Jaa


Upotustunnuksen luominen

KOSKEE: Sovellus omistaa tiedot Käyttäjä omistaa tiedot

Muodosta tunnus on REST-ohjelmointirajapinta, jonka avulla voit luoda tunnuksen Power BI -raportin tai semanttisen mallin upottamista varten verkkosovellukseen tai portaaliin. Se voi luoda tunnuksen yksittäiselle kohteelle tai useille raporteille tai semanttisille malleille. Tunnuksen avulla pyyntösi valtuutetaan Power BI -palvelussa.

Muodosta tunnus -ohjelmointirajapinta käyttää yksittäistä (pääkäyttäjän tai palvelun päänimen) käyttäjätietoa luodakseen tunnuksen yksittäiselle käyttäjälle sen mukaan, käyttäjän tunnistetiedot sovelluksessa (voimassa olevat käyttäjätiedot).

Onnistuneen todentamisen jälkeen myönnetään pääsy olennaisiin tietoihin.

Muistiinpano

Muodosta tunnus on uudempi versio 2 -ohjelmointirajapinta, joka toimii sekä raporteissa että semanttisissa malleissa sekä yksittäisissä tai useissa kohteissa. Sitä suositellaan vanhan version 1 ohjelmointirajapintojen sijaan. Käytä koontinäytöissä ja ruuduissa V1 Dashboards GenerateTokenInGroup - ja Tiles GenerateTokenInGroup -ryhmiä.

Tietojen suojaaminen

Jos käsittelet tietoja useilta asiakkailta, tietojen suojaamiseen on kaksi perusmenetelmää: työtilaan perustuva eristys ja rivitason suojaukseen perustuva eristys. Niiden yksityiskohtainen vertailu on palvelun pääprofiilissa ja rivitason suojauksessa.

Suosittelemme työtilaan perustuvan eristämisen käyttämistä profiilien kanssa, mutta jos haluat käyttää RLS-lähestymistapaa, tutustu tämän artikkelin lopussa olevaan RLS-osaan .

Tunnuksen käyttöoikeudet ja suojaus

Muodosta tunnus -ohjelmointirajapiidoissa GenerateTokenRequest-osassa kuvataan tunnuksen käyttöoikeudet.

Käyttöoikeustaso

  • Myönnä käyttäjälle tarkastelu- tai muokkausoikeudet allowEdit-parametrin avulla.

  • Lisää työtilan tunnus upotustunnukseen, jotta käyttäjä voi luoda uusia raportteja (joko SaveAs tai CreateNew) kyseisessä työtilassa.

Rivitason suojaus

Rivitason suojauksen (RLS) avulla käyttämäsi käyttäjätiedot voivat erota sen palvelun päänimen tai pääkäyttäjän käyttäjätiedoilla, joita käytät tunnuksen muodostamiseen. Käyttämällä eri käyttäjätietoja voit näyttää upotettuja tietoja kohteena olevan käyttäjän mukaan. Voit esimerkiksi pyytää sovelluksessa käyttäjiä kirjautumaan sisään ja näyttää sitten raportin, joka sisältää vain myyntitietoja, jos kirjautunut käyttäjä on myyjä.

Jos käytät rivitason suojausta, voit joskus jättää käyttäjän käyttäjätiedot pois ( EffectiveIdentity-parametri ). Kun et käytä EffectiveIdentity-parametria , tunnuuksella on käyttöoikeus koko tietokantaan. Tämän menetelmän avulla voidaan myöntää käyttöoikeus esimerkiksi järjestelmänvalvojille ja esimiehille, joilla on oikeus tarkastella koko semanttista mallia. Et kuitenkaan voi käyttää tätä menetelmää jokaisessa skenaariossa. Alla olevassa taulukossa on lueteltu eri RLS-tyypit, ja siinä näytetään, mitä todentamismenetelmää voidaan käyttää määrittämättä käyttäjän käyttäjätietoja.

Taulukossa näkyvät myös kunkin RLS-tyypin huomioitavat asiat ja rajoitukset.

RLS-tyyppi Voinko luoda upotustunnuksen määrittämättä voimassa olevaa käyttäjätunnusta? Huomioitavat asiat ja rajoitukset
Pilvipalvelun rivitason suojaus (pilvipalvelun rivitason suojaus) ✔ Pääkäyttäjä
✖ Palvelun päänimi
RDL (sivutetut raportit) ✖ Pääkäyttäjä
✔ Palvelun päänimi
Pääkäyttäjää ei voi käyttää RDL:n upotustunnuksen luomiseen.
Paikallinen, reaaliaikainen Analysis Services (AS) -yhteys ✔ Pääkäyttäjä
✖ Palvelun päänimi
Upotustunnuksen muodostavalla käyttäjällä on myös oltava jokin seuraavista käyttöoikeuksista:
  • Yhdyskäytävän järjestelmänvalvojan oikeudet
  • Tietolähteen tekeytyminen -oikeus (ReadOverrideEffectiveIdentity)
  • Reaaliaikainen Analysis Services (AS) Azure -yhteys ✔ Pääkäyttäjä
    ✖ Palvelun päänimi
    Upotustunnuksen muodostavan käyttäjän käyttäjätietoja ei voi ohittaa. Mukautettuja tietoja voidaan käyttää dynaamisen RLS:n tai suojatun suodatuksen käyttöönottoon.

