Κοινή χρήση μέσω


Ρύθμιση παραμέτρων SSO που βασίζεται στο Kerberos από Υπηρεσία Power BI σε προελεύσεις δεδομένων εσωτερικής εγκατάστασης

Η ενεργοποίηση SSO διευκολύνει την ανανέωση δεδομένων για τις αναφορές και τους πίνακες εργαλείων του Power BI από προελεύσεις εσωτερικής εγκατάστασης, με ταυτόχρονη τήρηση των δικαιωμάτων επιπέδου χρήστη που έχουν ρυθμιστεί σε αυτές τις προελεύσεις. Χρησιμοποιήστε την περιορισμένη ανάθεση Kerberos για απρόσκοπτη συνδεσιμότητα SSO.

Αυτό το άρθρο περιγράφει τα βήματα που πρέπει να ακολουθήσετε για να ρυθμίσετε τις παραμέτρους SSO που βασίζονται στο Kerberos από Υπηρεσία Power BI σε προελεύσεις δεδομένων εσωτερικής εγκατάστασης.

Προαπαιτούμενα στοιχεία

Πρέπει να ρυθμίσετε διάφορα στοιχεία προκειμένου η περιορισμένη ανάθεση Kerberos να λειτουργεί σωστά, συμπεριλαμβανομένων των *Κύριων ονομάτων υπηρεσίας (SPN) και των ρυθμίσεων ανάθεσης στους λογαριασμούς υπηρεσίας.

Σημείωμα

Η χρήση ψευδωνύμου DNS με SSO δεν υποστηρίζεται.

Διάρθρωση ρύθμισης παραμέτρων

Τα βήματα που απαιτούνται για τη ρύθμιση παραμέτρων καθολικής σύνδεσης πύλης περιγράφονται παρακάτω.

  1. Ολοκληρώστε όλα τα βήματα στην Ενότητα 1: Βασική ρύθμιση παραμέτρων.

  2. Ανάλογα με το περιβάλλον της υπηρεσίας καταλόγου Active Directory και τις προελεύσεις δεδομένων που χρησιμοποιούνται, ίσως χρειαστεί να ολοκληρώσετε ορισμένες ή όλες τις ρυθμίσεις παραμέτρων που περιγράφονται στην Ενότητα 2: Ρύθμιση παραμέτρων για συγκεκριμένο περιβάλλον.

    Τα πιθανά σενάρια που ενδέχεται να απαιτούν πρόσθετες ρυθμίσεις παραμέτρων παρατίθενται παρακάτω:

    Σενάριο Μετάβαση σε
    Το περιβάλλον της υπηρεσίας καταλόγου Active Directory έχει θωαίνει την ασφάλεια. Προσθήκη λογαριασμού υπηρεσίας πύλης στην ομάδα εξουσιοδότησης και πρόσβασης των Windows
    Ο λογαριασμός υπηρεσίας πύλης και οι λογαριασμοί χρήστη που θα μιμείται η πύλη βρίσκονται σε ξεχωριστούς τομείς ή δάση. Προσθήκη λογαριασμού υπηρεσίας πύλης στην ομάδα εξουσιοδότησης και πρόσβασης των Windows
    Δεν έχετε ρυθμίσει το Microsoft Entra Σύνδεση με τον συγχρονισμό λογαριασμού χρήστη και το UPN που χρησιμοποιείται στο Power BI για χρήστες δεν συμφωνεί με το UPN στο τοπικό περιβάλλον της υπηρεσίας καταλόγου Active Directory. Ορισμός παραμέτρων ρύθμισης αντιστοίχισης χρηστών στον υπολογιστή πύλης
    Σκοπεύετε να χρησιμοποιήσετε μια προέλευση δεδομένων SAP HANA με SSO. Ολοκλήρωση βημάτων ρύθμισης παραμέτρων προέλευσης δεδομένων
    Σκοπεύετε να χρησιμοποιήσετε μια προέλευση δεδομένων SAP BW με SSO. Ολοκλήρωση βημάτων ρύθμισης παραμέτρων προέλευσης δεδομένων
    Σκοπεύετε να χρησιμοποιήσετε μια προέλευση δεδομένων Teradata με SSO. Ολοκλήρωση βημάτων ρύθμισης παραμέτρων προέλευσης δεδομένων
  3. Επικυρώστε τη ρύθμιση παραμέτρων σας όπως περιγράφεται στην Ενότητα 3: Επικύρωση ρύθμισης παραμέτρων για να βεβαιωθείτε ότι το SSO έχει ρυθμιστεί σωστά.

Ενότητα 1: Βασική ρύθμιση παραμέτρων

Βήμα 1: Εγκατάσταση και ρύθμιση παραμέτρων της πύλης δεδομένων εσωτερικής εγκατάστασης της Microsoft

Η πύλη δεδομένων εσωτερικής εγκατάστασης υποστηρίζει μια επί τόπου αναβάθμιση και την ανάληψη ρυθμίσεων των υπαρχουσών πυλών.

