Vloženie obsahu služby Power BI pomocou objektu služby a tajného kódu aplikácie

Objekt služby je metóda overovania, ktorá sa dá použiť na umožnenie prístupu aplikácie Azure Active Directory (Azure AD) služba Power BI obsahu a rozhraní API.

Keď vytvoríte aplikáciu Azure AD, vytvorí sa hlavný objekt služby. Hlavný objekt služby alebo jednoducho objekt služby umožňuje službe Azure AD overiť vašu aplikáciu. Po overení môže aplikácia získať prístup k prostriedkom Azure AD nájomníka.

Na overenie používa objekt služby ID aplikácie Azure AD a jednu z nasledujúcich možností:

• Certifikát
• Tajný kód aplikácie

Tento článok popisuje overenie objektu služby pomocou ID aplikácie a tajného kódu aplikácie.

Poznámka

Odporúčame, aby ste na zabezpečenie svojich serverových služieb použili radšej certifikáty, nie tajné kľúče.

• Získajte ďalšie informácie o získavaní prístupových tokenov z Azure AD pomocou tajných kľúčov alebo certifikátov.
• Ak chcete zabezpečiť svoje riešenie pomocou certifikátu, postupujte podľa pokynov v tomto článku a v téme Vloženie obsahu služby Power BI pomocou objektu služby a certifikátu.

Predpoklad

Tento postup vyžaduje, aby ste mali Azure AD licenciu Premium.

Metóda

Ak chcete na vloženú analýzu použiť objekt služby a ID aplikácie, postupujte podľa týchto krokov. Nasledujúce časti podrobne popisujú tieto kroky.

1. Vytvorte aplikáciu služby Azure AD.

   1. Vytvorte tajný kód svojej aplikácie Azure AD.
   2. Získajte ID aplikácie a tajný kód aplikácie.

   Poznámka

   Tieto kroky sú popísané v kroku 1. Ďalšie informácie o vytvorení aplikácie Azure AD nájdete v téme Vytvorenie aplikácie Azure AD.

2. Vytvorte skupinu zabezpečenia služby Azure AD.

3. Povoľte nastavenia správcu služby Power BI.

4. Pridajte objekt služby do svojho pracovného priestoru.

5. Vložte svoj obsah.

Dôležité

Aplikácia Azure AD nevyžaduje, aby ste konfigurovali delegované povolenia alebo povolenia aplikácie na portáli Azure, keď bola vytvorená pre objekt služby. Keď vytvoríte aplikáciu Azure AD pre objekt služby na prístup k rozhraniu REST API služby Power BI, odporúča sa vyhnúť pridávaniu povolení. Nikdy sa nepoužívajú a môžu spôsobiť chyby, ktoré sa ťažko riešia.

Krok 1 – Vytvorenie aplikácie služby Azure AD

Vytvorte aplikáciu Azure AD pomocou niektorého z týchto spôsobov:

• Vytvorte aplikáciu na portáli Azure.
• Vytvorte aplikáciu pomocou prostredia PowerShell.

Vytvorenie aplikácie Azure AD na portáli Azure

1. Prihláste sa na portál Azure.

2. Vyhľadajte a vyberte položku Registrácie aplikácií.

   

3. Vyberte položku Nová registrácia.

   

4. Vyplňte požadované informácie:

   • Názov – zadajte názov aplikácie.
   • Podporované typy kont – vyberte podporované typy kont.
   • (Voliteľné) Identifikátor URI presmerovania – v prípade potreby zadajte identifikátor URI.

5. Vyberte položku Register (Registrovať).

6. Po registrácii aplikácie je ID aplikácie k dispozícii na karte Prehľad . Skopírujte a uložte ID aplikácie na neskoršie použitie.

   

7. Vyberte položku Certificates secrets (Certifikáty) secrets (Tajné certifikáty&).

   

8. Vyberte položku Nový tajný kľúč klienta.

   

9. V okne Pridať tajný kľúč klienta zadajte popis, zadajte, kedy sa má vypršať platnosť tajného kľúča klienta, a vyberte položku Pridať.

10. Skopírujte a uložte hodnotu tajného kľúča klienta.

    

    Poznámka

    Po opustení tohto okna sa hodnota tajného kľúča klienta skryje a už ju nebudete môcť zobraziť ani skopírovať.

Vytvorenie aplikácie Azure AD pomocou prostredia PowerShell

Nasledujúci ukážkový skript prostredia PowerShell vytvorí novú aplikáciu Azure AD a objekt služby. Pred spustením tohto skriptu:

• Nainštalujte si najnovšiu verziu prostredia PowerShell.
• Nainštalujte súpravu Microsoft Graph PowerShell SDK.

