Jaa

Yhteyden muodostaminen Power BI -raporttipalvelimeen ja SSRS:ään Power BI -mobiilisovelluksista

  • Artikkeli

Tässä artikkelissa kerrotaan, miten voit määrittää ympäristösi tukemaan OAuth-todennusta Power BI -mobiilisovelluksella muodostaaksesi yhteyden Power BI -raporttipalvelimeen ja SQL Server Reporting Services 2016:een tai uudempään versioon.

Vaatimukset

Web Application Proxy (WAP) -palvelimia ja Active Directory -liittoutumispalvelujen (AD FS) palvelimia varten vaaditaan Windows Server. Windowsin toiminnallisen tason toimialuetta ei tarvita.

Jotta käyttäjät voivat lisätä raporttipalvelinyhteyden Power BI -mobiilisovellukseensa, sinun on myönnettävä heille käyttöoikeus raporttipalvelimen kotikansioon.

Muistiinpano

1.3.2025 alkaen Power BI -mobiilisovellus ei enää voi muodostaa yhteyttä raporttipalvelimeen Windows Server 2016:lle määritetyn AD FS:n kautta OAuth-protokollan avulla. Asiakkaiden, jotka käyttävät OAuth-todennusta Windows Server 2016:ssa ja verkkosovelluksen välityspalvelimessa (WAP) määritetyn AD FS:n kanssa, on päivitettävä AD FS -palvelimensa Windows Server 2019:ään tai uudempaan versioon tai käytettävä Microsoft Entra -sovelluksen välityspalvelinta. Windows Server -päivityksen jälkeen Power BI -mobiilisovelluksen käyttäjien on ehkä kirjauduttava uudelleen sisään raporttipalvelimeen.

Tämä päivitys edellyttää muutosta mobiilisovelluksen käyttämään todentamiskirjastoon. Muutos ei vaikuta millään tavalla Microsoftin AD FS -tukeen Windows Server 2016:ssa, vaan pikemminkin vain Power BI -mobiilisovelluksen kykyyn muodostaa yhteys siihen.

Toimialuenimipalvelujen (DNS) määritys

Julkinen URL-osoite on URL-osoite, johon Power BI -mobiilisovellus muodostaa yhteyden. Se saattaa näyttää esimerkiksi seuraavan kaltaiselta.

https://reports.contoso.com

raporttien DNS-tietueesi Web Application Proxy (WAP) -palvelimen julkiseen IP-osoitteeseen. Sinun täytyy myös määrittää julkinen DNS-tietue AD FS -palvelimelle. Olet esimerkiksi ehkä määrittänyt AD FS -palvelimen käyttäen seuraavaa URL-osoitetta.

https://fs.contoso.com

fs:n DNS-tietue Web Application Proxy (WAP) -palvelimen julkiseen IP-osoitteeseen, koska se julkaistaan osana WAP-sovellusta.

Todistukset

Sinun on määritettävä varmenteet sekä WAP-sovellukselle että AD FS -palvelimelle. Molempien näiden varmenteiden on oltava peräisin kelvollisesta varmenteiden myöntäjästä, jonka mobiililaitteesi tunnistavat.

Reporting Services -määritys

Reporting Servicesin puolella ei ole paljon määritettävää. Varmista vain, että:

Palvelun päänimi (SPN)

PALVELUN PÄÄNIMI on Kerberos-todennusta käyttävän palvelun yksilöivä tunniste. Sinun täytyy varmistaa, että raporttipalvelimellasi on asianmukainen HTTP-palvelun päänimi.

Lisätietoja asianmukaisen palvelun päänimen (SPN) määrittämisestä raporttipalvelimelle on kohdassa Palvelun päänimen (SPN) rekisteröiminen raporttipalvelimen.

Todennuksen neuvottelun ottaminen käyttöön

Jotta raporttipalvelin voi käyttää Kerberos-todennusta, sinun on määritettävä raporttipalvelimen todennustyypiksi RSWindowsNegotiate. Tämä tehdään rsreportserver.config tiedostossa.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Lisätietoja on kohdassa Reporting Services -määritystiedoston muokkaaminen ja Windows-todennuksen määrittäminen raporttipalvelimen.

Active Directory -liittoutumispalvelujen (AD FS) määritys

Sinun on määritettävä AD FS -palvelu Windows-palvelimelle ympäristössäsi. Voit tehdä sen Palvelinten hallinnassa valitsemalla Hallinta-kohdassa Lisää rooleja ja ominaisuuksia -vaihtoehdon. Lisätietoja on artikkelissa Active Directory -liittoutumispalvelut.