Βήμα 2: Αποκτήστε δικαιώματα διαχειριστή τομέα για τη ρύθμιση παραμέτρων των SPN (SetSPN) και της περιορισμένης ανάθεσης Kerberos

Για να ρυθμίσετε τις παραμέτρους των SPN και της ανάθεσης Kerberos, ένας διαχειριστής τομέα θα πρέπει να αποφύγει την εκχώρηση δικαιωμάτων σε κάποιον που δεν έχει δικαιώματα διαχειριστή τομέα. Στην επόμενη ενότητα, θα εξετάσουμε τα προτεινόμενα βήματα ρύθμισης παραμέτρων με περισσότερες λεπτομέρειες.

Βήμα 3: Ρύθμιση παραμέτρων του λογαριασμού υπηρεσίας πύλης

Η επιλογή Α παρακάτω είναι η απαιτούμενη ρύθμιση παραμέτρων, εκτός εάν έχετε ρυθμίσει και τις δύο παραμέτρους του Microsoft Entra Σύνδεση και οι λογαριασμοί χρηστών είναι συγχρονισμένοι. Σε αυτή την περίπτωση, συνιστάται η επιλογή B.

Επιλογή Α: Εκτέλεση της υπηρεσίας πύλης των Windows ως λογαριασμού τομέα με SPN

Σε μια τυπική εγκατάσταση, η πύλη εκτελείται ως λογαριασμός υπηρεσίας του τοπικού υπολογιστή ( NT Service\PBIEgwService).

Λογαριασμός τοπικής υπηρεσίας υπολογιστή

Για να ενεργοποιήσετε την περιορισμένη ανάθεση Kerberos, η πύλη πρέπει να εκτελείται ως λογαριασμός τομέα, εκτός εάν η παρουσία του Microsoft Entra είναι ήδη συγχρονισμένη με την τοπική παρουσία της υπηρεσίας καταλόγου Active Directory (χρησιμοποιώντας microsoft Entra DirSync/Σύνδεση). Για μετάβαση σε λογαριασμό τομέα, ανατρέξτε στο θέμα Αλλαγή λογαριασμού υπηρεσίας πύλης.

Ρύθμιση παραμέτρων SPN για τον λογαριασμό υπηρεσίας πύλης

Πρώτα, εξακριβώστε εάν ήδη έχει δημιουργηθεί ένα SPN για τον λογαριασμό τομέα που χρησιμοποιείται ως λογαριασμός υπηρεσίας πύλης:

  1. Ως διαχειριστής τομέα, εκκινήστε το συμπληρωματικό πρόγραμμα κονσόλας διαχείρισης της Microsoft (MMC) Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory.

  2. Στο αριστερό τμήμα παραθύρου, κάντε δεξί κλικ στο όνομα τομέα, επιλέξτε Εύρεση και, στη συνέχεια, πληκτρολογήστε το όνομα λογαριασμού του λογαριασμού υπηρεσίας πύλης.

  3. Στο αποτέλεσμα αναζήτησης, κάντε δεξί κλικ στον λογαριασμό υπηρεσίας πύλης και επιλέξτε Ιδιότητες.

  4. Εάν η καρτέλα Ανάθεση είναι ορατή στο παράθυρο διαλόγου Ιδιότητες , τότε ένα SPN έχει ήδη δημιουργηθεί και μπορείτε να προχωρήσετε στη Ρύθμιση παραμέτρων περιορισμένης ανάθεσης Kerberos.

  5. Εάν δεν υπάρχει καρτέλα Ανάθεση στο παράθυρο διαλόγου Ιδιότητες , μπορείτε να δημιουργήσετε ένα SPN στον λογαριασμό με μη αυτόματο τρόπο για να το ενεργοποιήσετε. Χρησιμοποιήστε το εργαλείο setspn που συνοδεύει τα Windows (χρειάζεστε δικαιώματα διαχειριστή τομέα για να δημιουργήσετε το SPN).

    Για παράδειγμα, ας υποθέσουμε ότι ο λογαριασμός υπηρεσίας πύλης είναι Contoso\GatewaySvc και η υπηρεσία πύλης εκτελείται στον υπολογιστή με το όνομα MyGatewayMachine. Για να ορίσετε το SPN για τον λογαριασμό υπηρεσίας πύλης, εκτελέστε την ακόλουθη εντολή:

    setspn -S gateway/MyGatewayMachine Contoso\GatewaySvc

    Μπορείτε επίσης να ορίσετε το SPN χρησιμοποιώντας το συμπληρωματικό πρόγραμμα MMC Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory.

