať verejný záznam DNS pre server AD FS. Môžete mať napríklad nakonfigurovaný server AD FS s nasledujúcou URL adresou.

https://fs.contoso.com

Váš záznam DNS pre fs na verejnú IP adresu servera Web proxy aplikácií (WAP), keďže bude publikovaná ako súčasť aplikácie WAP.

Certifikáty

Pre aplikáciu WAP aj server AD FS je potrebné nakonfigurovať certifikáty. Oba tieto certifikáty musia byť súčasťou platnej certifikačnej autority, ktorú rozpoznávajú vaše mobilné zariadenia.

Konfigurácia služby Reporting Services

Na strane služby Reporting Services netreba konfigurovať veľa. Musíte sa len uistiť, že:

• Existuje platný hlavný názov služby (SPN), ktorý umožňuje nastať správne overovanie Kerberos.
• Server služby Reporting Services je povolený na rokovanie o overení.
• Používatelia majú prístup k domovs serveru zostáv.

Hlavný názov služby (SPN)

SPN je jedinečný identifikátor pre službu, ktorá používa overovanie Kerberos. Musíte skontrolovať, či máte správny názov HTTP SPN pre svoj server zostáv.

Informácie o tom, ako nakonfigurovať správny hlavný názov služby (SPN) pre server zostáv, nájdete v téme Registrácia hlavného názvu služby (SPN) pre server zostáv.

Povolenie vyjednať overenie

Ak chcete povoliť serveru zostáv používanie overovania Kerberos, musíte nakonfigurovať typ overovania servera zostáv na možnosť RSWindowsNegotiate. Vykonáte to v konfiguračnom súbore rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Ďalšie informácie nájdete v téme Úprava konfiguračného súboru služby Reporting Services a Konfigurácia overovania v systéme Windows na serveri zostáv.

Konfigurácia služby Active Directory Federation Services (ADFS) (ADFS)

Službu AD FS treba nakonfigurovať na windows serveri vo svojom prostredí. Konfigurácia sa dá vykonať prostredníctvom Správcu servera a výberom možnosti Pridať roly a funkcie v časti Správa. Ďalšie informácie nájdete Active Directory Federation Services (ADFS).

Dôležité

Od 1. marca 2025 sa už nebudú môcť mobilné aplikácie Power BI Pripojiť k serveru zostáv prostredníctvom AD FS nakonfigurovaného na Windows Serveri 2016. Všimnite si poznámku na začiatku tohto článku.

Vytvorenie skupiny aplikácií

V rámci obrazovky správy AD FS bude treba vytvoriť skupinu aplikácií pre službu Reporting Services, ktorá obsahuje informácie pre aplikácie Power BI Mobile.

Skupinu aplikácií môžete vytvoriť pomocou nasledujúcich krokov.

1. V rámci aplikácie správy AD FS kliknite pravým tlačidlom myši na položku Skupiny aplikácií a vyberte možnosť Pridať skupinu aplikácií...

   

2. V sprievodcovi pridaním skupiny aplikácií zadajte názov skupiny aplikácií a vyberte možnosť Prístup natívnej aplikácie k webovému rozhranie API.

   

3. Vyberte Ďalej.

4. Zadajte názov aplikácie, ktorú pridávate.

5. Počas automatického generovania ID klienta zadajte 484d54fc-b481-4eee-9505-0258a1913020 pre iOS aj Android.

6. Je potrebné pridať nasledujúce URL adresy presmerovania:

   Záznamy pre Power BI Mobile – iOS:
   msauth://code/mspbi-adal://com.microsoft.powerbimobile
   msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
   mspbi-adal://com.microsoft.powerbimobile
   mspbi-adalms://com.microsoft.powerbimobilems

   Aplikácie pre Android potrebujú iba nasledujúce kroky:
   urn:ietf:wg:oauth:2.0:oob

   

7. Vyberte Ďalej.

8. Zadajte URL adresu servera zostáv. URL adresa je externá URL adresa, ktorú zachyťuje webová proxy aplikácií. Mala by byť v nasledujúcom formáte.

   Poznámka

   V tejto URL adrese sa rozlišuje veľké a malé písmená.

   https://<report server url>/reports

   

9. Vyberte Ďalej.

10. Vyberte politiku riadenia prístupu, ktorá vyhovuje potrebám vašej organizácie.

    

11. Vyberte Ďalej.

12. Vyberte Ďalej.

13. Vyberte Ďalej.

14. Vyberte položku Zavrieť.

Po dokončení by mali vlastnosti vašej skupiny aplikácií vyzerať podobne ako na nasledujúcom obrázku.

Teraz na serveri AD FS spustite nasledujúci príkaz prostredia PowerShell, aby ste sa uistili, že obnovenie tokenu je podporované.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Konfigurácia webového proxy aplikácií (WAP)

Na serveri vo vašom prostredí je potrebné povoliť rolu Web proxy aplikácií (rola) Systému Windows. Musí to byť na serveri systému Windows. Ďalšie informácie nájdete v téme Webová proxy aplikácií v systéme Windows Server a publikovanie aplikácií pomocou predbežného overovania AD FS.

Konfigurácia obmedzeného delegovania

Na prechod z overovania OAuth na overovanie Windowsom musíme použiť obmedzené delegovanie s prechodom protokolu. Je to súčasťou konfigurácie protokolu Kerberos. Počas konfigurácie služby Reporting Services sme už definovali hlavný názov služby Reporting Services.

