Používanie overovania OAuth na pripojenie k serverom Power BI Report Server a SSRS
OAuth môžete použiť na pripojenie k Power BI Report Serveru a službám SQL Server Reporting Services (SSRS) na zobrazenie mobilných zostáv alebo kľúčových ukazovateľov výkonu. Prečítajte si, ako konfigurovať prostredie na podporu overovania OAuth s mobilnou aplikáciou Power BI, aby ste sa mohli pripojiť k službám Power BI Report Server a SQL Server Reporting Services 2016 alebo novšej verzii.
Poznámka
Zobrazenie zostáv Power BI hosťovaných na Power BI Report Serveri s overním cez WAP sa teraz podporuje pre aplikácie pre iOS a Android.
Požiadavky
Windows Server 2016 sa vyžaduje pre webové servery proxy aplikácií (WAP) a servery Active Directory Federation Services (ADFS) (ADFS). Nie je potrebné mať funkčnú doménu úrovne Windows 2016.
Aby mohli používatelia pridať pripojenie servera zostáv k svojej mobilnej aplikácii Power BI, musíte im udeliť prístup k domovskou zložkou servera zostáv.
Konfigurácia služby DNS
Verejná URL adresa je URL adresa, ku ktorou sa bude pripájať mobilná aplikácia Power BI. Môže to napríklad vyzerať podobne ako na nasledujúcom obrázku.
https://reports.contoso.com
Váš záznam DNS pre zostavy na verejnú IP adresu servera Web proxy aplikácií (WAP). Tiež je potrebné nakonfigurovať verejný záznam DNS pre server ADFS. Môžete mať napríklad nakonfigurovaný server ADFS s nasledujúcou URL adresou.
https://fs.contoso.com
Váš záznam DNS pre fs na verejnú IP adresu servera Web proxy aplikácií (WAP), keďže bude publikovaná ako súčasť aplikácie WAP.
Certifikáty
Musíte nakonfigurovať certifikáty pre aplikáciu WAP aj server ADFS. Oba tieto certifikáty musia byť súčasťou platnej certifikačnej autority, ktorú rozpoznávajú vaše mobilné zariadenia.
Konfigurácia služby Reporting Services
Na strane služby Reporting Services netreba konfigurovať veľa. Musíte sa len uistiť, že:
- Existuje platný hlavný názov služby (SPN), ktorý umožňuje nastať správne overovanie Kerberos.
- Server služby Reporting Services je povolený na rokovanie o overení.
- Používatelia majú prístup k domovs serveru zostáv.
Hlavný názov služby (SPN)
SPN je jedinečný identifikátor pre službu, ktorá používa overovanie Kerberos. Musíte skontrolovať, či máte správny názov HTTP SPN pre svoj server zostáv.
Informácie o tom, ako nakonfigurovať správny hlavný názov služby (SPN) pre server zostáv, nájdete v téme Registrácia hlavného názvu služby (SPN) pre server zostáv.
Povolenie vyjednať overenie
Ak chcete povoliť serveru zostáv používanie overovania Kerberos, musíte nakonfigurovať typ overovania servera zostáv na možnosť RSWindowsNegotiate. Vykonáte to v konfiguračnom súbore rsreportserver.config.
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsKerberos />
<RSWindowsNTLM />
</AuthenticationTypes>
Ďalšie informácie nájdete v téme Úprava konfiguračného súboru služby Reporting Services a Konfigurácia overovania v systéme Windows na serveri zostáv.
Konfigurácia Active Directory Federation Services (ADFS) (ADFS)
Musíte nakonfigurovať ADFS na serveri Windows 2016 vo svojom prostredí. Konfigurácia sa dá vykonať prostredníctvom Správcu servera a výberom možnosti Pridať roly a funkcie v časti Správa. Ďalšie informácie nájdete Active Directory Federation Services (ADFS).
Vytvorenie skupiny aplikácií
V rámci obrazovky správy AD FS bude treba vytvoriť skupinu aplikácií pre službu Reporting Services, ktorá obsahuje informácie pre aplikácie Power BI Mobile.
Skupinu aplikácií môžete vytvoriť pomocou nasledujúcich krokov.
