测试单一登录 (SSO) 配置
单一登录 (SSO) 让每个 Power BI 用户都能精准访问他们在基础数据源中对其具有权限的数据。 使用 Kerberos 约束委派或安全断言标记语言 (SAML) 为 SSO 启用了多个 Power BI 数据源。 有关详细信息,请参阅 Power BI 中本地数据网关的单一登录概述。
设置 SSO 十分复杂,因此可以使用“测试单一登录 (SSO) 配置”功能测试你的配置。
单一登录测试:
- 允许网关使用提供的测试用户主体名称 (UPN) 连接到数据源。
- 验证 SSO 设置,其中包括检查映射到本地 Active Directory (AD) 标识的 UPN 以进行模拟和数据源访问。
- 帮助识别发生连接失败时的问题。 例如,错误消息指示 UPN 是否映射到无权访问数据源的本地 AD 标识。
测试单一登录功能适用于适用于 SSO 支持的数据源中列出的数据源的 Kerberos 和基于 SAML 的 SSO。 对于 Kerberos 约束委派,测试单一登录功能可以帮助测试 DirectQuery 和 Import 或仅 DirectQuery 数据源的 SSO。
重要
“测试单一登录”功能需要 2021 年 3 月的网关版本或更高版本。
测试网关的 SSO
要测试 SSO 配置:
从 Power BI 的“管理连接和网关”中,选择数据源的“设置”。
在“设置”窗格中的“单一登录”下,选择“测试单一登录”。
提供一个要测试的用户主体名称。
如果网关群集能够模拟用户并成功连接到数据源,则测试成功,如下图所示:
疑难解答
本部分介绍测试单一登录时可能出现的常见错误,以及相应修复措施。
模拟错误
如果网关群集无法模拟用户并连接到数据源,则测试失败并显示错误消息:“错误:本地数据网关的服务帐户无法模拟用户”。
可能的原因和解决方案如下:
- Microsoft Entra ID 中不存在该用户。 检查 Microsoft Entra ID 中是否存在该用户。
- 用户未正确映射到本地 AD 帐户。 检查配置,并按照 Power BI 中本地数据网关的单一登录概述中的步骤操作。
- 网关没有模拟权限。 如在网关计算机上向网关服务帐户授予本地策略权限中所述,在网关计算机上向网关服务帐户授予本地策略权限。
凭据无效错误
当网关无法连接到数据源时,错误“错误:无效的连接凭据”出现,因为所提供的 UPN 无权访问数据源。
检查数据源是否配置错误,以拒绝用户访问。 可能需要与数据源/数据库管理员协作才能访问数据源的配置和设置。