Aracılığıyla paylaş

Microsoft Entra uygulama ara sunucusu ile Power BI Mobil’e uzaktan erişimi etkinleştirme

  • Makale

Bu makalede, Power BI mobil uygulamasının Power BI Rapor Sunucusu (PBIRS) ve SQL Server Reporting Services (SSRS) 2016 ve sonraki sürümlerine bağlanmasını sağlamak için Microsoft Entra uygulama ara sunucusunun nasıl kullanılacağı açıklanır. Bu tümleştirme sayesinde, şirket ağından uzakta olan kullanıcılar Power BI mobil uygulamasından Power BI raporlarına erişebilir ve Microsoft Entra kimlik doğrulaması ile korunabilir. Bu koruma, Koşullu Erişim ve çok faktörlü kimlik doğrulaması gibi güvenlik avantajlarını içerir.

Önkoşullar

  • Ortamınızda Reporting Services'i dağıtın.
  • Microsoft Entra uygulama ara sunucusunu etkinleştirin.
  • Mümkün olduğunda, Power BI için aynı iç ve dış etki alanlarını kullanın. Özel etki alanları hakkında daha fazla bilgi edinmek için bkz . Uygulama ara sunucusundaki özel etki alanlarıyla çalışma.

1. Adım: Kerberos Kısıtlanmış Temsilini (KCD) Yapılandırma

Windows kimlik doğrulaması kullanan şirket içi uygulamalar için, Kerberos kimlik doğrulama protokolü ve Kerberos kısıtlanmış temsili (KCD) adlı bir özellik ile çoklu oturum açma (SSO) gerçekleştirebilirsiniz. Özel ağ bağlayıcısı, kullanıcı doğrudan Windows'ta oturum açmamış olsa bile bir kullanıcının Windows belirtecini almak için KCD kullanır. KCD hakkında daha fazla bilgi edinmek için bkz. Uygulama ara sunucusu ile uygulamalarınızda çoklu oturum açmak için Kerberos Kısıtlanmış Temsile Genel Bakış ve Kerberos Kısıtlanmış Temsil.

Reporting Services tarafında yapılandıracak çok fazla şey yoktur. Doğru Kerberos kimlik doğrulamasının gerçekleşmesi için geçerli bir Hizmet Asıl Adı (SPN) gerekir. Kimlik doğrulaması için Negotiate Reporting Services sunucusunu etkinleştirin.

Hizmet Asıl Adını (SPN) Yapılandırma

SPN, Kerberos kimlik doğrulaması kullanan bir hizmetin benzersiz tanımlayıcısıdır. Rapor sunucusu için uygun bir HTTP SPN gereklidir. Rapor sunucunuz için uygun Hizmet Asıl Adını (SPN) yapılandırma hakkında bilgi için bkz . Rapor Sunucusu için Hizmet Asıl Adı (SPN) kaydetme. seçeneğiyle komutunu çalıştırarak SPN'nin Setspn-L eklendiğini doğrulayın. Komut hakkında daha fazla bilgi edinmek için bkz . Setspn.

Anlaşma kimlik doğrulamasını etkinleştirme

Bir rapor sunucusunun Kerberos kimlik doğrulamasını kullanmasını sağlamak için, rapor sunucusunun Kimlik Doğrulama Türünü RSWindowsNegotiate olarak yapılandırın. Rsreportserver.config dosyasını kullanarak bu ayarı yapılandırın.

<AuthenticationTypes>
    <RSWindowsNegotiate />
    <RSWindowsKerberos />
    <RSWindowsNTLM />
</AuthenticationTypes>

Daha fazla bilgi için bkz . Reporting Services Yapılandırma Dosyasını Değiştirme ve Rapor Sunucusunda Windows Kimlik Doğrulamasını Yapılandırma.

Reporting Services uygulama havuzu hesabına eklenen SPN'ye temsilci seçmek için bağlayıcıya güvenildiğinden emin olun

Microsoft Entra uygulama ara sunucusu hizmetinin Reporting Services uygulama havuzu hesabına kullanıcı kimliklerini temsilci olarak ataması için KCD'yi yapılandırın. Özel ağ bağlayıcısını Microsoft Entra Kimliği doğrulanmış kullanıcılar için Kerberos biletlerini alacak şekilde yapılandırın. Sunucu, bağlamı Reporting Services uygulamasına geçirir.