Επιλογή Β: Ρύθμιση παραμέτρων υπολογιστή για Σύνδεση Microsoft Entra

Εάν έχει ρυθμιστεί το Microsoft Entra Σύνδεση και οι λογαριασμοί χρήστη είναι συγχρονισμένοι, η υπηρεσία πύλης δεν χρειάζεται να εκτελεί τοπικές αναζητήσεις στο Microsoft Entra κατά τον χρόνο εκτέλεσης. Αντί για αυτό, μπορείτε απλώς να χρησιμοποιήσετε το SID τοπικής υπηρεσίας για την υπηρεσία πύλης για να ολοκληρώσετε όλες τις απαιτούμενες ρυθμίσεις παραμέτρων στο Αναγνωριστικό Microsoft Entra. Τα βήματα ρύθμισης παραμέτρων περιορισμένης ανάθεσης Kerberos που περιγράφονται σε αυτό το άρθρο είναι τα ίδια με τα βήματα ρύθμισης παραμέτρων που απαιτούνται στο περιβάλλον του Microsoft Entra. Εφαρμόζονται στο αντικείμενο υπολογιστή της πύλης (όπως αναγνωρίζεται από το SID τοπικής υπηρεσίας) στο Αναγνωριστικό Microsoft Entra αντί για τον λογαριασμό τομέα. Το SID τοπικής υπηρεσίας για NT SERVICE/PBIEgwService έχει ως εξής:

S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079

Για να δημιουργήσετε το SPN για αυτό το SID στον υπολογιστή Power BI Gateway, θα πρέπει να εκτελέσετε την ακόλουθη εντολή από μια γραμμή εντολών διαχείρισης (αντικαταστήστε <COMPUTERNAME> το με το όνομα του υπολογιστή Power BI Gateway):

SetSPN -s HTTP/S-1-5-80-1835761534-3291552707-3889884660-1303793167-3990676079 <COMPUTERNAME>

Σημείωμα

Ανάλογα με τις τοπικές ρυθμίσεις ασφαλείας σας, ίσως χρειαστεί να προσθέσετε τον λογαριασμό υπηρεσίας πύλης, NT SERVICE\PBIEgwService, στην τοπική ομάδα Διαχείριση istrators στον υπολογιστή πύλης και, στη συνέχεια, να επανεκκινήσετε την υπηρεσία πύλης στην εφαρμογή πύλης. Αυτή η επιλογή δεν υποστηρίζεται για σενάρια που έχουν πολλές πύλες, καθώς η υπηρεσία καταλόγου Active Directory επιβάλλει μοναδικά SPN σε ολόκληρο το δάσος. Για αυτά τα σενάρια, χρησιμοποιήστε την επιλογή A αντί για αυτό.

Βήμα 4: Ρύθμιση παραμέτρων περιορισμένης ανάθεσης Kerberos

Μπορείτε να ρυθμίσετε τις παραμέτρους ανάθεσης είτε για τυπική περιορισμένη ανάθεση Kerberos είτε για περιορισμένη ανάθεση Kerberos που βασίζεται σε πόρους. Για περισσότερες πληροφορίες σχετικά με τις διαφορές μεταξύ των δύο προσεγγίσεων ανάθεσης, ανατρέξτε στο θέμα Επισκόπηση περιορισμένης ανάθεσης Kerberos.

Απαιτούνται οι ακόλουθοι λογαριασμοί υπηρεσίας:

  • Λογαριασμός υπηρεσίας πύλης: Χρήστης υπηρεσίας που αντιπροσωπεύει την πύλη στην υπηρεσία καταλόγου Active Directory, με ένα SPN ρυθμισμένο στο βήμα 3.
  • Λογαριασμός υπηρεσίας προέλευσης δεδομένων: Χρήστης υπηρεσίας που αντιπροσωπεύει την προέλευση δεδομένων στην υπηρεσία καταλόγου Active Directory, με ένα SPN αντιστοιχισμένο στην προέλευση δεδομένων.

Σημείωμα

Οι λογαριασμοί πύλης και υπηρεσίας προέλευσης δεδομένων πρέπει να είναι ξεχωριστοί. Ο ίδιος λογαριασμός υπηρεσίας δεν μπορεί να χρησιμοποιηθεί για την αναπαράσταση τόσο της πύλης όσο και της προέλευσης δεδομένων.

Ανάλογα με την προσέγγιση που θέλετε να χρησιμοποιήσετε, προχωρήστε σε μία από τις παρακάτω ενότητες. Μην ολοκληρώσετε και τις δύο ενότητες:

Επιλογή Α: Τυπική περιορισμένη ανάθεση Kerberos

Τώρα θα ορίσουμε τις ρυθμίσεις ανάθεσης για τον λογαριασμό υπηρεσίας πύλης. Υπάρχουν πολλά εργαλεία που μπορείτε να χρησιμοποιήσετε για να εκτελέσετε αυτά τα βήματα. Εδώ, θα χρησιμοποιήσουμε το συμπληρωματικό πρόγραμμα MMC Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory για τη διαχείριση και δημοσίευση πληροφοριών στον κατάλογο. Είναι διαθέσιμο στους ελεγκτές τομέα από προεπιλογή. σε άλλους υπολογιστές, μπορείτε να το ενεργοποιήσετε μέσω της ρύθμισης παραμέτρων δυνατοτήτων των Windows.

Πρέπει να ρυθμίσουμε τις παραμέτρους της περιορισμένης ανάθεσης Kerberos με μετάβαση πρωτοκόλλου. Με την περιορισμένη ανάθεση, πρέπει να είστε σαφείς σχετικά με τις υπηρεσίες στις οποίες επιτρέπετε στην πύλη να παρουσιάσει διαπιστευτήρια ανάθεσης. Για παράδειγμα, μόνο ο SQL Server ή ο διακομιστής SAP HANA δέχεται κλήσεις ανάθεσης από τον λογαριασμό υπηρεσίας πύλης.