Tärkeä

1.3.2025 alkaen Power BI -mobiilisovellukset eivät enää voi muodostaa yhteyttä raporttipalvelimeen Windows Server 2016:lle määritetyn AD FS:n kautta. Lisätietoja on tämän artikkelin alussa huomautuksessa.

Sovellusryhmän luominen

Sinun kannattaa luoda AD FS -hallintanäytössä Reporting Servicesille sovellusryhmä, joka sisältää tietoja Power BI -mobiilisovelluksia varten.

Voit luoda sovellusryhmän seuraavien ohjeiden avulla.

  1. Napsauta AD FS -hallintasovelluksessa hiiren kakkospainikkeella Sovellusryhmät- ja valitse Lisää sovellusryhmä...

    AD FS Lisää sovellus -

  2. Anna sovellusryhmälle nimen sovellusryhmän lisäämisen ohjatussa toiminnossa ja valitse Native application accessing a WEB API.

    AD FS -sovellusryhmän ohjattu toiminto 01

  3. Valitse Seuraava.

  4. Anna lisättävälle sovellukselle nimi.

  5. Kun Asiakastunnus - luodaan automaattisesti puolestasi, syötä 484d54fc-b481-4eee-9505-0258a1913020 sekä iOS:lle että Androidille.

  6. Haluat lisätä seuraavat uudelleenohjauksen URL-osoitteet :

    Power BI Mobilen merkinnät – iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Android-sovellukset tarvitsevat vain seuraavat vaiheet:
    urn:ietf:wg:oauth:2.0:oob

    AD FS -sovellusryhmän ohjattu toiminto 02

  7. Valitse Seuraava.

  8. Anna raporttipalvelimen URL-osoite. URL-osoite on ulkoinen URL-osoite, joka osuu Web Application Proxy -palvelimeesi. Sen pitäisi olla seuraavassa muodossa.

    Muistiinpano

    Kirjainkoko on merkitsevä tässä URL-osoitteessa.

    https://<report server url>/reports

    AD FS -sovellusryhmän ohjattu toiminto 03

  9. Valitse Seuraava.

  10. Valitse käyttöoikeuksien valvontakäytäntö, joka soveltuu organisaatiosi tarpeisiin.

    AD FS -sovellusryhmän ohjattu toiminto 04

  11. Valitse Seuraava.

  12. Valitse Seuraava.

  13. Valitse Seuraava.

  14. Valitse Sulje.

Kun olet valmis, sovellusryhmäsi ominaisuuksien pitäisi näyttää seuraavan kaltaiselta.

AD FS -sovellusryhmän ohjattu toiminto

Suorita seuraavaksi seuraava PowerShell-komento AD FS -palvelimessa varmistaaksesi, että tunnuksen päivitystä tuetaan.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Verkkosovelluksen välityspalvelimen (WAP) määritys

Haluat ottaa Web Application Proxy (rooli) -Windows-roolin käyttöön ympäristösi palvelimessa. Sen täytyy olla Windows-palvelimessa. Lisätietoja on artikkelissa Verkkosovelluksen välityspalvelimen Windows Server ja Sovellusten julkaiseminen käyttäen AD FS -esitodennusta.

Rajoitetun delegoinnin määritys

OAuth-todennuksesta Windows-todennukseen siirtyminen edellyttää rajoitetun delegoinnin ja protokollan siirron käyttämistä. Tämä on osa Kerberos-määritystä. Reporting Servicesin palvelun päänimi määritetiin jo Reporting Services -määrityksen yhteydessä.

Rajoitettu delegointi on määritettävä WAP-palvelinkoneen tilillä Active Directoryssa. Sinun on ehkä tehtävä yhteistyötä toimialueen järjestelmänvalvojan kanssa, jos sinulla ei ole Active Directory -käyttöoikeuksia.

Rajoitettu delegointi kannattaa määrittää seuraavasti.

  1. Käynnistä Active Directory Users and Computers -tietokoneessa, johon on asennettu Active Directory -työkalut.

  2. Etsi WAP-palvelimesi tietokonetili. Oletusarvoisesti se on tietokoneiden säilössä.

  3. Napsauta WAP-palvelinta hiiren kakkospainikkeella ja siirry kohtaan Ominaisuudet .

  4. Valitse Delegointi -välilehti.

  5. Valitse Luota tähän tietokoneeseen vain määritettyihin palveluihin delegointia varten ja valitse sitten Käytä mitä tahansa todennusprotokollaa.

    rajoitettu WAP-

    Tämä määrittää rajoitetun delegoinnin tälle WAP-palvelinkoneen tilille. Tämän jälkeen täytyy määrittää palvelut, joihin tämän koneen sallitaan delegoida.