KCD'yi yapılandırmak için her bağlayıcı makinesi için aşağıdaki adımları yineleyin:

  1. Etki alanı denetleyicisinde etki alanı yöneticisi olarak oturum açın ve Active Directory Kullanıcıları ve Bilgisayarları açın.
  2. Bağlayıcının üzerinde çalıştığı bilgisayarı bulun.
  3. Çift tıklayarak bilgisayarı seçin ve ardından Temsilci Seçme sekmesini seçin.
  4. Temsilci seçme ayarlarını Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven olarak ayarlayın. Ardından Herhangi bir kimlik doğrulama protokolü kullan'ı seçin.
  5. Ekle'yi ve ardından Kullanıcılar veya Bilgisayarlar'ı seçin.
  6. Reporting Services için ayarladığınız hizmet hesabını girin.
  7. Tamam'ı seçin. Değişiklikleri kaydetmek için yeniden Tamam'ı seçin.

Daha fazla bilgi için bkz . Uygulama ara sunucusu ile uygulamalarınızda çoklu oturum açma için Kerberos Kısıtlanmış Temsili.

2. Adım: Microsoft Entra uygulama ara sunucusu aracılığıyla Reporting Services yayımlama

Artık Microsoft Entra uygulama ara sunucusunu yapılandırmaya hazırsınız.

  1. Raporlama Hizmetleri'ni aşağıdaki ayarlarla uygulama ara sunucusu aracılığıyla yayımlayın. Uygulama ara sunucusu aracılığıyla uygulama yayımlama hakkında adım adım yönergeler için bkz . Microsoft Entra uygulama ara sunucusunu kullanarak uygulama yayımlama.

    • İç URL: Bağlayıcının şirket ağında ulaşabileceği Rapor Sunucusu URL'sini girin. Bu URL'ye bağlayıcının yüklü olduğu sunucudan erişilebilir olduğundan emin olun. En iyi yöntem, uygulama ara sunucusu aracılığıyla yayımlanan alt yollarla ilgili sorunları önlemek gibi https://servername/ üst düzey bir etki alanı kullanmaktır. Örneğin, veya https://servername/reportserver/değil https://servername/reports/ kullanınhttps://servername/.

      Not

      Rapor Sunucusu'na güvenli bir HTTPS bağlantısı kullanın. Güvenli bağlantı yapılandırma hakkında daha fazla bilgi için bkz . Yerel mod rapor sunucusunda güvenli bağlantıları yapılandırma.

    • Dış URL: Power BI mobil uygulamasının bağlanıyor olduğu genel URL'yi girin. Örneğin, özel bir etki alanı kullanılıyor gibi https://reports.contoso.com görünür. Özel etki alanı kullanmak için, etki alanı için bir sertifika yükleyin ve bir Etki Alanı Adı Sistemi (DNS) kaydını uygulamanızın varsayılan msappproxy.net etki alanına işaret edin. Ayrıntılı adımlar için bkz . Microsoft Entra uygulama ara sunucusundaki özel etki alanlarıyla çalışma.

    • Ön kimlik doğrulama yöntemi: Microsoft Entra Id.

  2. Uygulamanız yayımlandıktan sonra çoklu oturum açma ayarlarını aşağıdaki adımlarla yapılandırın:

    a. Portaldaki uygulama sayfasında Çoklu oturum açma'yı seçin.

    b. Çoklu Oturum Açma Modu için Tümleşik Windows Kimlik Doğrulaması'yı seçin.

    c. İç Uygulama SPN'sini daha önce ayarladığınız değere ayarlayın.

    d. Bağlayıcının kullanıcılarınız adına kullanması için Temsilcili Oturum Açma Kimliği'ni seçin. Daha fazla bilgi için bkz . Farklı şirket içi ve bulut kimlikleriyle çalışma.

    e. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

Uygulamanızı ayarlamayı tamamlamak için Kullanıcılar ve gruplar bölümüne gidin ve kullanıcıları bu uygulamaya erişmeleri için atayın.

3. Adım: Uygulamanın yanıt Tekdüzen Kaynak Tanımlayıcısını (URI) değiştirme

2. adımda otomatik olarak oluşturulan Uygulama Kaydını yapılandırın.

