Compartir vía

Conexión a Power BI Report Server y SSRS desde aplicaciones móviles de Power BI

  • Artículo

En este artículo se describe cómo configurar el entorno para admitir la autenticación de OAuth con la aplicación móvil de Power BI para conectarse a Power BI Report Server y SQL Server Reporting Services 2016 o posterior.

Requisitos

Windows Server es necesario para los servidores proxy de aplicación web (WAP) y servicios de federación de Active Directory (AD FS). No es necesario tener un dominio de nivel funcional de Windows.

Para que los usuarios puedan agregar una conexión del servidor de informes a su aplicación móvil de Power BI, debe concederles acceso a la carpeta principal del servidor de informes.

Nota

A partir del 1 de marzo de 2025, la aplicación Power BI Mobile ya no podrá conectarse al servidor de informes mediante el protocolo OAuth a través de AD FS configurado en Windows Server 2016. Los clientes que usan OAuth con AD FS configurados en Windows Server 2016 y el Proxy de aplicación web (WAP) tendrán que actualizar su servidor de AD FS a Windows Server 2019 o posterior, o bien usar el proxy de aplicación de Microsoft Entra. Después de la actualización de Windows Server, es posible que los usuarios de la aplicación Power BI Mobile tengan que volver a iniciar sesión en el servidor de informes.

Esta actualización es necesaria mediante un cambio en la biblioteca de autenticación que usa la aplicación móvil. El cambio de ninguna manera afecta a la compatibilidad de Microsoft con AD FS en Windows Server 2016, sino solo a la capacidad de la aplicación Power BI Mobile para conectarse a ella.

Configuración de Servicios de nombres de dominio (DNS)

La dirección URL pública es la dirección URL a la que se conectará la aplicación móvil de Power BI. Por ejemplo, podría tener un aspecto similar al siguiente.

https://reports.contoso.com

El registro DNS de informes para la dirección IP pública del servidor Proxy de aplicación web (WAP). También debe configurar un registro DNS público para el servidor de AD FS. Por ejemplo, es posible que haya configurado el servidor de AD FS con la siguiente dirección URL.

https://fs.contoso.com

El registro DNS de fs para la dirección IP pública del servidor Proxy de aplicación web (WAP) que se publicará como parte de la aplicación WAP.

Certificados

Debe configurar certificados tanto para la aplicación WAP como para el servidor de AD FS. Ambos certificados deben formar parte de una entidad de certificación válida que reconozcan los dispositivos móviles.

Configuración de Reporting Services

No hay mucho que configurar en el lado de Reporting Services. Solo tiene que asegurarse de que:

Nombre Principal del Servicio (SPN)

El SPN es un identificador único para un servicio que usa la autenticación Kerberos. Debe asegurarse de que tiene un SPN HTTP adecuado presente para el servidor de informes.

Para obtener información sobre cómo configurar el nombre de entidad de seguridad de servicio (SPN) adecuado para el servidor de informes, consulte Registrar un nombre de entidad de seguridad de servicio (SPN) para un servidor de informes.

Habilitar la autenticación Negociar

Para permitir que un servidor de informes use la autenticación Kerberos, debe configurar el tipo de autenticación del servidor de informes para que sea RSWindowsNegotiate. Esto se realiza en el archivo rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Para obtener más información, vea Modificar un archivo de configuración de Reporting Services y Configurar la autenticación de Windows en un servidor de informes.

Configuración de Servicios de federación de Active Directory (AD FS)

Debe configurar AD FS en un servidor windows dentro de su entorno. La configuración se puede realizar a través del Administrador del servidor y seleccionar Agregar roles y características en Administrar. Para obtener más información, consulte Active Directory Federation Services.

Importante

A partir del 1 de marzo de 2025, las aplicaciones de Power BI Mobile ya no podrán conectarse al servidor de informes a través de AD FS configurado en Windows Server 2016. Consulte la nota al principio de este artículo.

Creación de un grupo de aplicaciones

En la pantalla Administración de AD FS, quiere crear un grupo de aplicaciones para Reporting Services que incluya información para las aplicaciones móviles de Power BI.

Puede crear el grupo de aplicaciones con los pasos siguientes.

  1. En la aplicación administración de AD FS, haga clic con el botón derecho en grupos de aplicaciones y seleccione Agregar grupo de aplicaciones...

    AD FS Añadir Aplicación

  2. En el Asistente para agregar grupo de aplicaciones, proporcione un nombre para el grupo de aplicaciones y seleccione aplicación nativa que accede a una API web.

    Asistente para grupos de aplicaciones de AD FS 01

  3. Seleccione Siguiente.

  4. Proporcione un nombre para la aplicación que va a agregar.

  5. Aunque el Id. de cliente se genera automáticamente, escribe 484d54fc-b481-4eee-9505-0258a1913020 tanto para iOS como Android.

  6. Deberá agregar las siguientes URL de redireccionamiento:

    Entradas de Power BI Mobile para iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Las aplicaciones de Android solo necesitan los siguientes pasos:
    urn:ietf:wg:oauth:2.0:oob

    Asistente para grupos de aplicaciones de AD FS 02

  7. Seleccione Siguiente.

  8. Proporcione la dirección URL del servidor de informes. Se trata de la dirección URL externa que llamará al Proxy de aplicación web. Debe tener el siguiente formato.