Po spustení skriptu si vo výstupe skriptu poznačte nasledujúce informácie:

• ID klienta novej aplikácie
• ID objektu nového objektu služby
• Hodnota tajného kľúča služby

# Sign in as a user who's allowed to create an app.
Connect-MgGraph -Scopes "Application.ReadWrite.All" 

# Create a new Azure AD web application.
$web = @{
    RedirectUris = "https://localhost:44322"
    HomePageUrl = "https://localhost:44322"
}
$params = @{
    DisplayName = "myAzureADApp"
    Web = $($web)
}
$app = New-MgApplication @params
Write-Host "Client ID of new app: " $($app.AppId)

# Create a service principal.
$ServicePrincipalID=@{
  "AppId" = $($app.AppId)
  }
$sp = New-MgServicePrincipal -BodyParameter $($ServicePrincipalId)
Write-Host "Object ID of new service principal: " $($sp.Id)

# Create a key for the service principal.
$credential = Add-MgServicePrincipalPassword -ServicePrincipalId $($sp.Id)
Write-Host "Credential of new service principal: " $($credential.SecretText)

Krok 2 – Vytvorenie skupiny zabezpečenia služby Azure AD

Objekt služby nemá prístup k žiadnemu obsahu služby Power BI a rozhraniam API. Ak chcete prístup pre objekt služby, vytvorte v Azure AD skupinu zabezpečenia. Potom pridajte objekt služby, ktorý ste vytvorili, do tejto skupiny zabezpečenia.

Poznámka

Ak chcete prístup k objektu služby povoliť celej organizácii, vynechajte tento krok.

Existujú dva spôsoby vytvorenia skupiny zabezpečenia služby Azure AD:

• Manuálne (v Azure)
• Použitie prostredia PowerShell

Manuálne vytvorenie skupiny zabezpečenia

Ak chcete vytvoriť skupinu zabezpečenia služby Azure manuálne, postupujte podľa pokynov v téme Vytvorenie základnej skupiny a pridanie členov.

Vytvorenie skupiny zabezpečenia pomocou prostredia PowerShell

Nasledujúci ukážkový skript vytvorí novú skupinu zabezpečenia. Pridá tiež objekt služby, ktorý ste predtým vytvorili, do novej skupiny zabezpečenia.

• Pred spustením skriptu nahraďte <app-client-ID> id klienta, ktoré ste predtým zaznamenali pre svoju novú aplikáciu.
• Po spustení skriptu si poznačte ID objektu novej skupiny zabezpečenia, ktoré nájdete vo výstupe skriptu.

# Sign in as an admin.
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Get the service principal that you created earlier.
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '<app-client-ID>'"

# Create an Azure AD security group.
$group = New-MgGroup -DisplayName "securitygroup1" -SecurityEnabled -MailEnabled:$False -MailNickName "notSet"
Write-Host "Object ID of new security group: " $($group.Id)

# Add the service principal to the group.
New-MgGroupMember -GroupId $($group.Id) -DirectoryObjectId $($servicePrincipal.Id)

Krok 3 – Povolenie nastavení správcu služby Power BI

Ak chcete, aby aplikácia Azure AD pristupovala k obsahu služby Power BI a rozhraniam API, musí správca služby Power BI povoliť tieto nastavenia:

• Vkladanie obsahu v aplikáciách
• Povoliť objektom služby používať rozhrania API služby Power BI

Na portáli služby Power BI Spravovanie prejdite do časti Nastavenia nájomníka a posuňte sa nadol na položku Nastavenia pre vývojára.

• Povoľte možnosť Vkladanie obsahu v aplikáciách buď pre celú organizáciu, alebo pre konkrétnu skupinu zabezpečenia, ktorú ste v Azure AD vytvorili.

  

• Povoľte objektom služby používať rozhrania API služby Power BI buď pre celú organizáciu, alebo pre konkrétnu skupinu zabezpečenia, ktorú ste vytvorili v Azure AD.

  

  Dôležité

  Objekty služby majú prístup k nastaveniam každého nájomníka, pre ktorého sú povolené. V závislosti od nastavení správcu to zahŕňa konkrétne skupiny zabezpečenia alebo celú organizáciu.

  Ak chcete obmedziť prístup objektu služby k určitým nastaveniam nájomníka, povoľte prístup iba ku konkrétnym skupinám zabezpečenia. Prípadne môžete vytvoriť vyhradenú skupinu zabezpečenia pre objekty služby a vylúčiť ju z požadovaných nastavení nájomníka.

Krok 4 – Pridanie objektu služby do svojho pracovného priestoru

Vaša aplikácia Azure AD má prístup k zostavám, tabuliam a množinám údajov služby Power BI iba v prípade, že má prístup k vášmu pracovnému priestoru v službe Power BI. Tento prístup poskytnete tak, že do pracovného priestoru pridáte objekt služby aplikácie alebo jej skupinu zabezpečenia ako člena alebo správcu.