Αυτή η ενότητα προϋποθέτει ότι έχετε ήδη ρυθμίσει SPN για τις υποκείμενες προελεύσεις δεδομένων (όπως SQL Server, SAP HANA, SAP BW, Teradata ή Spark). Για να μάθετε πώς μπορείτε να ρυθμίσετε αυτά τα SPN διακομιστή προέλευσης δεδομένων, ανατρέξτε στην τεχνική τεκμηρίωση για τον αντίστοιχο διακομιστή βάσης δεδομένων και δείτε την ενότητα Ποιο SPN απαιτεί η εφαρμογή σας; στην καταχώρηση ιστολογίου Η λίστα ελέγχου μου Kerberos.

Στα παρακάτω βήματα, υποθέτουμε ένα περιβάλλον εσωτερικής εγκατάστασης με δύο υπολογιστές στον ίδιο τομέα: έναν υπολογιστή πύλης και έναν διακομιστή βάσης δεδομένων που εκτελεί τον SQL Server, ο οποίος έχει ρυθμιστεί ήδη για SSO που βασίζεται στο Kerberos. Τα βήματα μπορούν να υιοθετηθούν για μία από τις άλλες υποστηριζόμενες προελεύσεις δεδομένων, εφόσον η προέλευση δεδομένων έχει ρυθμιστεί ήδη για καθολική σύνδεση που βασίζεται στο Kerberos. Σε αυτό το παράδειγμα, θα χρησιμοποιήσουμε τις παρακάτω ρυθμίσεις:

  • Τομέας Active Directory (Netbios): Contoso
  • Όνομα υπολογιστή πύλης: MyGatewayMachine
  • Λογαριασμός υπηρεσίας πύλης: Contoso\GatewaySvc
  • Όνομα υπολογιστή προέλευσης δεδομένων SQL Server: TestSQLServer
  • Λογαριασμός υπηρεσίας προέλευσης δεδομένων SQL Server: Contoso\SQLService

Δείτε πώς μπορείτε να ρυθμίσετε τις παραμέτρους της ανάθεσης:

  1. Με δικαιώματα διαχειριστή τομέα, ανοίξτε το συμπληρωματικό πρόγραμμα MMC Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory.

  2. Κάντε δεξί κλικ στον λογαριασμό υπηρεσίας πύλης (Contoso\GatewaySvc) και επιλέξτε Ιδιότητες.

  3. Επιλέξτε την καρτέλα Ανάθεση .

  4. Επιλέξτε Να θεωρείται αξιόπιστος αυτός ο υπολογιστής για ανάθεση σε καθορισμένες υπηρεσίες μόνο>Χρησιμοποιήστε οποιοδήποτε πρωτόκολλο ελέγχου ταυτότητας.

  5. Στην περιοχή Υπηρεσίες στις οποίες αυτός ο λογαριασμός μπορεί να παρουσιάσει πιστοποιήσεις με ανάθεση, επιλέξτε Προσθήκη.

  6. Στο νέο παράθυρο διαλόγου, επιλέξτε Χρήστες ή υπολογιστές.

  7. Εισαγάγετε τον λογαριασμό υπηρεσίας για την προέλευση δεδομένων και, στη συνέχεια, επιλέξτε OK.

    Για παράδειγμα, μια προέλευση δεδομένων SQL Server μπορεί να έχει έναν λογαριασμό υπηρεσίας όπως Contoso\SQLService. Ένα κατάλληλο SPN για την προέλευση δεδομένων θα έπρεπε να έχει οριστεί ήδη σε αυτόν τον λογαριασμό.

  8. Επιλέξτε το SPN που δημιουργήσατε για τον διακομιστή βάσης δεδομένων.

    Στο παράδειγμά μας, το SPN ξεκινά με MSSQLSvc. Εάν προσθέσατε το FQDN και το SPN NetBIOS για την υπηρεσία βάσης δεδομένων σας, επιλέξτε και τα δύο. Μπορεί να δείτε μόνο ένα.

  9. Επιλέξτε OK.

    Θα πρέπει τώρα να βλέπετε το SPN στη λίστα των υπηρεσιών στις οποίες ο λογαριασμός υπηρεσίας πύλης μπορεί να παρουσιάσει διαπιστευτήρια με ανάθεση.

    Παράθυρο διαλόγου Ιδιότητες Σύνδεση ή πύλης

  10. Για να συνεχίσετε τη διαδικασία ρύθμισης, προχωρήστε στην ενότητα Εκχώρηση δικαιωμάτων τοπικής πολιτικής λογαριασμού υπηρεσίας πύλης στον υπολογιστή πύλης.

