Sdílet prostřednictvím

Připojte se k serveru sestav Power BI a SSRS z mobilních aplikací Power BI

  • Článek

Tento článek popisuje, jak nakonfigurovat prostředí tak, aby podporovalo ověřování OAuth v mobilní aplikaci Power BI pro připojení k Serveru sestav Power BI a službě SQL Server Reporting Services 2016 nebo novějším.

Požadavky

Windows Server se vyžaduje pro servery Proxy webových aplikací (WAP) a Active Directory Federation Services (AD FS). Nemusíte mít doménu na úrovni funkčnosti Windows.

Aby uživatelé mohli přidat připojení serveru sestav ke své mobilní aplikaci Power BI, musíte jim udělit přístup k domovské složce serveru sestav.

Poznámka

Od 1. března 2025 se už aplikace Power BI Mobile nebude moct připojit k Serveru sestav pomocí protokolu OAuth prostřednictvím služby AD FS nakonfigurované ve Windows Serveru 2016. Zákazníci, kteří používají OAuth se službou AD FS nakonfigurovanou ve Windows Serveru 2016 a proxy webových aplikací (WAP), budou muset upgradovat server SLUŽBY AD FS na Windows Server 2019 nebo novější nebo používat proxy aplikací Microsoft Entra. Po upgradu systému Windows Server se uživatelé aplikace Power BI Mobile možná budou muset znovu přihlásit k Serveru sestav.

Tento upgrade vyžaduje změna knihovny ověřování používané mobilní aplikací. Tato změna nijak neovlivní podporu služby AD FS ve Windows Serveru 2016, ale jenom schopnost aplikace Power BI Mobile se k ní připojit.

Konfigurace DNS (Domain Name Services)

Veřejná adresa URL je adresa URL, ke které se mobilní aplikace Power BI připojí. Může vypadat například nějak takto.

https://reports.contoso.com

Záznam DNS pro hlásí jako veřejnou IP adresu serveru Web Application Proxy (WAP). Musíte také nakonfigurovat veřejný záznam DNS pro váš server AD FS. Například jste nakonfigurovali server AD FS s následující adresou URL.

https://fs.contoso.com

Přesměrujte váš záznam DNS pro fs na veřejnou IP adresu serveru proxy webových aplikací (WAP), protože bude součástí publikace aplikace WAP.

Certifikáty

Musíte nakonfigurovat certifikáty pro aplikaci WAP i server SLUŽBY AD FS. Oba tyto certifikáty musí být součástí platné certifikační autority, kterou vaše mobilní zařízení rozpozná.

Konfigurace služby Reporting Services

Na straně služby Reporting Services není potřeba moc konfigurovat. Stačí se ujistit, že:

  • Existuje platný hlavní název služby (SPN), aby mohlo správně proběhnout ověřování protokolem Kerberos.
  • Server služby Reporting Services je povolen pro ověřování pomocí vyjednávání .
  • Uživatelé mají přístup k domovské složce serveru sestav.

Hlavní název služby (SPN)

Hlavní název služby (SPN) je jedinečný identifikátor služby, která používá ověřování protokolem Kerberos. Musíte se ujistit, že máte pro server sestav správný hlavní název služby HTTP.

Informace o tom, jak nakonfigurovat správný hlavní název služby (SPN) pro server sestav, najdete v tématu Registrace hlavního názvu služby (SPN) pro server sestav.

Povolení vyjednávacího ověřování

Aby server sestav mohl používat ověřování protokolem Kerberos, je třeba nakonfigurovat jeho typ ověřování na RSWindowsNegotiate. Uděláte to v souboru rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Další informace naleznete v tématu Úprava konfiguračního souboru služby Reporting Services a Konfigurace ověřování systému Windows na serveru sestav.

Konfigurace služby AD FS (Active Directory Federation Services)

Službu AD FS musíte nakonfigurovat na windows serveru ve vašem prostředí. Konfiguraci můžete provést prostřednictvím Správce serveru a výběrem možnosti Přidat role a funkce v části Spravovat. Další informace najdete v části služba Active Directory Federation Services.

