Aracılığıyla paylaş


Ekleme belirteci oluşturma

UYGULANANLAR: Uygulama verilerin sahibidir Veriler Kullanıcıya aittir

Belirteç oluşturma, web uygulamasına veya portala Power BI raporu veya anlam modeli eklemek için belirteç oluşturmanıza olanak tanıyan bir REST API'dir. Tek bir öğe için veya birden çok rapor veya anlam modeli için belirteç oluşturabilir. Belirteç, isteğinizi Power BI hizmeti karşı yetkilendirmek için kullanılır.

Belirteç oluşturma API'sinde tek bir kimlik (ana kullanıcı veya hizmet sorumlusu) kullanılır ve bu kullanıcının uygulamadaki kimlik bilgilerine (etkin kimlik) bağlı olarak tek bir kullanıcı için belirteç oluşturur.

Kimlik doğrulaması başarılı olduktan sonra ilgili verilere erişim verilir.

Dekont

Belirteç oluşturma, hem raporlar hem de anlam modelleri ve tek veya birden çok öğe için çalışan daha yeni sürüm 2 API'dir. Eski sürüm 1 API'lerine göre tercih edilir. Panolar ve kutucuklar için V1 Panoları GenerateTokenInGroup ve Kutucuklar GenerateTokenInGroup kullanın.

Verilerinizin güvenliğini sağlama

Birden çok müşteriden gelen verileri işleniyorsa, verilerinizin güvenliğini sağlamaya yönelik iki ana yaklaşım vardır: Çalışma alanı tabanlı yalıtım ve Satır düzeyinde güvenlik tabanlı yalıtım. Hizmet sorumlusu profillerinde ve satır düzeyi güvenlikte bunlar arasında ayrıntılı bir karşılaştırma bulabilirsiniz.

Profillerle çalışma alanı tabanlı yalıtım kullanmanızı öneririz, ancak RLS yaklaşımını kullanmak istiyorsanız bu makalenin sonundaki RLS bölümünü gözden geçirin.

Belirteç izinleri ve güvenlik

Belirteç API'leri oluşturma bölümünde GenerateTokenRequest bölümünde belirteç izinleri açıklanır.

Erişim Düzeyi

  • Kullanıcıya görüntüleme veya düzenleme izinleri vermek için allowEdit parametresini kullanın.

  • Kullanıcının bu çalışma alanında yeni raporlar ( SaveAs veya CreateNew) oluşturmasına izin vermek için ekleme belirtecine çalışma alanı kimliğini ekleyin.

Satır Düzeyinde Güvenlik

Satır Düzeyi Güvenlik (RLS) ile kullandığınız kimlik, belirteci oluşturmak için kullandığınız hizmet sorumlusunun veya ana kullanıcının kimliğinden farklı olabilir. Farklı kimlikler kullanarak, ekli bilgileri hedeflediğiniz kullanıcıya göre görüntüleyebilirsiniz. Örneğin, uygulamanızda kullanıcılardan oturum açmalarını isteyebilir ve ardından yalnızca oturum açmış kullanıcı bir satış çalışanıysa satış bilgilerini içeren bir rapor görüntüleyebilirsiniz.

RLS kullanıyorsanız, bazen kullanıcının kimliğini ( EffectiveIdentity parametresi) dışarıda bırakabilirsiniz. EffectiveIdentity parametresini kullanmadığınızda, belirtecin veritabanının tamamına erişimi vardır. Bu yöntem, anlamsal modelin tamamını görüntüleme izni olan yöneticiler ve yöneticiler gibi kullanıcılara erişim vermek için kullanılabilir. Ancak, bu yöntemi her senaryoda kullanamazsınız. Aşağıdaki tabloda farklı RLS türleri listelenmiştir ve kullanıcının kimliği belirtilmeden hangi kimlik doğrulama yönteminin kullanılabileceğini göstermektedir.

Tabloda ayrıca her RLS türü için geçerli olan önemli noktalar ve sınırlamalar gösterilmektedir.

RLS türü Etkin kullanıcı kimliğini belirtmeden ekleme belirteci oluşturabilir miyim? Dikkat edilecekler ve sınırlamalar
Bulut Satır Düzeyi Güvenlik (Bulut RLS) ✔ Ana kullanıcı
✖ Hizmet sorumlusu
RDL (sayfalandırılmış raporlar) ✖ Ana kullanıcı
✔ Hizmet sorumlusu
RDL için ekleme belirteci oluşturmak için ana kullanıcı kullanamazsınız.
Analysis Services (AS) şirket içi canlı bağlantısı ✔ Ana kullanıcı
✖ Hizmet sorumlusu
Ekleme belirtecini oluşturan kullanıcının da aşağıdaki izinlerden birine ihtiyacı vardır:
  • Ağ geçidi yöneticisi izinleri
  • Veri kaynağı kimliğe bürünme izni (ReadOverrideEffectiveIdentity)
  • Analysis Services (AS) Azure canlı bağlantısı ✔ Ana kullanıcı
    ✖ Hizmet sorumlusu
    Ekleme belirtecini oluşturan kullanıcının kimliği geçersiz kılınamaz. Özel veriler dinamik RLS veya güvenli filtreleme uygulamak için kullanılabilir.