  1. Microsoft Entra Kimliğine Genel Bakış sayfasında Uygulama kayıtları'ı seçin.

  2. Tüm uygulamalar sekmesinde, 2. adımda oluşturduğunuz uygulamayı arayın.

  3. Uygulamayı ve ardından Kimlik Doğrulaması'nı seçin.

  4. Platform için yeniden yönlendirme URI'sini ekleyin.

    Uygulamayı iOS'ta Power BI Mobil için yapılandırırken, türünde Public Client (Mobile & Desktop)yeniden yönlendirme Tekdüzen Kaynak Tanımlayıcıları'nı (URI' ler) ekleyin.

    • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
    • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
    • mspbi-adal://com.microsoft.powerbimobile
    • mspbi-adalms://com.microsoft.powerbimobilems

    Uygulamayı Android'de Power BI Mobil için yapılandırırken türündeki Tekdüzen Kaynak Tanımlayıcıları'nı (URI) yeniden yönlendirmeyi Public Client (Mobile & Desktop)ekleyin.

    • urn:ietf:wg:oauth:2.0:oob
    • mspbi-adal://com.microsoft.powerbimobile
    • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
    • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

    Önemli

    Uygulamanın düzgün çalışması için yeniden yönlendirme URI'leri eklenmelidir. Uygulamayı Power BI Mobil hem iOS hem de Android için yapılandırıyorsanız, Genel İstemci (Mobil ve Masaüstü) türündeki yeniden yönlendirme URI'sini iOS için yapılandırılan yeniden yönlendirme URI'leri listesine ekleyin: urn:ietf:wg:oauth:2.0:oob.

4. Adım: Power BI Mobil Uygulamasından Bağlan

  1. Power BI mobil uygulamasında Reporting Services örneğine bağlanın. Uygulama ara sunucusu aracılığıyla yayımladığınız uygulamanın Dış URL'sini girin.

    Dış URL ile Power BI mobil uygulaması

  2. Bağlan'ı seçin. Microsoft Entra oturum açma sayfası yüklenir.

  3. Kullanıcınız için geçerli kimlik bilgilerini girin ve Oturum aç'ı seçin. Reporting Services sunucusundaki öğeler görüntülenir.

5. Adım: Yönetilen cihazlar için Intune ilkesini yapılandırma (isteğe bağlı)

Şirketinizin iş gücünün kullandığı istemci uygulamalarını yönetmek için Microsoft Intune'u kullanabilirsiniz. Intune, veri şifreleme ve erişim gereksinimleri gibi özellikler sağlar. Intune ilkesiyle Power BI mobil uygulamasını etkinleştirin.

  1. Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.
  2. Yerel istemci uygulamanızı kaydederken 3. Adımda yapılandırılan uygulamayı seçin.
  3. Uygulamanın sayfasında API İzinleri'ni seçin.
  4. İzin ekle'yi seçin.
  5. Kuruluşumun kullandığı API'ler'in altında Microsoft Mobil Uygulama Yönetimi araması yapın ve seçin.
  6. DeviceManagementManagedApps.ReadWrite iznini uygulamaya ekleyin.
  7. Uygulamaya izin erişimi vermek için Yönetici onayı ver'i seçin.
  8. Uygulama koruma ilkeleri oluşturma ve atama konusuna başvurarak istediğiniz Intune ilkesini yapılandırın.

Sorun giderme

Uygulama birkaç dakikadan uzun bir süre rapor yüklemeye çalıştıktan sonra bir hata sayfası döndürürse, zaman aşımı ayarını değiştirmeniz gerekebilir. Varsayılan olarak, uygulama ara sunucusu bir isteği yanıtlaması 85 saniyeye kadar olan uygulamaları destekler. Bu ayarı 180 saniyeye uzatmak için uygulamanın uygulama ara sunucusu ayarları sayfasında arka uç zaman aşımını Uzun olarak ayarlayın. Hızlı ve güvenilir raporlar oluşturma hakkında ipuçları için bkz. Power BI Raporları En İyi Yöntemleri.

Power BI mobil uygulamasının şirket içi Power BI Rapor Sunucusu bağlanmasına olanak tanımak için Microsoft Entra uygulama ara sunucusunun kullanılması, Microsoft Power BI uygulamasının onaylı bir istemci uygulaması olarak kullanılmasını gerektiren Koşullu Erişim ilkeleriyle desteklenmez.

Sonraki adımlar