Power BI -raporttipalvelimen määrittäminen Microsoft Entra -sovellusvälityspalvelimen avulla

Tässä artikkelissa käsitellään Microsoft Entra -sovellusvälityspalvelimen käyttöä yhteyden muodostamiseksi Power BI -raporttipalvelimeen ja SQL Server Reporting Services (SSRS) 2016 -versioon ja uudempiin. Tämän integraation avulla yritysverkon ulkopuolella olevat käyttäjät voivat käyttää Power BI -raporttipalvelimen ja raportointipalvelun raportteja asiakasselaimilta ja suojata heitä Microsoft Entra -tunnuksella. Lue lisää paikallisten sovellusten etäkäytöstä Microsoft Entra -sovellusvälityspalvelimen kautta.

Ympäristön tiedot

Näitä arvoja käytettiin luodessamme esimerkissä.

• Toimialue: umacontoso.com
• Power BI -raporttipalvelin: PBIRSAZUREAPP.umacontoso.com
• SQL Serverin tietolähde: SQLSERVERAZURE.umacontoso.com

Power BI -raporttipalvelimen määrittäminen

Kun olet asentanut Power BI -raporttipalvelimen (olettaen, että Azure-näennäiskone on käytössä), määritä Power BI -raporttipalvelimen verkkopalvelun ja verkkoportaalin URL-osoitteet noudattamalla seuraavia vaiheita:

1. Luo saapuvan ja lähtevän liikenteen säännöt näennäiskoneen palomuurissa portille 80 (portti 443, jos https-URL-osoitteita on määritetty). Luo myös Azure-näennäiskoneen saapuvan ja lähtevän liikenteen säännöt TCP-protokollan Azure-portaali – portti 80.

2. Näennäiskoneeseen määritetty DNS-nimi on pbirsazureapp.eastus.cloudapp.azure.comympäristössämme .

3. Määritä Power BI -raporttipalvelimen ulkoisen verkkopalvelun ja verkkoportaalin URL-osoite valitsemalla Lisäasetukset-välilehti Lisää-painike>> Valitse isäntäotsikon nimi ja lisää isäntänimi (DNS-nimi) tässä esitetyllä tavalla.

   

4. Edellinen vaihe suoritettiin sekä Verkkopalvelu- että Verkkoportaaliosalle, ja URL-osoitteet rekisteröitiin raporttipalvelimen määritysten hallintaan:

   • https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer
   • https://pbirsazureapp.eastus.cloudapp.azure.com/Reports

5. Azure-portaali verkko-osassa näkyy kaksi IP-osoitetta näennäiskoneeseen

   • Julkinen IP-osoite.
   • Yksityinen IP-osoite.

   Julkista IP-osoitetta käytetään pääsyyn näennäiskoneen ulkopuolelta.

6. Näin ollen lisäsimme näennäiskoneen (Power BI -raporttipalvelimen) isäntätiedostomerkinnän, joka sisältää julkisen IP-osoitteen ja isännän nimen pbirsazureapp.eastus.cloudapp.azure.com.

7. Huomaa, että kun käynnistät näennäiskoneen uudelleen, dynaaminen IP-osoite saattaa muuttua, ja saatat joutua lisäämään oikean IP-osoitteen uudelleen isäntätiedostossa. Voit välttää tämän määrittämällä julkisen IP-osoitteen staattiseksi Azure-portaali.

8. Verkkopalvelun ja verkkoportaalin URL-osoitteiden tulee olla käytettävissä edellä mainittujen muutosten tekemisen jälkeen.

9. Kun URL-osoitetta https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer käytetään palvelimessa, tunnistetietoja pyydetään kolme kertaa, ja näkyviin tulee tyhjä näyttö.

10. Lisää seuraava rekisterimerkintä:

    HKEY\_LOCAL\_MACHINE \SYSTEM\CurrentControlset\Control \Lsa\ MSV1\_0 rekisteriavain

11. Lisää uusi arvo BackConnectionHostNames, usean merkkijonon arvo ja anna isäntänimi pbirsazureapp.eastus.cloudapp.azure.com.

Sen jälkeen voimme käyttää myös palvelimen URL-osoitteita.

Määritä Power BI -raporttipalvelin toimimaan Kerberoksen kanssa

1. Todennustyypin määrittäminen

Raporttipalvelimen todennustyyppi on määritettävä sallimaan Kerberoksen rajoitettu delegointi. Tämä määritys tehdään rsreportserver.config-tiedostossa.