  6. Valitse Lisää... palvelut-ruudun alta.

    WAP Constrained 02

  7. Valitse Käyttäjät tai tietokoneet...

  8. Anna palvelutili, jota käytät Reporting Servicesin kanssa. Kyseessä on se tili, jolle lisäsit palvelun päänimen Reporting Services -määrityksen aikana.

  9. Valitse SPN Reporting Servicesille ja valitse sitten OK.

    Muistiinpano

    Saatat nähdä vain NetBIOSin SPN:n. Todellisuudessa sekä NetBIOSin SPN että FQDN:n SPN valitaan.

    WAP Constrained 03

  10. Tuloksen pitäisi näyttää seuraavan kaltaiselta, kun Laajennettu -valintaruutu on valittuna.

    WAP Constrained 04

  11. Valitse OK.

WAP-sovelluksen lisääminen

Voit julkaista sovelluksia myös raporttien käytön hallintakonsolissa, mutta tässä esimerkissä sovellus luodaan PowerShellin kautta. Tässä on komento sovelluksen lisäämiseksi.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parametri Kommentit
ADFSRelyingPartyName Tämä on se WWW-ohjelmointirajapinnan nimi, jonka loit sovellusryhmän osana AD FS:ssä.
ExternalCertificateThumbprint Tämä varmenne on ulkoisia käyttäjiä varten. On tärkeää, että varmenne on voimassa mobiililaitteissa ja että se on peräisin luotetulta varmenteiden myöntäjältä.
BackendServerUrl Raporttipalvelimen URL-osoite WAP-palvelimesta. Jos WAP-palvelin on DMZ-alueella, sinun on ehkä käytettävä täydellistä toimialuenimeä. Varmista, että pääset tähän URL-osoitteeseen verkkoselaimesta WAP-palvelimessa.
BackendServerAuthenticationSPN- Tämä on se palvelun päänimi, jonka loit osana Reporting Services -määritystä.

Integroidun todentamisen määrittäminen WAP-sovellukselle

Kun olet lisännyt WAP-sovelluksen, sinun on määritettävä BackendServerAuthenticationMode käyttämään IntegratedWindowsAuthentication -todennusta. Sen määrittämiseen tarvitaan tunnus WAP-sovelluksesta.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Näyttökuva, joka näyttää WAP-sovelluksesta tarvitsemasi tunnuksen.

Määritä BackendServerAuthenticationMode WAP-sovelluksen tunnuksen avulla suorittamalla seuraava komento.

Set-WebApplicationProxyApplication -id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Näyttökuva, jossa näytetään, miten taustapalvelimen todennustila määritetään WAP-sovelluksen tunnuksella.

Yhteyden muodostaminen Power BI -mobiilisovelluksen avulla

Power BI -mobiilisovelluksesta kannattaa muodostaa yhteys Reporting Services -esiintymään. Tätä varten sinun on annettava ulkoiselle URL- WAP-sovelluksellesi.

Kirjoita palvelimen osoitteen

Kun valitset Yhdistä, sinut ohjataan AD FS -kirjautumissivulle. Anna toimialueesi kelvolliset tunnistetiedot.

Kirjautuminen sisään AD FS -

Kun olet valinnut Kirjaudu sisään, näkyviin tulee elementtejä Reporting Services -palvelimestasi.

Monimenetelmäinen todentaminen

Voit ottaa käyttöön monimenetelmäsen todentamisen lisäsuojauksen ottamiseksi käyttöön ympäristössäsi. Lisätietoja on artikkelissa Microsoft Entran monimenetelmäisen todentamisen määrittäminen todentamispalveluna AD FS.

Vianetsintä

Näyttöön tulee seuraava virheviesti: "Kirjautuminen SSRS-palvelimeen epäonnistui"

Voit määrittää Fiddler toimimaan mobiililaitteidesi välityspalvelimena nähdäksesi, kuinka pitkälle pyyntö eteni. Jotta voisit ottaa käyttöön Fiddler-välityspalvelimen puhelimelle, sinun on määritettävä CertMaker for iOS- ja Android- tietokoneessa, jossa Fiddler toimii. Fiddler-lisäosa on Telerikiltä.

Jos sisäänkirjautuminen toimii Fiddleria käytettäessä, kyseessä voi olla WAP-sovellukseen tai AD FS -palvelimeen liittyvä varmenneongelma.

Aiheeseen liittyvä sisältö