Επιλογή Β: Περιορισμένη ανάθεση Kerberos που βασίζεται σε πόρους

Χρησιμοποιείτε περιορισμένη ανάθεση Kerberos που βασίζεται σε πόρους για να ενεργοποιήσετε την καθολική σύνδεση για Windows Server 2012 και νεότερες εκδόσεις. Αυτός ο τύπος ανάθεσης επιτρέπει οι υπηρεσίες προσκηνίων και παρασκηνίων να βρίσκονται σε διαφορετικούς τομείς. Για να λειτουργήσει αυτό, ο τομέας υπηρεσίας παρασκηνίου πρέπει να θεωρεί αξιόπιστο τον τομέα υπηρεσίας προσκηνίου.

Στα παρακάτω βήματα, υποθέτουμε ένα περιβάλλον εσωτερικής εγκατάστασης με δύο υπολογιστές σε διαφορετικούς τομείς: έναν υπολογιστή πύλης και έναν διακομιστή βάσης δεδομένων που εκτελεί τον SQL Server, ο οποίος έχει ρυθμιστεί ήδη για SSO που βασίζεται στο Kerberos. Αυτά τα βήματα μπορούν να υιοθετηθούν για μία από τις υπόλοιπες υποστηριζόμενες προελεύσεις δεδομένων, εφόσον η προέλευση δεδομένων έχει ρυθμιστεί ήδη για καθολική σύνδεση που βασίζεται στο Kerberos. Σε αυτό το παράδειγμα, θα χρησιμοποιήσουμε τις παρακάτω ρυθμίσεις:

  • Τομέας προσκηνίου Active Directory (Netbios): ContosoFrontEnd
  • Τομέας παρασκηνίου Active Directory (Netbios): ContosoBackEnd
  • Όνομα υπολογιστή πύλης: MyGatewayMachine
  • Λογαριασμός υπηρεσίας πύλης: ContosoFrontEnd\GatewaySvc
  • Όνομα υπολογιστή προέλευσης δεδομένων SQL Server: TestSQLServer
  • Λογαριασμός υπηρεσίας προέλευσης δεδομένων SQL Server: ContosoBackEnd\SQLService

Ολοκληρώστε τα παρακάτω βήματα ρύθμισης παραμέτρων:

  1. Χρησιμοποιήστε το συμπληρωματικό πρόγραμμα Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory MMC στον ελεγκτή τομέα για τον τομέα ContosoFrontEnd και επαληθεύστε ότι δεν εφαρμόζονται ρυθμίσεις ανάθεσης για τον λογαριασμό υπηρεσίας πύλης.

    Ιδιότητες σύνδεσης πύλης

  2. Χρησιμοποιήστε Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory στον ελεγκτή τομέα για τον τομέα ContosoBackEnd και επαληθεύστε ότι δεν εφαρμόζονται ρυθμίσεις ανάθεσης για τον λογαριασμό υπηρεσίας παρασκηνίου.

    Ιδιότητες υπηρεσίας SQL

  3. Στην καρτέλα Πρόγραμμα επεξεργασίας χαρακτηριστικού των ιδιοτήτων λογαριασμού, επαληθεύστε ότι το χαρακτηριστικό msDS-AllowedToActOnBehalfOfOtherIdentity δεν έχει οριστεί.

    Χαρακτηριστικά υπηρεσίας SQL

  4. Σε Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory, δημιουργήστε μια ομάδα στον ελεγκτή τομέα για τον τομέα ContosoBackEnd. Προσθέστε τον λογαριασμό υπηρεσίας πύλης GatewaySvc στην ομάδα ResourceDelGroup .

    Για να προσθέσετε χρήστες από έναν αξιόπιστο τομέα, αυτή η ομάδα πρέπει να έχει μια εμβέλεια τοπικού τομέα. Ιδιότητες ομάδας

  5. Ανοίξτε μια γραμμή εντολών και εκτελέστε τις ακόλουθες εντολές στον ελεγκτή τομέα για τον τομέα ContosoBackEnd , για να ενημερώσετε το χαρακτηριστικό msDS-AllowedToActOnBehalfOfOtherIdentity του λογαριασμού υπηρεσίας παρασκηνίου:

    $c = Get-ADGroup ResourceDelGroup
    Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c
    
  6. Σε Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory, επαληθεύστε ότι η ενημέρωση απεικονίζεται στην καρτέλα Πρόγραμμα επεξεργασίας χαρακτηριστικού στις ιδιότητες για τον λογαριασμό υπηρεσίας παρασκηνίου.

Βήμα 5: Ενεργοποίηση κρυπτογράφησης AES σε λογαριασμούς υπηρεσίας

Εφαρμόστε τις παρακάτω ρυθμίσεις στον λογαριασμό υπηρεσίας πύλης και σε κάθε λογαριασμό υπηρεσίας προέλευσης δεδομένων που μπορεί να αναθέσει η πύλη:

Σημείωμα

Εάν υπάρχουν υπάρχοντα enctype που έχουν οριστεί στους λογαριασμούς υπηρεσίας, συμβουλευτείτε την υπηρεσία καταλόγου Active Directory σας Διαχείριση istrator, επειδή ακολουθώντας τα παρακάτω βήματα θα αντικαταστήσει τις υπάρχουσες τιμές enctypes και μπορεί να διακόψει τη λειτουργία των πελατών.