    Not: Hizmet sorumlusu, geçerli kimlik (RLS kullanıcı adı) olarak nesne kimliğini sağlamalıdır.
    Çoklu Oturum Açma (SSO) ✔ Ana kullanıcı
    ✖ Hizmet sorumlusu
    Etkin bir kimlik nesnesindeki kimlik blobu özelliği kullanılarak açık (SSO) kimlik sağlanabilir
    SSO ve bulut RLS ✔ Ana kullanıcı
    ✖ Hizmet sorumlusu
    Aşağıdakileri sağlamanız gerekir:
  • Etkili bir kimlik nesnesindeki kimlik blob özelliğinde açık (SSO) kimlik
  • Etkili (RLS) kimlik (kullanıcı adı)
  • Dekont

    Hizmet sorumluları her zaman aşağıdaki bilgileri sağlamalıdır:

    • RLS anlam modeline sahip herhangi bir öğenin kimliği.
    • SSO anlam modeli için, bağlamsal (SSO) kimliği tanımlanmış etkili bir RLS kimliği.

    Power BI anlam modelleri için DirectQuery

    Başka bir Power BI anlam modeline Doğrudan Sorgu bağlantısı olan bir anlam modeline sahip Power BI raporunu eklemek için aşağıdakileri yapın:

    • Power BI portalında XMLA uç noktasını, Premium kapasite için okuma-yazmayı etkinleştirme bölümünde açıklandığı gibi Salt Okunur veya Okuma Yazma olarak ayarlayın. Bunu kapasite başına yalnızca bir kez yapmanız gerekir.
    • Çok kaynaklı ekleme belirteci oluşturma
      • İstekteki tüm veri kümesi kimliklerini belirtin.
      • İstekteki XmlaPermissionsher anlam modeli için öğesini Salt Okunur olarak ayarlayın.
      • Çoklu Oturum Açma (SSO) özellikli her veri kaynağı için içindeki veri kaynağı için kimlik blobunu DatasourceIdentitysağlayın.

    Belirteçlerin süresi dolmadan önce yenileme

    Belirteçler bir zaman sınırıyla birlikte gelir. Başka bir deyişle, bir Power BI öğesini ekledikten sonra bu öğeyle etkileşime geçmek için sınırlı bir süreniz olur. Kullanıcılarınıza sürekli bir deneyim sunmak için, süresi dolmadan önce belirteci yenileyin (veya yenileyin).

    Panolar ve kutucuklar

    Belirteç oluştur, raporlar ve anlamsal modeller için çalışır. Pano veya kutucuk için ekleme belirteci oluşturmak için 1 . Panolar GenerateTokenInGroup veya Tile GenerateTokenInGroup API'lerini kullanın. Bu API'ler aynı anda yalnızca bir öğe için belirteçler oluşturur. Birden çok öğe için belirteç oluşturamazsınız.

    Bu API'ler için:

    • Kullanıcının erişim düzeyini belirlemek için accessLevel parametresini kullanın.

      • Görünüm - Kullanıcıya görüntüleme izinleri verin.

      • Düzenle - Kullanıcıya görüntüleme ve düzenleme izinleri verin (yalnızca rapor için ekleme belirteci oluştururken geçerlidir).

      • Oluşturma - Kullanıcıya yeni rapor oluşturma izinleri verin (yalnızca rapor oluşturmak için ekleme belirteci oluştururken geçerlidir). Rapor oluşturmak için datasetId parametresini de sağlamanız gerekir.

    • Kullanıcıların raporu yeni bir rapor olarak kaydetmesine izin vermek için allowSaveAs boole değerini kullanın. Bu ayar varsayılan olarak false olarak ayarlanır ve yalnızca rapor için ekleme belirteci oluşturulurken geçerlidir.

    Dikkat edilecekler ve sınırlamalar

    • Güvenlik nedeniyle ekleme belirtecinin ömrü, API'yi çağırmak için kullanılan Microsoft Entra belirtecinin kalan ömrüne GenerateToken ayarlanır. Bu nedenle, birkaç ekleme belirteci oluşturmak için aynı Microsoft Entra belirtecini kullanırsanız, oluşturulan ekleme belirteçlerinin ömrü her çağrıda daha kısa olur.

    • Katıştırılacak anlamsal model ve öğe iki farklı çalışma alanındaysa, hizmet sorumlusu veya ana kullanıcı en az her iki çalışma alanının da üyesi olmalıdır.

    • Çalışma alanım için ekleme belirteci oluşturamazsınız.