Microsoft Entra ID 應用程式設定
若要使用驗證 API,ISV 必須先在 Microsoft Entra ID 中註冊應用程式,才能支援每個雲端,並為 Power BI 應用程式預先授權每個視覺效果的專用範圍。 接著租用戶系統管理員需要授與同意。 本文概述所有這些基本步驟。
下列雲端中支援驗證 API:
- COM (必要) - 商業雲端
- CN - 中國雲端
- GCC - 美國政府社群雲端
- GCCHIGH - 美國政府社群雲端高
- DOD - 美國國防部雲端
在 Microsoft Entra ID 中註冊應用程式
針對每個要支援視覺效果的雲端,請遵循下列步驟:
瀏覽至個別的 Azure 入口網站,並移至 [應用程式註冊]。
選取 [+ 新增註冊]
在 [註冊應用程式] 頁面上,執行下列動作:
- 在 [名稱] 區段中輸入所需的應用程式名稱。
- 選取 [支援的帳戶類型] 區段中的 [任何組織目錄中的帳戶 (任何 Azure AD 目錄 - 多租用戶)]。
- 選取註冊。
![Microsoft Entra ID 註冊應用程式的 [註冊應用程式] 頁面的螢幕擷取畫面。](media/entra-id-authentication/register-app.png)
成功註冊應用程式之後,選取左側功能表上的 [公開 API]。
![Microsoft Entra ID 註冊應用程式的 [公開 API] 頁面的螢幕擷取畫面。](media/entra-id-authentication/expose-api.png)
在 [應用程式識別碼 URI] 欄位中,選取 [新增]。
![[公開 API] 頁面的螢幕擷取畫面,其中包含新增應用程式識別碼 URI 的選項。](media/entra-id-authentication/add-app-id-uri.png)
在 [編輯應用程式識別碼 URI] 欄位中,輸入您的 [已驗證的自訂網域],確保其開頭為 "https://" 且未包含 "onmicrosoft.com",然後選取 [儲存]。
若要新增自訂網域:
- 瀏覽至 Microsoft Entra ID 自訂網域名稱。
- 新增您的自訂網域。
![[公開 API] 頁面的螢幕擷取畫面,其中已開啟 [編輯應用程式識別碼 URI] 頁面。](media/entra-id-authentication/edit-app-id-uri.png)
注意
應用程式 URI 可以手動新增至 “identifierUris” 陣列下的應用程式資訊清單。
選取 [+ 新增範圍]。
在 [範圍名稱] 欄位中,輸入 <visual_guid>_CV_ForPBI 並新增必要的資訊。 填寫 [管理員同意] 欄位。 然後選取 [新增範圍] 按鈕。 (有 40 個字元的範圍長度限制,但您可以手動修改已註冊應用程式資訊清單中的範圍名稱來管理這項限制)。
![[編輯範圍] 視窗的螢幕擷取畫面,其中包含範圍名稱和其他資訊的欄位。](media/entra-id-authentication/edit-scope.png)
若要預先授權 Power BI 應用程式:
選取 [+ 新增用戶端應用程式]。
![[編輯範圍] 視窗的螢幕擷取畫面,其中包含用於新增用戶端應用程式的欄位。](media/entra-id-authentication/add-client.png)
在右側視窗的 [用戶端識別碼] 欄位中輸入 [Power BI WFE] 應用程式 appId。
- COM (必要) 和 CN:"871c010f-5e61-4fb1-83ac-98610a7e9110"。
- GCC、GCCHIGH 和 DOD:”ec04d7d8-0476-4acd-bce4-81f438363d37"。
選取您想要的範圍。
選取新增應用程式。
使用下列資訊重複此程序:
Power BI Desktop:
- COM (必要) 和 CN:"7f67af8a-fedc-4b08-8b4e-37c4d127b6cf"。
- GCC、GCCHIGH 和 DOD:“6807062e-abc9-480a-ae93-9f7deee6b470"。
Power BI 行動版:
- COM (必要) 和 CN:"c0d2a505-13b8-4ae0-aa9e-cddd5eab0b12"。
- GCC、GCCHIGH 和 DOD:"ce76e270-35f5-4bea-94ff-eab975103dc6"。
![[公開 API] 頁面的螢幕擷取畫面,其中已開啟 [編輯應用程式識別碼 URI] 頁面。](media/entra-id-authentication/edit-app-id-uri.png#lightbox)
![[編輯範圍] 視窗的螢幕擷取畫面,其中包含範圍名稱和其他資訊的欄位。](media/entra-id-authentication/edit-scope.png#lightbox)
![[編輯範圍] 視窗的螢幕擷取畫面,其中包含用於新增用戶端應用程式的欄位。](media/entra-id-authentication/add-client.png#lightbox)
ISV 同意
租用戶系統管理員可以決定是否允許使用者自行同意。 此同意程序會在 Power BI 外部進行。
ISV 後端應用程式 (例如,https://contoso.com) 應根據標準 AAD 規則,同意圖形 API 和其他相依性 (透過使用者或租用戶系統管理員):
如果 ISV 應用程式是在與視覺效果取用者租用戶不同的租用戶上執行,請以下列其中一種方式授與 ISV 應用程式的同意:
系統管理員預先同意:
遵循為應用程式授與全租用戶系統管理員同意中的指示。 將全租用戶的系統管理員同意 URL 取代為每個雲端的個別連結:
- COM 和 GCC:
https://login.microsoftonline.com/{organization}/adminconsent?client_id={clientId} - CN:
https://login.partner.microsoftonline.cn/{organization}/adminconsent?client_id={clientId} - GCCHIGH 和 DOD:
https://login.microsoftonline.us/{organization}/adminconsent?client_id={clientId}
- COM 和 GCC:
互動式同意:
如果租用戶系統管理員沒有預先同意,任何使用觸發 API 視覺效果的使用者在轉譯視覺效果時,會收到一次性同意提示。 如需詳細資訊,請參閱應用程式同意體驗。