  1. Με δικαιώματα διαχειριστή τομέα, ανοίξτε το συμπληρωματικό πρόγραμμα MMC Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory.

  2. Κάντε δεξί κλικ στον λογαριασμό υπηρεσίας πύλης/προέλευσης δεδομένων και επιλέξτε Ιδιότητες.

  3. Επιλέξτε την καρτέλα Λογαριασμός .

  4. Στην περιοχή Επιλογές λογαριασμού, ενεργοποιήστε τουλάχιστον μία (ή και τις δύο) από τις ακόλουθες επιλογές. Σημειώστε ότι πρέπει να ενεργοποιηθούν οι ίδιες επιλογές για όλους τους λογαριασμούς υπηρεσίας.

    • Αυτός ο λογαριασμός υποστηρίζει κρυπτογράφηση Kerberos AES 128 bit
    • Αυτός ο λογαριασμός υποστηρίζει κρυπτογράφηση Kerberos AES 256 bit

Σημείωμα

Εάν δεν είστε βέβαιοι ποιο σχήμα κρυπτογράφησης θα χρησιμοποιήσετε, συμβουλευτείτε το Διαχείριση istrator της υπηρεσίας καταλόγου Active Directory.

Βήμα 6: Εκχώρηση δικαιωμάτων τοπικής πολιτικής λογαριασμού υπηρεσίας πύλης στον υπολογιστή πύλης

Τέλος, στον υπολογιστή που εκτελεί την υπηρεσία πύλης (MyGatewayMachine στο παράδειγμά μας), εκχωρήστε στον λογαριασμό υπηρεσίας πύλης τις τοπικές πολιτικές Μίμηση υπολογιστή-πελάτη μετά τον έλεγχο ταυτότητας και Να ενεργεί ως τμήμα του λειτουργικού συστήματος (SeTcbPrivilege). Εκτελέστε αυτήν τη ρύθμιση παραμέτρων με το Πρόγραμμα επεξεργασίας τοπικής πολιτικής ομάδας (gpedit.msc).

  1. Στον υπολογιστή πύλης, εκτελέστε gpedit.msc.

  2. Μεταβείτε στην ενότητα Ρύθμιση παραμέτρων>υπολογιστή πολιτικής>τοπικού υπολογιστή windows Ρυθμίσεις> Ασφάλεια Ρυθμίσεις> Τοπικές πολιτικές>Εκχώρηση δικαιωμάτων χρήστη.

    Δομή φακέλων πολιτικής τοπικού υπολογιστή

  3. Από τη λίστα των πολιτικών στην περιοχή Εκχώρηση δικαιωμάτων χρήστη, επιλέξτε Μίμηση υπολογιστή-πελάτη μετά τον έλεγχο ταυτότητας.

    Μίμηση πολιτικής προγράμματος-πελάτη

  4. Κάντε δεξί κλικ στην πολιτική, ανοίξτε τις Ιδιότητες και, στη συνέχεια, προβάλετε τη λίστα λογαριασμών.

    Η λίστα πρέπει να περιλαμβάνει τον λογαριασμό υπηρεσίας πύλης (Contoso\GatewaySvc ή ContosoFrontEnd\GatewaySvc ανάλογα με τον τύπο της περιορισμένης ανάθεσης).

  5. Από τη λίστα των πολιτικών στην περιοχή Εκχώρηση δικαιωμάτων χρήστη, επιλέξτε Να ενεργεί ως τμήμα του λειτουργικού συστήματος (SeTcbPrivilege). Βεβαιωθείτε ότι ο λογαριασμός υπηρεσίας πύλης περιλαμβάνεται στη λίστα λογαριασμών.

  6. Επανεκκινήστε τη διαδικασία της υπηρεσίας πύλης δεδομένων εσωτερικής εγκατάστασης.

Βήμα 7: Ο λογαριασμός Των Windows μπορεί να έχει πρόσβαση στον υπολογιστή πύλης

Το SSO χρησιμοποιεί έλεγχο ταυτότητας των Windows, επομένως, βεβαιωθείτε ότι ο λογαριασμός Windows μπορεί να έχει πρόσβαση στον υπολογιστή πύλης. Εάν δεν είστε βέβαιοι, προσθέστε NT-AUTHORITY\Authenticated Users (S-1-5-11) στην ομάδα "Χρήστες" του τοπικού υπολογιστή.

Ενότητα 2: Ρύθμιση παραμέτρων για συγκεκριμένο περιβάλλον

Προσθήκη λογαριασμού υπηρεσίας πύλης στην ομάδα εξουσιοδότησης και πρόσβασης των Windows

Ολοκληρώστε αυτήν την ενότητα εάν ισχύει οποιαδήποτε από τις ακόλουθες περιπτώσεις:

  • Το περιβάλλον της υπηρεσίας καταλόγου Active Directory έχει θωαίνει την ασφάλεια.
  • Όταν ο λογαριασμός υπηρεσίας πύλης και οι λογαριασμοί χρήστη που θα μιμείται η πύλη βρίσκονται σε ξεχωριστούς τομείς ή δάση.