Etsi rsreportserver.config-tiedostosta Authentication/AuthenticationTypes-osa .

Haluamme varmistaa, että RSWindowsNegotiate on listattu ja että se on ensimmäisenä todennustyyppien luettelossa. Sen pitäisi näyttää seuraavankaltaiselta.

<AuthenticationTypes>

    <RSWindowsNegotiate/>

</AuthenticationTypes>

Jos sinun on muutettava määritystiedostoa, pysäytä ja käynnistä raporttipalvelinpalvelu uudelleen raporttipalvelimen määritystenhallinnasta varmistaaksesi, että muutokset tulevat voimaan.

2. Palvelun päänimien rekisteröiminen

Avaa komentokehote järjestelmänvalvojana ja suorita seuraavat vaiheet.

Rekisteröi seuraavat palvelun päänukset Power BI -raporttipalvelimen palvelutilillä seuraavien komentojen avulla

setspn -s http/ Netbios name\_of\_Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

setspn -s http/ FQDN\_of Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

Rekisteröi seuraavat palvelun päänimet SQL Server -palvelutilillä seuraavien komentojen avulla (oletusesiintymää varten SQL Serverissä):

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server: 1433 (PortNumber) <SQL service service account>

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server<SQL service service account>

3. Delegointiasetusten määrittäminen

Raporttipalvelimen palvelutilin delegointiasetukset on määritettävä.

1. Avaa Active Directoryn käyttäjät ja tietokoneet.

2. Avaa raporttipalvelimen palvelutilin ominaisuudet Active Directoryn käyttäjät ja tietokoneet.

3. Rajoitettu delegointi on määritettävä protokollan siirtämisellä. Rajoitetussa delegoinnissa on määritettävä yksityiskohtaisesti, mihin palveluihin haluat delegoida.

4. Napsauta raporttipalvelimen palvelutiliä hiiren kakkospainikkeella ja valitse Ominaisuudet.

5. Valitse Delegointi-välilehti.

6. Valitse Luota tähän käyttäjään vain määritettyjen palvelujen delegointia varten.

7. Valitse Käytä mitä tahansa todennusprotokollaa.

8. Valitse Palvelut, joille tämä tili voi esittää delegoidut tunnistetiedot : -kohdassa Lisää.

9. Valitse uudessa valintaikkunassa Käyttäjät tai tietokoneet.

10. Anna SQL Server -palvelun palvelutili ja valitse OK.

    Se alkaa merkkijonolla MSSQLSVC.

11. Lisää palvelun päänimet.

12. Valitse OK. Palvelun päänimen pitäisi näkyä nyt luettelossa.

Näiden vaiheiden avulla Power BI -raporttipalvelin voidaan määrittää toimimaan Kerberos-todennusmekanismin kanssa ja saada tietolähteen testiyhteys toimimaan paikallisessa koneessasi.

Microsoft Entra -sovelluksen välityspalvelimen liittimen määrittäminen

Katso artikkelista sovelluksen välityspalvelimen liittimeen liittyvät määritykset.

Sovellusvälityspalvelimen liitin asennettiin Power BI -raporttipalvelimeen, mutta voit määrittää sen erilliselle palvelimelle ja varmistaa, että delegointi on määritetty oikein.

Varmista, että liitin on luotettu delegointia varten

Varmista, että liitin on luotettu delegointia varten raporttipalvelimen sovellussarjatiliin lisätyssä palvelun päänimessä.

Määritä rajoitettu Kerberos-delegointi niin, että Microsoft Entra -sovelluksen välityspalvelin voi delegoida käyttäjätietoja raporttipalvelimen sovellussarjatilille. Määritä KCD ottamalla käyttöön sovelluksen välityspalvelimen liitin, joka noutaa Kerberos-liput käyttäjille, jotka on todennettu Microsoft Entra -tunnuksella. Tämän jälkeen palvelin välittää kontekstin kohdesovellukseen tai tässä tapauksessa Power BI -raporttipalvelimeen.

Voit määrittää KCD:n toistamalla seuraavat vaiheet kullekin liitinkoneelle.