Důležitý

Od 1. března 2025 se už aplikace Power BI Mobile nebudou moct připojit k Serveru sestav prostřednictvím služby AD FS nakonfigurované ve Windows Serveru 2016. Na začátku tohoto článku se podívejte na poznámku .

Vytvoření skupiny aplikací

Na obrazovce Správa služby AD FS chcete vytvořit skupinu aplikací pro službu Reporting Services, která obsahuje informace pro aplikace Power BI Mobile.

Skupinu aplikací můžete vytvořit pomocí následujícího postupu.

  1. V aplikaci Správa služby AD FS klikněte pravým tlačítkem na skupiny aplikací a vyberte Přidat skupinu aplikací...

    Přidání aplikace v AD FS

  2. V Průvodci přidáním skupiny aplikací zadejte název skupiny aplikací a vyberte Nativní aplikaci přistupující k webovému rozhraní API.

    Průvodce skupinou aplikací služby AD FS 01

  3. Vyberte Další.

  4. Zadejte název aplikace, kterou přidáváte.

  5. I když bude ID klienta automaticky vygenerováno pro vás, zadejte 484d54fc-b481-4eee-9505-0258a1913020 pro iOS i Android.

  6. Chcete přidat následující adresy URL pro přesměrování :

    Položky pro Power BI Mobile – iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    aplikace pro Android potřebují jenom následující kroky:
    urn:ietf:wg:oauth:2.0:oob

    Průvodce skupinou aplikací služby AD FS 02

  7. Vyberte Další.

  8. Zadejte adresu URL serveru pro generování sestav. Adresa URL je externí adresa URL, která se dostane na proxy webových aplikací. Měla by být v následujícím formátu.

    Poznámka

    V této adrese URL se rozlišují malá a velká písmena.

    https://<report server url>/reports

    Průvodce skupinou aplikací služby AD FS 03

  9. Vyberte Další.

  10. Zvolte zásad řízení přístupu, které vyhovují potřebám vaší organizace.

    Průvodce skupinou aplikací služby AD FS 04

  11. Vyberte Další.

  12. Vyberte Další.

  13. Vyberte Další.

  14. Vyberte Zavřít.

Po dokončení by se měly zobrazit vlastnosti vaší skupiny aplikací podobně jako v následujícím příkladu.

Průvodce skupinou aplikací služby AD FS

Teď na serveru SLUŽBY AD FS spusťte následující příkaz PowerShellu, abyste zajistili, že je aktualizace tokenu podporovaná.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Konfigurace proxy webových aplikací (WAP)

Chcete povolit roli Proxy webových aplikací systému Windows na serveru ve vašem prostředí. Musí být na serveru s Windows. Další informace naleznete v tématu Proxy webových aplikací v systému Windows Server a publikování aplikací pomocí předběžného ověření služby AD FS.

Konfigurace omezeného delegování

Abychom mohli přejít z ověřování OAuth na ověřování systému Windows, musíme použít omezené delegování s přechodem protokolu. Toto je součástí konfigurace Protokolu Kerberos. SPN služby Reporting Services jsme už definovali v rámci její konfigurace.

Musíme nakonfigurovat omezené delegování na účtu počítače serveru WAP v rámci služby Active Directory. Pokud nemáte oprávnění ke službě Active Directory, možná budete muset spolupracovat se správcem domény.

Pokud chcete nakonfigurovat omezené delegování, chcete provést následující kroky.

  1. Na počítači s nainstalovanými nástroji Active Directory spusťte Active Directory Users and Computers.

  2. Vyhledejte účet počítače pro server WAP. Ve výchozím nastavení je v kontejneru počítačů.

  3. Klikněte pravým tlačítkem myši na server WAP a přejděte na Vlastnosti.

  4. Vyberte záložku Delegování.

  5. Vyberte Důvěřovat tomuto počítači pro delegování pouze určeným službám a pak Použít libovolný ověřovací protokol.

    WAP omezené

    Tímto se nastavuje omezené delegování pro účet tohoto serveru WAP. Pak musíme určit služby, na které může tento počítač delegovat.