    Huomautus: Palvelun päänimen on annettava objektitunnus voimassa olevana käyttäjätietona (RLS-käyttäjänimi).
    Kertakirjautuminen (SSO) ✔ Pääkäyttäjä
    ✖ Palvelun päänimi
    Eksplisiittiset (SSO) käyttäjätiedot voidaan antaa käyttämällä käyttäjätietojen blob-ominaisuutta voimassa olevassa käyttäjätieto-objektissa
    SSO ja pilvipalvelun RLS ✔ Pääkäyttäjä
    ✖ Palvelun päänimi
    Sinun on annettava seuraavat tiedot:
  • Eksplisiittiset (SSO) käyttäjätiedot käyttäjätietojen blob-ominaisuudessa voimassa olevassa käyttäjätieto-objektissa
  • Voimassa oleva (RLS) käyttäjätiedot (käyttäjänimi)
  • Muistiinpano

    Palvelujen päänimien on aina annettava seuraavat tiedot:

    • Käyttäjätiedot kohteille, joissa on semanttinen RLS-malli.
    • Semanttisessa kertakirjautumismallissa voimassa olevat RLS-käyttäjätiedot, joissa on määritetty tilannekohtaiset (SSO) käyttäjätiedot.

    Semanttisten Power BI -mallien DirectQuery

    Jos haluat upottaa Power BI -raportin, jossa on semanttinen malli ja Suora kysely -yhteys toiseen semanttiseen Power BI -malliin, toimi seuraavasti:

    • Määritä Power BI -portaalissa XMLA-päätepisteeksi Vain luku tai Luku ja kirjoitus . Saat ohjeet kohdasta Premium-kapasiteetin luku/kirjoitus. Tämä on suoritettava vain kerran kapasiteettia kohden.
    • Luo usean resurssin upotustunnus
      • Määritä kaikki pyynnön tietojoukon tunnukset.
      • XmlaPermissions Määritä -asetukseksi Vain luku kullekin pyynnön semanttisille mallille.
      • Anna jokaiselle kertakirjautumista (SSO) käyttävälle tietolähteelle käyttäjätietojen blob-objekti -kohteessa DatasourceIdentity.

    Uusi tunnukset ennen niiden vanhenemista

    Tunnuksilla on aikaraja. Tämä tarkoittaa sitä, että Power BI -kohteen upottamisen jälkeen sinulla on rajallinen aika käsitellä sitä. Jos haluat antaa käyttäjillesi jatkuvan käyttökokemuksen, uudista tunnus (tai päivitä) ennen sen vanhenemista.

    Koontinäytöt ja ruudut

    Muodosta tunnus toimii raporteissa ja semanttisissa malleissa. Voit luoda upotustunnuksen koontinäytölle tai ruudulle käyttämällä versiota 1 Dashboards GenerateTokenInGroup tai Tiles GenerateTokenInGroup-ohjelmointirajapinnat . Nämä ohjelmointirajapinnat luovat tunnuksia vain yhdelle kohteelle kerrallaan. Et voi luoda tunnusta useille kohteille.

    Näitä ohjelmointirajapintoja varten:

    • Selvitä käyttäjän käyttöoikeustaso accessLevel-parametrin avulla.

      • Näytä – myönnä käyttäjälle tarkasteluoikeudet.

      • Muokkaus – myönnä käyttäjälle tarkastelu- ja muokkausoikeudet (vain muodostettaessa upotustunnusta raportille).

      • Luonti – myönnä käyttäjälle oikeudet luoda uusi raportti (vain muodostettaessa upotustunnusta raportin luomista varten). Raportin luontia varten on myös annettava datasetId-parametri.

    • Anna käyttäjien tallentaa raportti uutena raporttina käyttämällä allowSaveAs-totuusarvoa. Tämän asetuksen oletusarvona on epätosi , ja se on käytössä vain muodostettaessa upotustunnusta raportille.

    Huomioitavat asiat ja rajoitukset

    • Turvallisuussyistä upotustunnuksen elinikä on määritetty sen Microsoft Entra -tunnuksen jäljellä olevan elinkaaren loppuun, jota käytetään ohjelmointirajapinnan kutsumiseen GenerateToken . Jos siis käytät samaa Microsoft Entra -tunnusta useiden upotustunnusten luomiseen, luotujen upotustunnusten elinkaari on lyhyempi kunkin kutsun yhteydessä.

    • Jos semanttinen malli ja upotettava kohde ovat kahdessa eri työtilassa, palvelun päänimen tai pääkäyttäjän on oltava vähintään molempien työtilojen jäsen.

    • Et voi luoda upotustunnusta omalle työtilalle.