Existujú tri spôsoby, ako do pracovného priestoru pridať objekt služby alebo jeho skupinu zabezpečenia:

• Manuálne
• Použitie prostredia PowerShell
• Použitie skupiny – pridanie rozhrania API používateľov skupiny

Manuálne pridanie objektu služby alebo skupiny zabezpečenia

1. V služba Power BI prejdite na pracovný priestor, pre ktorý chcete povoliť prístup. V ponuke Viac vyberte prístup k pracovnému priestoru.

   

2. Na table Prístup v časti Pridať správcov, členov alebo prispievateľov pridajte jednu z týchto možností:

   • Váš objekt služby. Názov objektu služby je zobrazovaný názov vašej aplikácie Azure AD v podobe, v akej sa zobrazuje na karte prehľadu aplikácie Azure AD.
   • Skupina zabezpečenia, ktorá zahŕňa váš objekt služby.

3. V rozbaľovacej ponuke vyberte položku Člen alebo Spravovanie.

4. Vyberte položku Add (Pridať).

Pridanie objektu služby alebo skupiny zabezpečenia pomocou prostredia PowerShell

V nasledujúcich častiach nájdete vzorové skripty prostredia PowerShell na pridanie objektu služby a skupiny zabezpečenia do pracovného priestoru služby Power BI ako člena.

Pridanie objektu služby ako člena pracovného priestoru pomocou prostredia PowerShell

Nasledujúci skript pridá objekt služby ako člena pracovného priestoru. Pred spustením skriptu:

• Nahraďte <service-principal-object-ID> objektom ID objektu, ktorý ste predtým zaznamenali pre nový objekt služby.
• Nahraďte <workspace-name> názvom pracovného priestoru, ku ktorému chcete objektu služby udeliť prístup.

# Sign in to Power BI.
Login-PowerBI

# Set up the service principal ID.
$SPObjectID = "<service-principal-object-ID>"

# Get the workspace.
$pbiWorkspace = Get-PowerBIWorkspace -Filter "name eq '<workspace-name>'"

# Add the service principal to the workspace.
Add-PowerBIWorkspaceUser -Id $($pbiWorkspace.Id) -AccessRight Member -PrincipalType App -Identifier $($SPObjectID)

Pridanie skupiny zabezpečenia ako člena pracovného priestoru pomocou prostredia PowerShell

Nasledujúci skript pridá skupinu zabezpečenia ako člena pracovného priestoru. Pred spustením skriptu:

• Nahraďte <security-group-object-ID> položku ID objektu, ktoré ste predtým zaznamenali pre svoju novú skupinu zabezpečenia.
• Nahraďte <workspace-name> názvom pracovného priestoru, ku ktorému chcete skupine zabezpečenia udeliť prístup.

# Sign in to Power BI.
Login-PowerBI

# Set up the security group object ID.
$SGObjectID = "<security-group-object-ID>"

# Get the workspace.
$pbiWorkspace = Get-PowerBIWorkspace -Filter "name eq '<workspace-name>'"

# Add the security group to the workspace.
Add-PowerBIWorkspaceUser -Id $($pbiWorkspace.Id) -AccessRight Member -PrincipalType Group -Identifier $($SGObjectID)

Krok 5 – Vloženie obsahu

Obsah môžete vložiť do ukážkovej aplikácie alebo do vlastnej aplikácie.

Po vložení obsahu môžete prejsť na produkciu.

Poznámka

Ak chcete zabezpečiť svoj obsah pomocou certifikátu, postupujte podľa krokov popísaných v téme Vloženie obsahu služby Power BI pomocou objektu služby a certifikátu.

Dôležité informácie a obmedzenia

• Môj pracovný priestor nie je podporovaný, ak sa používa objekt služby.
• Pri presune do produkčného prostredia sa vyžaduje kapacita.
• Do portálu služby Power BI sa nemožno prihlásiť pomocou objektu služby.
• Na povolenie objektu služby v nastaveniach pre vývojára v rámci portálu Spravovanie služby Power BI sa vyžadujú práva správcu služby Power BI.
• Aplikácie s vloženým obsahom pre vašu organizáciu nemôžu používať objekt služby.
• Správa tokov údajov nie je podporovaná.
• Objekt služby podporuje iba niektoré rozhrania API správcu určené iba na čítanie. Ak chcete povoliť podporu objektu služby pre rozhrania API správcu iba na čítanie, musíte vo svojom nájomníkovi povoliť nastavenia správcu služba Power BI. Ďalšie informácie nájdete v téme Povolenie overovania objektom služby pre rozhrania API správcu určené iba na čítanie.
• Keď používate objekt služby so zdrojom údajov Azure Analysis Services , samotný objekt služby musí mať povolenia inštancie služby Azure Analysis Services. Použitie skupiny zabezpečenia obsahujúcej objekt služby na tento účel nefunguje.

Ďalšie kroky

• Registrácia aplikácie
• Power BI Embedded pre vašich zákazníkov
• Objekt aplikácie a objekt služby v Azure Active Directory