  6. V poli Služby vyberte Přidat....

    WAP s omezením 02

  7. Vyberte Uživatelé nebo počítače...

  8. Zadejte účet služby, který používáte pro službu Reporting Services. Tento účet je účet, do který jste přidali hlavní název služby (SPN) v rámci konfigurace služby Reporting Services.

  9. Vyberte hlavní název služby (SPN) pro službu Reporting Services a pak vyberte OK.

    Poznámka

    Možná uvidíte pouze NetBIOS SPN. Skutečně vybere jak NetBIOS, tak FQDN SPN, pokud oba existují.

    WAP Omezený 03

  10. Výsledek by měl vypadat podobně, když je zaškrtnuto políčko Rozšířené.

    omezení WAP 04

  11. Vyberte OK.

Přidání aplikace WAP

I když můžete publikovat aplikace v konzole pro správu přístupu k sestavám, budeme chtít aplikaci vytvořit prostřednictvím PowerShellu. Tady je příkaz pro přidání aplikace.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parametr Komentáře
ADFSRelyingPartyName Název webového rozhraní API, který jste vytvořili jako součást skupiny aplikací ve službě AD FS.
externalCertificateThumbprint Certifikát, který se má použít pro externí uživatele. Je důležité, aby certifikát byl platný na mobilních zařízeních a pochází z důvěryhodné certifikační autority.
BackendServerUrl Adresa URL serveru sestav ze serveru WAP. Pokud je server WAP v DMZ, možná budete muset použít plně kvalifikovaný název domény. Ujistěte se, že tuto adresu URL můžete použít z webového prohlížeče na serveru WAP.
BackendServerAuthenticationSPN Principální název služby (SPN), který jste vytvořili v rámci konfigurace Reporting Services.

Nastavení integrovaného ověřování pro aplikaci WAP

Po přidání aplikace WAP musíte nastavit BackendServerAuthenticationMode tak, aby používal IntegratedWindowsAuthentication. K jeho nastavení potřebujete ID z aplikace WAP.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

snímek obrazovky s ID, které potřebujete z aplikace WAP

Spuštěním následujícího příkazu nastavte BackendServerAuthenticationMode pomocí ID aplikace WAP.

Set-WebApplicationProxyApplication -id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Snímek obrazovky ukazující, jak nastavit režim ověřování back-endového serveru pomocí ID aplikace WAP

Připojení pomocí mobilní aplikace Power BI

V mobilní aplikaci Power BI se chcete připojit k instanci služby Reporting Services. Uděláte to tak, že zadáte externí adresu URL pro vaši aplikaci WAP.

Zadejte adresu serveru

Když vyberete Připojit, budete přesměrováni na přihlašovací stránku služby AD FS. Zadejte platné přihlašovací údaje pro vaši doménu.

přihlášení ke službě AD FS

Po výběru Přihlásit sese zobrazí elementy ze serveru služby Reporting Services.

Vícefaktorové ověřování

Vícefaktorové ověřování můžete povolit, aby se pro vaše prostředí povolilo další zabezpečení. Další informace najdete v tématu Konfigurace vícefaktorového ověřování Microsoft Entra jako zprostředkovatele ověřování pomocí služby AD FS.

Řešení problémů

Zobrazí se chyba "Přihlášení k serveru SSRS se nezdařilo"

Můžete nastavit Fiddler tak, aby fungoval jako proxy server pro vaše mobilní zařízení a mohli jste sledovat, jak daleko se žádost dostala. Pokud chcete povolit proxy server Fiddler pro vaše mobilní zařízení, musíte nastavit CertMaker pro iOS a Android na počítači, kde běží Fiddler. Doplněk je od Telerik for Fiddler.

Pokud přihlášení při použití Fiddleru funguje úspěšně, možná máte problém s certifikátem buď s aplikací WAP, nebo se serverem SLUŽBY AD FS.

Související obsah