Musíme nakonfigurovať obmedzené delegovania pre konto počítača so serverom WAP v rámci služby Active Directory. Ak nemáte práva na službu Active Directory, budete musieť spolupracovať so správcom domény.

Ak chcete nakonfigurovať obmedzené delegovaie, musíte vykonať nasledujúce kroky.

1. V počítači, ktorý má nainštalované nástroje služby Active Directory, spustite Používatelia a počítače služby Active Directory.

2. Vyhľadajte konto počítača so serverom WAP. Predvolene sa nachádza v kontajneri počítačov.

3. Kliknite pravým tlačidlom myši na server WAP a prejdite na položku Vlastnosti.

4. Vyberte kartu Delegovať.

5. Vyberte položku Dôverovať tomuto počítaču len na delegovaie do zadaných služieb a potom položku Použiť akýkoľvek protokol overovania.

   

   Tým sa nastaví obmedzené delegovaie pre toto konto počítača so serverom WAP. Potom musíme zadať služby, ktoré bude môcť tento počítač delegovať.

6. Pod poľom so službami vyberte položku Pridať... .

   

7. Vyberte položku Používatelia alebo počítače...

8. Zadajte konto služby, ktoré používate pre službu Reporting Services. Toto konto je konto, ku každému ste pridali hlavný názov služby pri konfigurácii služby Reporting Services.

9. Vyberte hlavný názov služby pre službu Reporting Services a potom vyberte položku OK.

   Poznámka

   Môže sa zobrazovať len hlavný názov služby NetBIOS. V skutočnosti sa vyberie hlavný názov služby NetBIOS aj úplný názov domény, ak sú oba k dispozícii.

   

10. Ak je začiarknuté políčko Rozšírené, výsledok by mal vyzerať približne takto.

    

11. Vyberte položku OK.

Pridanie aplikácie WAP

Hoci aplikácie môžete publikovať v konzole na správu prístupu k zostavám, bude potrebné vytvoriť aplikáciu pomocou prostredia PowerShell. Tu je príkaz na pridanie aplikácie.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication

Parameter	Komentáre
ADFSRelyingPartyName	Názov webového rozhrania API, ktoré ste vytvorili ako súčasť skupiny aplikácií v rámci AD FS.
ExternalCertificateThumbprint	Certifikát na použitie pre externých používateľov. Je dôležité, aby bol certifikát platný v mobilných zariadeniach a pochádzal od dôveryhodnej certifikačnej autority.
BackendServerUrl	URL adresa servera zostáv zo servera WAP. Ak je server WAP v DMZ, môže byť potrebné použiť úplný názov domény. Skontrolujte, či dokážete zasiahnuť túto URL adresu z webového prehliadača na serveri WAP.
BackendServerAuthenticationSPN	Hlavný názov služby, ktorý ste vytvorili ako súčasť konfigurácie služby Reporting Services.

Nastavenie integrovaného overovania pre aplikáciu WAP

Po pridaní aplikácie WAP musíte nastaviť BackendServerAuthenticationMode na používanie IntegratedWindowsAuthentication. Ak ho chcete nastaviť, budete potrebovať ID z aplikácie WAP.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Spustite nasledujúci príkaz na nastavenie BackendServerAuthenticationMode pomocou ID aplikácie WAP.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Pripojenie k mobilnej aplikácii Power BI

V mobilnej aplikácii Power BI sa chcete pripojiť k inštancii služby Reporting Services. Ak to chcete urobiť, zadajte externú URL adresu pre aplikáciu WAP.

Po výbere možnosti Pripojiť budete presmerovaní na prihlasovaciu stránku služby AD FS. Zadajte platné poverenia pre svoju doménu.

Po výbere možnosti Prihláste sa zobrazia prvky servera služby Reporting Services.

Viacfaktorové overovanie

Môžete povoliť viacfaktorové overovanie a umožniť dodatočné zabezpečenie pre svoje prostredie. Ďalšie informácie nájdete v téme Konfigurácia viacfaktorového overovania pomocou služby Microsoft Entra ako poskytovateľa overovania s AD FS.

Riešenie problémov

Zobrazí sa chyba Nepodarilo sa prihlásiť k serveru SSRS

Môžete nastaviť aplikáciu Fiddler ako server proxy pre mobilné zariadenia a zistiť, ako ďaleko sa požiadavka dostavila. Ak chcete povoliť Fiddler proxy pre telefónne zariadenie, musíte nastaviť službu CertMaker pre iOS a Android v počítači, v ktorom je spustená aplikácia Fiddler. Ide o doplnok od spoločnosti Telerik pre aplikáciu Fiddler.

Ak prihlásenie úspešne funguje pri použití aplikácie Fiddler, môžete mať problém s certifikátom pre aplikáciu WAP alebo server AD FS.

Súvisiaci obsah

• Registrácia hlavného názvu služby (SPN) servera zostáv
• Úprava konfiguračného súboru služby Reporting Services
• Konfigurácia overovania windowsom na serveri zostáv
• Active Directory Federation Services (ADFS)
• Webové proxy aplikácií vo Windows Serveri
• Publikovanie aplikácií pomocou predbežného overenie AD FS
• Konfigurácia viacfaktorového overenia spoločnosti Microsoft ako poskytovateľa overovania pomocou AD FS
  Máte ďalšie otázky? Vyskúšajte Komunita Power BI