內嵌式分析存取令牌

適用於： 應用程式擁有數據 用戶擁有數據

取用 Power BI 內容（例如報表、儀錶板和磚）需要存取令牌。 根據您的解決方案，此令牌可以是 Microsoft Entra 令牌、內嵌令牌或兩者。

在為客戶解決方案的內嵌中，應用程式會產生內嵌令牌，以授與 Web 使用者對 Power BI 內容的存取權。

注意

當您針對客戶解決方案使用內嵌時，可以使用任何驗證方法來允許存取您的 Web 應用程式。

在內嵌組織解決方案中，您的 Web 應用程式使用者會使用自己的認證，針對 Microsoft Entra ID 進行驗證。 您的客戶可以存取他們有權存取 Power BI 服務的 Power BI 內容。

Microsoft Entra Token

針對客戶內嵌和為組織解決方案進行內嵌，您需要 Microsoft Entra 令牌。 所有 REST API 作業都需要 Microsoft Entra 令牌，且會在一小時後到期。

• 在客戶解決方案的內嵌中，會使用 Microsoft Entra 令牌來產生內嵌令牌。

• 在組織解決方案的內嵌中，會使用 Microsoft Entra 令牌來存取 Power BI。

您可以透過下列其中一種方式取得 Microsoft Entra 令牌：

• 使用外部 Postman 工具來取得令牌。 如需詳細資訊，請參閱此 Power BI 社群 線程。 服務主體的要求 URL 必須是 https://login.microsoftonline.com/{tenantID}/oauth2/v2.0/token，但對於主要使用者而言，它可以是 https://login.microsoftonline.com/{tenantID}/oauth2/v2.0/token 或 https://login.microsoftonline.com/common/oauth2/token。

• 遵循 PowerBI-Developer-Samples 的範例解決方案。 例如：

  • 如需 為客戶內 嵌，請參閱 此 AadService.cs 檔案。 authorityUrl在 AppOwnsData/Web.config 中尋找 與 scopeBase。

  • 如需為組織內嵌，請參閱此 OwinOpenId 連線.cs 檔案。 尋找 authorityUrl UserOwnsData /Web.config。

  注意

  您可以在authorityUrl針對政府和國家/地區雲端在應用程式中內嵌內容中找到某些主權雲端的 和 scopeBase 值。

內嵌令牌

當您針對客戶解決方案使用內嵌時，Web 應用程式必須知道使用者可以存取的 Power BI 內容。 使用內嵌令牌 REST API 來產生內嵌令牌，其會指定下列資訊：

• Web 應用程式使用者可以存取的內容

• Web 應用程式使用者存取層級（檢視、 建立或 編輯）

如需詳細資訊，請參閱 產生內嵌令牌時的考慮。

驗證流程

本節說明客戶內嵌的不同驗證流程，以及為組織解決方案進行內嵌。

為客戶內嵌

為客戶解決方案的內嵌會使用非互動式驗證流程。 在為客戶解決方案的內嵌中，使用者不會登入 Microsoft Entra ID 以存取 Power BI。 相反地，您的 Web 應用程式會使用保留的 Microsoft Entra 身分識別來針對 Microsoft Entra 識別符進行驗證，併產生內嵌令牌。 保留的身分識別可以是 服務主體 或 主要使用者：

• 服務主體 您的 Web 應用程式會使用 Microsoft Entra 服務主體對象，針對 Microsoft Entra 標識符進行驗證，並取得僅限應用程式的 Microsoft Entra 令牌。 Microsoft Entra ID 建議使用此 僅限 應用程式驗證方法。

  使用服務主體時，您必須在 Power BI 服務 系統管理員設定中啟用Power BI API 存取。 啟用存取可讓 Web 應用程式存取 Power BI REST API。 若要在工作區上使用 API 作業，服務主體必須是 工作區的成員 或系統管理員。

• 主要使用者 您的 Web 應用程式會使用使用者帳戶來根據 Microsoft Entra 識別碼進行驗證，並取得 Microsoft Entra 令牌。 主要用戶帳戶必須擁有Power BI Pro或 進階版 Per User （PPU） 授權。

  當您使用主要使用者帳戶時，您必須定義應用程式的 委派許可權 （也稱為範圍）。 主要使用者或 租用戶系統管理員 在使用Power BI REST API時，必須同意使用這些許可權。

成功驗證 Microsoft Entra ID 之後，您的 Web 應用程式會產生內 嵌令牌 ，以允許使用者存取特定的 Power BI 內容。

注意

• 若要使用 客戶的 內嵌解決方案進行內嵌，您需要具有 A、EM 或 P SKU 的容量。
• 若要 移至生產環境，您需要容量。

下圖顯示客戶解決方案內嵌的驗證流程。

1. Web 應用程式使用者會使用您的驗證方法，對您的 Web 應用程式進行驗證。

2. 您的 Web 應用程式會使用服務主體或主要用戶來驗證 Microsoft Entra ID。

3. 您的 Web 應用程式會從 Microsoft Entra 識別碼取得 Microsoft Entra 令牌 ，並用它來存取 Power BI REST API。 您選擇的驗證方法會提供 Power BI REST APIS 的存取權，這取決於驗證方法是否為服務主體或主要使用者。

4. 您的 Web 應用程式會呼叫 內嵌令牌 REST API 作業，並要求內嵌令牌。 內嵌令牌會指定哪些 Power BI 內容可以內嵌。

5. REST API 會將內嵌令牌傳回至您的 Web 應用程式。

6. Web 應用程式會將內嵌令牌傳遞至使用者的網頁瀏覽器。

7. Web 應用程式使用者會使用內嵌令牌來存取 Power BI。

為組織內嵌

組織解決方案的內嵌會使用互動式驗證流程。 Web 應用程式使用者會使用自己的 Power BI 認證，針對 Microsoft Entra 識別碼進行驗證。 他們必須同意以 Microsoft Entra 識別元註冊應用程式時所設定的 API 許可權。 要求 Microsoft 許可權 的對話框視窗會要求使用者授與這些許可權。 授與同意之後，使用者可以內嵌使用者可存取的 Power BI 內容。

注意

• 您組織解決方案的內嵌不支援 A SKU。

• 若要 移至生產環境，您需要下列其中一個設定：

  • 具有 Pro 授權的所有使用者。
  • 具有 PPU 授權的所有使用者。
  • 容量或網狀架構 F64 或更大的容量。 此設定可讓所有用戶擁有免費授權。

此圖顯示適用於您組織解決方案內嵌的驗證流程範例。

1. Web 應用程式使用者存取 Web 應用程式。

2. Web 應用程式會將 Web 應用程式使用者重新導向至 Microsoft Entra ID。

3. Web 應用程式使用者會使用其 Power BI 認證，針對 Microsoft Entra 識別碼進行驗證。

4. Microsoft Entra ID 會使用 Microsoft Entra 令牌將 Web 應用程式使用者重新導向回 Web 應用程式。 在隱含授與案例中，存取令牌會傳回給使用者的瀏覽器。

5. Web 應用程式會將 Microsoft Entra 令牌傳遞至使用者的網頁瀏覽器。

6. 您的 Power BI Web 應用程式會使用 Microsoft Entra 令牌來內嵌 Power BI 內容，例如報表和儀錶板，Web 應用程式使用者有權存取這些內容。

相關內容

• 產生內嵌令牌時的考慮
• Power BI 內嵌式分析中的容量和 SKU

更多問題嗎？ 嘗試詢問 Power BI 社群