V rámci aplikácie správy AD FS kliknite pravým tlačidlom myši na položku Skupiny aplikácií a vyberte možnosť Pridať skupinu aplikácií...
V sprievodcovi pridaním skupiny aplikácií zadajte názov skupiny aplikácií a vyberte možnosť Prístup natívnej aplikácie k webovému rozhranie API.
Vyberte Ďalej.
Zadajte názov aplikácie, ktorú pridávate.
Počas automatického generovania ID klienta zadajte 484d54fc-b481-4eee-9505-0258a1913020 pre iOS aj Android.
Je potrebné pridať nasledujúce URL adresy presmerovania:
Záznamy pre Power BI Mobile – iOS:
msauth://code/mspbi-adal://com.microsoft.powerbimobile
msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
mspbi-adal://com.microsoft.powerbimobile
mspbi-adalms://com.microsoft.powerbimobilemsAplikácie pre Android potrebujú iba nasledujúce kroky:
urn:ietf:wg:oauth:2.0:oob
Vyberte Ďalej.
Zadajte URL adresu servera zostáv. URL adresa je externá URL adresa, ktorú zachyťuje webová proxy aplikácií. Mala by byť v nasledujúcom formáte.
Poznámka
V tejto URL adrese sa rozlišuje veľké a malé písmená.
https://<report server url>/reports
Vyberte Ďalej.
Vyberte politiku riadenia prístupu, ktorá vyhovuje potrebám vašej organizácie.
Vyberte Ďalej.
Vyberte Ďalej.
Vyberte Ďalej.
Vyberte položku Zavrieť.
Po dokončení by mali vlastnosti vašej skupiny aplikácií vyzerať podobne ako na nasledujúcom obrázku.
Teraz na serveri ADFS spustite nasledujúci príkaz prostredia PowerShell, aby ste sa uistili, že obnovenie tokenu je podporované.
Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'
Konfigurácia webového proxy aplikácií (WAP)
Na serveri vo vašom prostredí je potrebné povoliť rolu Web proxy aplikácií (rola) Systému Windows. Musí to byť na serveri Windows 2016. Ďalšie informácie nájdete v téme Webová proxy aplikácií vo Windows Serveri 2016 a Publikovanie aplikácií pomocou predbežného overovania AD FS.
Konfigurácia obmedzeného delegovania
Na prechod z overovania OAuth na overovanie Windowsom musíme použiť obmedzené delegovanie s prechodom protokolu. Je to súčasťou konfigurácie protokolu Kerberos. Počas konfigurácie služby Reporting Services sme už definovali hlavný názov služby Reporting Services.
Musíme nakonfigurovať obmedzené delegovania pre konto počítača so serverom WAP v rámci služby Active Directory. Ak nemáte práva na službu Active Directory, budete musieť spolupracovať so správcom domény.
Ak chcete nakonfigurovať obmedzené delegovaie, musíte vykonať nasledujúce kroky.
V počítači, ktorý má nainštalované nástroje služby Active Directory, spustite Používatelia a počítače služby Active Directory.
Vyhľadajte konto počítača so serverom WAP. Predvolene sa nachádza v kontajneri počítačov.
Kliknite pravým tlačidlom myši na server WAP a prejdite na položku Vlastnosti.
Vyberte kartu Delegovať.
Vyberte položku Dôverovať tomuto počítaču len na delegovaie do zadaných služieb a potom položku Použiť akýkoľvek protokol overovania.
Tým sa nastaví obmedzené delegovaie pre toto konto počítača so serverom WAP. Potom musíme zadať služby, ktoré bude môcť tento počítač delegovať.
Pod poľom so službami vyberte položku Pridať... .
Vyberte položku Používatelia alebo počítače...
Zadajte konto služby, ktoré používate pre službu Reporting Services. Toto konto je konto, ku každému ste pridali hlavný názov služby pri konfigurácii služby Reporting Services.
Vyberte hlavný názov služby pre službu Reporting Services a potom vyberte položku OK.
Poznámka
Môže sa zobrazovať len hlavný názov služby NetBIOS. V skutočnosti sa vyberie hlavný názov služby NetBIOS aj úplný názov domény, ak sú oba k dispozícii.
Ak je začiarknuté políčko Rozšírené, výsledok by mal vyzerať približne takto.
Vyberte položku OK.
Pridanie aplikácie WAP
Hoci aplikácie môžete publikovať v konzole na správu prístupu k zostavám, bude potrebné vytvoriť aplikáciu pomocou prostredia PowerShell. Tu je príkaz na pridanie aplikácie.
Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
| Parameter | Komentáre |
|---|---|
| ADFSRelyingPartyName | Názov webového rozhrania API, ktoré ste vytvorili ako súčasť skupiny aplikácií v rámci ADFS. |
| ExternalCertificateThumbprint | Certifikát na použitie pre externých používateľov. Je dôležité, aby bol certifikát platný v mobilných zariadeniach a pochádzal od dôveryhodnej certifikačnej autority. |
| BackendServerUrl | URL adresa servera zostáv zo servera WAP. Ak je server WAP v DMZ, môže byť potrebné použiť úplný názov domény. Skontrolujte, či dokážete zasiahnuť túto URL adresu z webového prehliadača na serveri WAP. |
| BackendServerAuthenticationSPN | Hlavný názov služby, ktorý ste vytvorili ako súčasť konfigurácie služby Reporting Services. |
Nastavenie integrovaného overovania pre aplikáciu WAP
Po pridaní aplikácie WAP musíte nastaviť BackendServerAuthenticationMode na používanie IntegratedWindowsAuthentication. Ak ho chcete nastaviť, budete potrebovať ID z aplikácie WAP.
Get-WebApplicationProxyApplication "Contoso Reports" | fl
Spustite nasledujúci príkaz na nastavenie BackendServerAuthenticationMode pomocou ID aplikácie WAP.
Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication
Pripojenie k mobilnej aplikácii Power BI
V mobilnej aplikácii Power BI sa chcete pripojiť k inštancii služby Reporting Services. Ak to chcete urobiť, zadajte externú URL adresu pre aplikáciu WAP.
Po výbere možnosti Pripojiť budete presmerovaní na prihlasovaciu stránku služby ADFS. Zadajte platné poverenia pre svoju doménu.
Po výbere možnosti Prihláste sa zobrazia prvky servera služby Reporting Services.
Viacfaktorové overovanie
Môžete povoliť viacfaktorové overovanie a umožniť dodatočné zabezpečenie pre svoje prostredie. Ďalšie informácie nájdete v téme Konfigurácia viacfaktorového overovania pomocou služby Microsoft Entra ako poskytovateľa overovania s AD FS.
Riešenie problémov
Zobrazí sa chyba Nepodarilo sa prihlásiť k serveru SSRS
Môžete nastaviť aplikáciu Fiddler ako server proxy pre mobilné zariadenia a zistiť, ako ďaleko sa požiadavka dostavila. Ak chcete povoliť Fiddler proxy pre telefónne zariadenie, musíte nastaviť službu CertMaker pre iOS a Android v počítači, v ktorom je spustená aplikácia Fiddler. Ide o doplnok od spoločnosti Telerik pre aplikáciu Fiddler.
Ak prihlásenie úspešne funguje pri použití aplikácie Fiddler, môžete mať problém s certifikátom pre aplikáciu WAP alebo server ADFS.
Súvisiaci obsah
- Registrácia hlavného názvu služby (SPN) servera zostáv
- Úprava konfiguračného súboru služby Reporting Services
- Konfigurácia overovania windowsom na serveri zostáv
- Active Directory Federation Services (ADFS)
- Webová proxy aplikácií vo Windows Serveri 2016
- Publikovanie aplikácií pomocou predbežného overenie AD FS
- Konfigurácia viacfaktorového overovania AD FS 2016 a Microsoft Entra
Máte ďalšie otázky? Vyskúšajte Komunita Power BI
Pripomienky
Pripravujeme: V priebehu roka 2024 postupne zrušíme službu Problémy v službe GitHub ako mechanizmus pripomienok týkajúcich sa obsahu a nahradíme ju novým systémom pripomienok. Ďalšie informácie nájdete na stránke: https://aka.ms/ContentUserFeedback.
Odoslať a zobraziť pripomienky pre