Μπορείτε επίσης να προσθέσετε τον λογαριασμό υπηρεσίας πύλης στην ομάδα εξουσιοδότησης και πρόσβασης των Windows σε περιπτώσεις όπου ο τομέας/δάσος δεν έχει θωθωριστεί, αλλά δεν απαιτείται.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ομάδα εξουσιοδότησης και πρόσβασης των Windows.

Για να ολοκληρώσετε αυτό το βήμα ρύθμισης παραμέτρων, για κάθε τομέα που περιέχει χρήστες της υπηρεσίας καταλόγου Active Directory θέλετε να μπορεί να μιμείται ο λογαριασμός υπηρεσίας πύλης:

  1. Πραγματοποιήστε είσοδο σε έναν υπολογιστή στον τομέα και εκκινήστε το συμπληρωματικό πρόγραμμα MMC Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory.
  2. Εντοπίστε την ομάδα Ομάδα εξουσιοδότησης και πρόσβασης των Windows, η οποία βρίσκεται συνήθως στο κοντέινερ Builtin .
  3. Κάντε διπλό κλικ στην ομάδα και κάντε κλικ στην καρτέλα Μέλη .
  4. Κάντε κλικ στο κουμπί Προσθήκη και αλλάξτε τη θέση τομέα στον τομέα στον οποίο βρίσκεται ο λογαριασμός υπηρεσίας πύλης.
  5. Πληκτρολογήστε το όνομα του λογαριασμού υπηρεσίας πύλης και κάντε κλικ στην επιλογή Έλεγχος ονομάτων για να επαληθεύσετε ότι ο λογαριασμός της υπηρεσίας πύλης είναι προσβάσιμος.
  6. Κάντε κλικ στο κουμπί OK.
  7. Κάντε κλικ στο κουμπί Εφαρμογή.
  8. Επανεκκινήστε την υπηρεσία πύλης.

Ορισμός παραμέτρων ρύθμισης αντιστοίχισης χρηστών στον υπολογιστή πύλης

Ολοκληρώστε αυτή την ενότητα εάν:

  • Δεν έχετε το Microsoft Entra Σύνδεση με ρυθμισμένο τον συγχρονισμό λογαριασμού χρήστη AND
  • Το UPN που χρησιμοποιείται στο Power BI για χρήστες δεν συμφωνεί με το UPN στο τοπικό περιβάλλον της υπηρεσίας καταλόγου Active Directory.

Κάθε χρήστης της υπηρεσίας καταλόγου Active Directory που έχει αντιστοιχιστεί με αυτόν τον τρόπο πρέπει να έχει δικαιώματα SSO για την προέλευση δεδομένων σας.

  1. Ανοίξτε το αρχείο ρύθμισης παραμέτρων της κύριας πύλης, Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll. Από προεπιλογή, αυτό το αρχείο αποθηκεύεται στη διεύθυνση C:\Program Files\On-premises data gateway.

  2. Ορίστε το ADUserNameLookupProperty σε ένα χαρακτηριστικό Active Directory που δεν χρησιμοποιείται. Θα χρησιμοποιήσουμε msDS-cloudExtensionAttribute1 τα παρακάτω βήματα. Αυτό το χαρακτηριστικό είναι διαθέσιμο μόνο σε Windows Server 2012 και νεότερες εκδόσεις.

  3. Ορίστε το ADUserNameReplacementProperty σε SAMAccountName και, στη συνέχεια, αποθηκεύστε το αρχείο ρύθμισης παραμέτρων.

    Σημείωμα

    Σε σενάρια πολλών τομέων, ίσως χρειαστεί να ορίσετε το ADUserNameReplacementProperty για userPrincipalName τη διατήρηση των πληροφοριών τομέα του χρήστη.

  4. Από την καρτέλα Υπηρεσίες της Διαχείρισης εργασιών, κάντε δεξί κλικ στην υπηρεσία πύλης και επιλέξτε Επανεκκίνηση.

    Στιγμιότυπο οθόνης της καρτέλας Υπηρεσίες διαχείρισης εργασιών

  5. Για κάθε χρήστη Υπηρεσία Power BI για τον οποίο θέλετε να ενεργοποιήσετε SSO Kerberos, ορίστε την msDS-cloudExtensionAttribute1 ιδιότητα ενός τοπικού χρήστη Active Directory (με δικαίωμα SSO στην προέλευση δεδομένων σας) στο πλήρες όνομα χρήστη (UPN) του Υπηρεσία Power BI χρήστη. Για παράδειγμα, εάν εισέλθετε για να Υπηρεσία Power BI ως test@contoso.com και θέλετε να αντιστοιχίσετε αυτόν τον χρήστη σε ένα τοπικό Active Directory με δικαιώματα SSO, ας υποθέσουμε, test@LOCALDOMAIN.COM, ορίστε το χαρακτηριστικό αυτού του msDS-cloudExtensionAttribute1 χρήστη σε test@contoso.com.

    Μπορείτε να ορίσετε την msDS-cloudExtensionAttribute1 ιδιότητα με το συμπληρωματικό πρόγραμμα MMC Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory:

    1. Ως διαχειριστής τομέα, εκκινήστε Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory.