1. Kirjaudu toimialueen ohjauskoneeseen toimialueen järjestelmänvalvojana ja avaa sitten Active Directoryn käyttäjät ja tietokoneet.
2. Etsi tietokone, jossa liitin on käynnissä.
3. Kaksoisnapsauta tietokonetta ja valitse sitten Delegointi-välilehti .
4. Määritä delegointiasetuksiksi Luota tähän tietokoneeseen vain määritettyihin palveluihin delegointia varten. Valitse sitten Käytä mitä tahansa todennusprotokollaa.
5. Valitse Lisää ja valitse sitten Käyttäjät tai tietokoneet.
6. Anna palvelutili, jota käytät Power BI -raporttipalvelimessa. Kyseessä on se tili, jota käytit palvelun päänimen lisäämiseen raporttipalvelimen määrityksen aikana.
7. Napsauta OK.
8. Tallenna muutokset valitsemalla OK uudelleen.

Julkaise Microsoft Entra -sovellusvälityspalvelimen kautta

Nyt olet valmis määrittämään Microsoft Entra -sovellusvälityspalvelimen.

Julkaise Power BI -raporttipalvelin sovellusvälityspalvelimen kautta käyttämällä seuraavia asetuksia. Vaiheittaiset ohjeet sovelluksen julkaisemiseen sovellusvälityspalvelimen kautta löytyvät kohdasta Paikallisen sovelluksen lisääminen Microsoft Entra -tunnukseen.

• Sisäinen URL : Anna sen raporttipalvelimen URL-osoite, jonka liitin voi tavoittaa yritysverkossa. Varmista, että tämä URL-osoite on tavoitettavissa siitä palvelimesta, johon liitin on asennettu. Paras käytäntö on käyttää ylimmän tason toimialuetta, kuten https://servername/ , jotta voidaan välttää ongelmat, jotka liittyvät sovellusvälityspalvelimen kautta julkaistuihin alipolkuihin. Käytä esimerkiksi kohdetta , https://servername/ ei https://servername/reports/ tai https://servername/reportserver/. Ympäristömme on määritetty toiminnolla https://pbirsazureapp.eastus.cloudapp.azure.com/.

  Muistiinpano

  Suosittelemme suojatun HTTPS-yhteyden käyttämistä raporttipalvelimessa. Lisätietoja on artikkelissa SSL-yhteyksien määrittäminen alkuperäistilassa olevalla raporttipalvelimella .

• Ulkoinen URL : Anna julkinen URL-osoite, johon Power BI -mobiilisovellus muodostaa yhteyden. Se voi esimerkiksi näyttää tältä https://reports.contoso.com , jos käytetään mukautettua toimialuetta. Jos haluat käyttää mukautettua toimialuetta, lataa toimialueelle varmenne ja osoita DNS-tietue sovelluksen msappproxy.net oletustoimialueeseen. Lisätietoja on artikkelissa Mukautettujen toimialueiden käsitteleminen Microsoft Entra -sovellusvälityspalvelimessa.

Ympäristömme ulkoiseksi URL-osoitteeksi https://pbirsazureapp-umacontoso2410.msappproxy.net/ on määritetty.

• Esitodennusmenetelmä: Microsoft Entra -tunnus.
• Liitinryhmä: Oletus.

Lisäasetukset-osiossa ei ole tehty muutoksia. Se on määritetty toimimaan oletusasetusten kanssa.

Tärkeä

Kun määrität sovelluksen välityspalvelinta, ota huomioon, että Taustasovelluksen aikakatkaisu -ominaisuuden asetuksena on Oletus (85 sekuntia). Jos raporttien suorittaminen kestää yli 85 sekuntia, määritä tämän ominaisuuden arvoksi Pitkä (180 sekuntia), joka on suurin mahdollinen aikakatkaisuarvo. Kun asetuksena on Pitkä, kaikkien raporttien suorittaminen kestää 180 sekuntia, tai ne aikakatkaistaan, ja ne aiheuttavat virheen.

Kertakirjautumisen määrittäminen

Kun sovelluksesi on julkaistu, määritä kertakirjautumisen asetukset noudattamalla seuraavia vaiheita:

1. Valitse portaalin sovellussivulla Kertakirjautuminen.

2. Valitse Kertakirjautumistila-kohdassa Integroitu Windows-todennus.

3. Määritä Sisäisen sovelluksen päänimen arvoksi aiemmin määrittämäsi arvo. Voit tunnistaa tämän arvon noudattamalla seuraavia vaiheita:

   • Kokeile raportin suorittamista tai testiyhteyden muodostamista tietolähteeseen, jotta Kerberos-lippu luodaan.
   • Kun raportti/ testiyhteys on suoritettu onnistuneesti, avaa komentokehote ja suorita komento: klist. Tulososiossa pitäisi näkyä lippu, jossa on http/ palvelun päänimi. Jos se on sama kuin Power BI -raporttipalvelimessa määrittämäsi palvelun päänimi, käytä tätä palvelun päänimeä tässä osiossa.

4. Valitse Delegoitu kirjautumistunnus , jota liitin voi käyttää käyttäjiesi puolesta. Lisätietoja on artikkelissa Erilaisten paikallisten ja pilvipalveluidentiteettien käsitteleminen.

   Suosittelemme käyttämään käyttäjän päänimeä. Määritimme mallissamme sen toimimaan Täydellinen käyttäjätunnus -asetuksen kanssa:

   

5. Tallentaa muutokset valitsemalla Tallenna.

Sovelluksen määrityksen viimeistely

Viimeistele sovelluksen määrittäminen siirtymällä Käyttäjät ja ryhmät -osaan ja määrittämällä käyttäjät, jotka voivat käyttää tätä sovellusta.

1. Määritä sovelluksen rekisteröinnin Todentaminen-osa Power BI -raporttipalvelinsovellukselle seuraavasti Uudelleenohjauksen URL-osoitteet- ja Lisäasetukset-toiminnoille:

   • Luo uusi uudelleenohjauksen URL-osoite ja määritä sille tyyppi = Verkko ja Uudelleenohjauksen URI = https://pbirsazureapp-umacontoso2410.msappproxy.net/
   • Määritä Lisäasetukset-osassa Uloskirjautumisen URL-osoitteeksihttps://pbirsazureapp-umacontoso2410.msappproxy.net/?Appproxy=logout

   

2. Jatka sovelluksen rekisteröinnin Todentaminen-osan määrittämistä Power BI -raporttipalvelinsovellukselle seuraavasti Implisiittinen myöntäminen-, Oletusarvoinen asiakastyyppi- ja Tuetut tilityypit -toiminnoille:

   • Määritä Implisiittisen myöntämisen arvoksi ID-tunnukset.
   • Määritä Oletusasiakastyypiksi Ei.
   • Määritä Tuettujen tilityyppien arvoksi Vain tämän organisaatiohakemiston tilit (vain UmaContoso – yksittäinen vuokraaja) .

   

3. Kun kertakirjautuminen on määritetty ja URL-osoite https://pbirsazureapp-umacontoso2410.msappproxy.net toimii, meidän on varmistettava, että kirjautumiseen käytettävä tili on synkronoitu sen tilin kanssa, jolle on annettu käyttöoikeudet Power BI -raporttipalvelimessa.

4. Ensin täytyy määrittää mukautettu verkkotunnus, jota kirjautumisessa aiotaan käyttää, ja sitten on varmistettava, että se on todennettu

5. Tässä tapauksessa ostettiin toimialue nimeltä umacontoso.com ja tiedot määritettiin DNS-vyöhykkeeseen. Voit myös yrittää käyttää onmicrosoft.com toimialuetta ja synkronoida sen paikallisen AD:n kanssa.

   Katso lisätietoja artikkelista Opetusohjelma: Olemassa olevan mukautetun DNS-nimen yhdistäminen Azure-sovelluspalvelu varten.

6. Kun olet vahvistanut mukautetun toimialueen DNS-tiedot, tilana pitäisi näkyä Vahvistettu vastaamaan portaalin toimialuetta.

   

7. Asenna Microsoft Entra Connect toimialueen ohjauskoneen palvelimeen ja määritä se synkronoimaan Microsoft Entra -tunnuksen kanssa.

   

8. Kun Microsoft Entra -tunnus on synkronoitu paikallisen AD:n kanssa, näemme seuraavan tilan Azure-portaali:

   

9. Kun synkronointi onnistuu, avaa AD-toimialueet ja luottamukset Toimialueen ohjauskoneessa. Napsauta hiiren kakkospainikkeella Active Directory -toimialueet ja luottamusominaisuudet > ja lisää uusi käyttäjätunnus. Ympäristössämme umacontoso.com on ostettu mukautettu verkkotunnus.

10. Kun olet lisännyt upN:n, sinun pitäisi pystyä määrittämään käyttäjätilit upN:llä niin, että Microsoft Entra -tili ja paikallinen AD-tili ovat yhteydessä toisiinsa ja että tunnus tunnistetaan todennuksen aikana.

    AD-toimialueen nimi näkyy Käyttäjän kirjautumisnimi -osan avattavassa luettelossa, kun edellinen vaihe on suoritettu. Määritä käyttäjänimi ja valitse toimialue AD-käyttäjän ominaisuuksien Käyttäjän kirjautumisnimi -osan avattavasta luettelosta.

    

11. Kun AD-synkronointi onnistuu, paikallinen AD-tili tulee näkyviin Azure-portaali sovelluksen Käyttäjät ja ryhmät -osassa. Tilin lähde on Windows Server AD.

12. Tilillä kirjautuminen umasm@umacontoso.com on sama kuin Windows-tunnistetietojen Umacontoso\umasmkäyttäminen.

    Nämä edelliset vaiheet ovat käytettävissä, jos olet määrittänyt paikallisen AD:n ja aiot synkronoida sen Microsoft Entra -tunnuksen kanssa.

    Onnistunut sisäänkirjautuminen yllä olevien vaiheiden toteuttamisen jälkeen:

    

    Seuraavaksi näkyy verkkoportaali:

    

    Onnistunut testiyhteys tietolähteeseen, kun Kerberosta käytetään todentamiseen:

    

Käyttö Power BI -mobiilisovelluksista

Sovelluksen rekisteröinnin määrittäminen

Ennen kuin Power BI -mobiilisovellus voi muodostaa yhteyden Power BI -raporttipalvelimeen ja käyttää sitä, sinun on määritettävä sovelluksen rekisteröinti, joka luotiin puolestasi automaattisesti tämän artikkelin kohdassa Julkaise Microsoft Entra -sovellusvälityspalvelimen kautta.

Muistiinpano

Jos käytät ehdollisia käyttöoikeuskäytäntöjä, jotka edellyttävät, että Power BI -mobiilisovellus on hyväksytty asiakassovellus, et voi yhdistää Power BI -mobiilisovellusta Power BI -raporttipalvelimeen Microsoft Entra -sovellusvälityspalvelimen avulla.

1. Valitse Microsoft Entra -tunnuksen yleiskatsaus -sivulta Sovellusrekisteröinnit.

2. Etsi Kaikki sovellukset -välilehdestä Power BI -raporttipalvelimelle luomasi sovellus.

3. Valitse sovellus ja valitse sitten Todentaminen.

4. Lisää seuraavat uudelleenohjauksen URI-osoitteet käyttämäsi ympäristön perusteella.

   Kun määrität sovellusta Power BI -mobiilisovelluksen iOS-versiolle, lisää seuraavat Public Client -tyyppiset uudelleenohjauksen URI-osoitteet (mobiili ja työpöytä):

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Kun määrität sovellusta Power BI -mobiilisovelluksen Android-versiolle, lisää seuraavat Public Client -tyyppiset uudelleenohjauksen URI-osoitteet (mobiili ja työpöytä):

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Kun määrität sovellusta Power BI -mobiilisovelluksen iOS- ja Android-versiolle, lisää seuraava Public Client -tyyppinen uudelleenohjauksen URI-osoite (mobiili ja työpöytä) iOS:lle määritettyjen uudelleenohjauksen URI-osoitteiden luetteloon:

   • urn:ietf:wg:oauth:2.0:oob

   Tärkeä

   Uudelleenohjauksen URI-osoitteet on lisättävä, jotta sovellus toimii oikein.

Yhdistäminen Power BI -mobiilisovelluksista

1. Muodosta Power BI -mobiilisovelluksessa yhteys raporttipalvelimen esiintymään. Muodosta yhteys antamalla ulkoisen URL-osoite sovelluksen kautta, jonka julkaisit Sovellusvälityspalvelin kautta.
2. Valitse Yhdistä. Sinut ohjataan Microsoft Entran kirjautumissivulle.
3. Anna käyttäjän kelvolliset tunnistetiedot ja valitse Kirjaudu sisään. Näet raporttipalvelimen elementit.

Liittyvä sisältö

• Raporttipalvelimeen ja SSRS:ään yhdistäminen Power BI -mobiilisovelluksista
• Power BI -mobiilisovelluksen etäkäytön käyttöönotto Microsoft Entra -sovellusvälityspalvelimen avulla

Onko sinulla lisää kysymyksiä? Voit esittää kysymyksiä Power BI -yhteisössä