    Nota

    Esta dirección URL distingue mayúsculas de minúsculas.

    https://<report server url>/reports

    Asistente para grupos de aplicaciones de AD FS 03

  9. Seleccione Siguiente.

  10. Elija la directiva de control de acceso que se adapte a las necesidades de su organización.

    Asistente para Grupo de Aplicaciones de AD FS Asistente para agregar grupos de aplicaciones de AD FS 04

  11. Seleccione Siguiente.

  12. Seleccione Siguiente.

  13. Seleccione Siguiente.

  14. Seleccione Cerrar.

Cuando haya finalizado, debería ver que las propiedades del grupo de aplicaciones tienen un aspecto similar al siguiente.

asistente para grupos de aplicaciones de AD FS

Ahora ejecute el siguiente comando de PowerShell en el servidor de AD FS para asegurarse de que se admite la actualización de tokens.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Configuración del proxy de aplicación web (WAP)

Deberás habilitar el rol de Windows Proxy de aplicación web (rol) en un servidor de tu entorno. Debe estar en un servidor De Windows. Para obtener más información, consulta Proxy de aplicación web en Windows Server y Publicación de aplicaciones mediante la autenticación previa de AD FS.

Configuración de delegación restringida

Para realizar la transición de la autenticación de OAuth a Windows, debemos usar la delegación restringida con transición de protocolo. Esto forma parte de la configuración de Kerberos. Ya definimos el SPN de Reporting Services dentro de la configuración de Reporting Services.

Es necesario configurar la delegación restringida en la cuenta de máquina del servidor WAP en Active Directory. Es posible que tenga que trabajar con un administrador de dominio si no tiene derechos para Active Directory.

Para configurar la delegación restringida, deberás hacer lo siguiente.

  1. En un equipo que tenga instaladas las herramientas de Active Directory, inicie Usuarios y equipos de Active Directory.

  2. Busque la cuenta de máquina del servidor WAP. De forma predeterminada, está en el contenedor de equipos.

  3. Haga clic con el botón derecho en el servidor WAP y vaya a Propiedades.

  4. Selecciona la ficha Delegación.

  5. Selecciona Confiar en este equipo para la delegación solo a los servicios especificados y, después, Usar cualquier protocolo de autenticación.

    WAP restringido

    Esta acción configura la delegación restringida para esta cuenta de equipo del servidor WAP. A continuación, es necesario especificar los servicios a los que puede delegar esta máquina.

  6. Seleccione Agregar... en el cuadro de servicios.

    WAP restringido 02

  7. Selecciona Usuarios o equipos…

  8. Escriba la cuenta de servicio que está utilizando para los Reporting Services. Esta cuenta es la cuenta a la que agregó el SPN dentro de la configuración de Reporting Services.

  9. Selecciona el SPN para Reporting Services y luego selecciona Aceptar.

    Nota

    Puede que solo veas el SPN de NetBIOS. Realmente seleccionará los SPN de NetBIOS y FQDN si ambos existen.

    WAP restringido 03

  10. El resultado debería ser similar al siguiente cuando se activa la casilla Expandido.

    WAP restringido 04

  11. Seleccione Aceptar.

Agregar aplicación WAP

Aunque puede publicar aplicaciones en la Consola de administración de acceso a informes, queremos crear la aplicación a través de PowerShell. Este es el comando para agregar la aplicación.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parámetro Comentarios
ADFSRelyingPartyName El nombre de la API web que creó como parte del grupo de aplicaciones dentro de AD FS.
ExternalCertificateThumbprint Certificado que se va a usar para los usuarios externos. Es importante que el certificado sea válido en dispositivos móviles y provengan de una entidad de certificación de confianza.
BackendServerUrl Dirección URL del servidor de informes desde el servidor WAP. Si el servidor WAP está en una red perimetral, es posible que tenga que usar un nombre de dominio completamente calificado. Asegúrese de que puede alcanzar esta dirección URL desde el explorador web en el servidor WAP.
BackendServerAuthenticationSPN El SPN que has creado como parte de la configuración de Reporting Services.

Establecimiento de la autenticación integrada para la aplicación WAP

Después de agregar la aplicación WAP, debe establecer BackendServerAuthenticationMode para usar IntegratedWindowsAuthentication. Necesita el identificador de la aplicación WAP para establecerlo.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Captura de pantalla que muestra el identificador que necesita de la aplicación WAP.

Ejecute el siguiente comando para establecer BackendServerAuthenticationMode mediante el identificador de la aplicación WAP.

Set-WebApplicationProxyApplication -id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Captura de pantalla que muestra cómo establecer el modo de autenticación del servidor back-end mediante el identificador de la aplicación WAP.

Conexión con la aplicación móvil de Power BI

En la aplicación móvil de Power BI, desea conectarse a la instancia de Reporting Services. Para ello, proporciona la dirección URL externa para la aplicación WAP.

Escriba la dirección del servidor

Al seleccionar Conectar, se te dirigirá a la página de inicio de sesión de AD FS. Escriba credenciales válidas para el dominio.

Inicio de sesión en AD FS

Después de seleccionar Iniciar sesión, verás los elementos del servidor de Reporting Services.

Autenticación multifactor

Puede habilitar la autenticación multifactor para habilitar la seguridad adicional para su entorno. Para obtener más información, consulte Configurar la autenticación multifactor de Microsoft Entra como proveedor de autenticación con AD FS.

Solución de problemas

Recibe el error "No se pudo iniciar sesión en el servidor SSRS".

error

Puede configurar Fiddler para que actúe como proxy de los dispositivos móviles y así observar hasta dónde llegó la solicitud. Si quieres habilitar un proxy de Fiddler para tu dispositivo telefónico, debes configurar CertMaker para iOS y Android en el equipo que ejecute Fiddler. El complemento es de Telerik para Fiddler.

Si el inicio de sesión funciona correctamente al usar Fiddler, es posible que tenga un problema de certificado con la aplicación WAP o el servidor de AD FS.

Contenido relacionado