    2. Κάντε δεξί κλικ στο όνομα τομέα, επιλέξτε Εύρεση και, στη συνέχεια, πληκτρολογήστε το όνομα λογαριασμού του τοπικού χρήστη Active Directory για αντιστοίχιση.

    3. Επιλέξτε την καρτέλα Πρόγραμμα επεξεργασίας χαρακτηριστικού.

      Εντοπίστε την msDS-cloudExtensionAttribute1 ιδιότητα και κάντε διπλό κλικ σε αυτήν. Ορίστε την τιμή στο πλήρες όνομα χρήστη (UPN) του χρήστη που χρησιμοποιείτε για είσοδο στον Υπηρεσία Power BI.

    4. Επιλέξτε OK.

      Παράθυρο

    5. Επιλέξτε Εφαρμογή. Επαληθεύστε ότι έχει οριστεί η σωστή τιμή στη στήλη Τιμή .

Ολοκλήρωση βημάτων ρύθμισης παραμέτρων προέλευσης δεδομένων

Για τις προελεύσεις δεδομένων SAP HANA, SAP BW και Teradata, απαιτούνται πρόσθετες ρυθμίσεις παραμέτρων για χρήση με SSO πύλης:

Σημείωμα

Παρόλο που άλλες βιβλιοθήκες SNC μπορεί επίσης να λειτουργούν για SSO BW, δεν υποστηρίζονται επίσημα από τη Microsoft.

Ενότητα 3: Επικύρωση ρύθμισης παραμέτρων

Βήμα 1: Ρύθμιση παραμέτρων προελεύσεων δεδομένων στο Power BI

Αφού ολοκληρώσετε όλα τα βήματα ρύθμισης παραμέτρων, χρησιμοποιήστε τη σελίδα Διαχείριση πύλης στο Power BI για να ρυθμίσετε τις παραμέτρους της προέλευσης δεδομένων που θα χρησιμοποιηθεί για SSO. Εάν έχετε πολλές πύλες, βεβαιωθείτε ότι έχετε επιλέξει την πύλη που έχετε ρυθμίσει για SSO Kerberos. Στη συνέχεια, στην περιοχή Ρυθμίσεις για την προέλευση δεδομένων, βεβαιωθείτε ότι η Χρήση SSO μέσω Kerberos για ερωτήματα DirectQuery ή η Χρήση SSO μέσω Kerberos για τα ερωτήματα DirectQuery και εισαγωγής είναι ενεργοποιημένη για αναφορές που βασίζονται στο DirectQuery και ότι η Χρήση SSO μέσω Kerberos για τα ερωτήματα DirectQuery και εισαγωγής είναι ενεργοποιημένη για αναφορές που βασίζονται σε εισαγωγή.

 Στιγμιότυπο οθόνης προσθήκης ρυθμίσεων για καθολική σύνδεση.

Οι ρυθμίσεις Χρήση SSO μέσω Kerberos για τα ερωτήματα DirectQuery και η Χρήση SSO μέσω Kerberos για τα ερωτήματα DirectQuery και εισαγωγής παρέχουν μια διαφορετική συμπεριφορά για αναφορές που βασίζονται σε DirectQuery και αναφορές που βασίζονται σε εισαγωγή.

Χρήση SSO μέσω Kerberos για τα ερωτήματα DirectQuery:

  • Για την αναφορά που βασίζεται σε DirectQuery, χρησιμοποιούνται διαπιστευτήρια SSO του χρήστη.
  • Για την αναφορά που βασίζεται σε εισαγωγές, δεν χρησιμοποιούνται διαπιστευτήρια SSO, αλλά χρησιμοποιούνται τα διαπιστευτήρια που εισάγονται στη σελίδα προέλευσης δεδομένων.

Χρήση SSO μέσω Kerberos για τα ερωτήματα DirectQuery και εισαγωγής:

  • Για την αναφορά που βασίζεται σε DirectQuery, χρησιμοποιούνται διαπιστευτήρια SSO του χρήστη.
  • Για την αναφορά που βασίζεται σε εισαγωγή, χρησιμοποιούνται τα διαπιστευτήρια SSO του κατόχου μοντέλου σημασιολογίας, ανεξάρτητα από το χρήστη που ενεργοποιεί την εισαγωγή.

Βήμα 2: Δοκιμή καθολικής σύνδεσης

Μεταβείτε στην ενότητα Δοκιμή ρύθμισης παραμέτρων καθολικής σύνδεσης (SSO) για να επικυρώσετε γρήγορα ότι η ρύθμιση παραμέτρων σας έχει ρυθμιστεί σωστά και να αντιμετωπίσετε συνηθισμένα προβλήματα.

Βήμα 3: Εκτέλεση μιας αναφοράς Power BI

Κατά τη δημοσίευση, επιλέξτε την πύλη που ρυθμίσατε για SSO εάν έχετε πολλές πύλες.

Για περισσότερες πληροφορίες σχετικά με την πύλη δεδομένων εσωτερικής εγκατάστασης και το DirectQuery, ανατρέξτε στους παρακάτω πόρους: