Condividi tramite

Connettersi al server di report di Power BI e a SSRS da applicazioni power BI per dispositivi mobili

  • Articolo

Questo articolo illustra come configurare l'ambiente per supportare l'autenticazione OAuth con l'app Power BI per dispositivi mobili per connettersi al server di report di Power BI e a SQL Server Reporting Services 2016 o versione successiva.

Requisiti

Windows Server è necessario per i server Proxy applicazione Web (WAP) e Active Directory Federation Services (AD FS). Non è necessario avere un dominio a livello di funzionalità di Windows.

Per consentire agli utenti di aggiungere una connessione al server di report all'app Power BI per dispositivi mobili, è necessario concedere loro l'accesso alla home cartella del server di report.

Nota

A partire dal 1° marzo 2025, l'app Power BI Per dispositivi mobili non sarà più in grado di connettersi al server di report usando il protocollo OAuth tramite AD FS configurato in Windows Server 2016. I clienti che usano OAuth con AD FS configurati in Windows Server 2016 e Web Application Proxy (WAP) dovranno aggiornare il server AD FS a Windows Server 2019 o versione successiva oppure usare proxy dell'applicazione Microsoft Entra. Dopo l'aggiornamento di Windows Server, gli utenti dell'app Power BI Per dispositivi mobili potrebbero dover accedere nuovamente al server di report.

Questo aggiornamento è necessario da una modifica nella libreria di autenticazione usata dall'app per dispositivi mobili. La modifica non influisce in alcun modo sul supporto Microsoft per AD FS in Windows Server 2016, ma solo sulla possibilità di connettersi all'app Power BI Per dispositivi mobili.

Configurazione di Domain Name Services (DNS)

L'URL pubblico è l'URL a cui si connetterà l'app Power BI per dispositivi mobili. Ad esempio, potrebbe essere simile al seguente.

https://reports.contoso.com

Il record DNS per segnala all'indirizzo IP pubblico del server Web Application Proxy (WAP). È anche necessario configurare un record DNS pubblico per il server AD FS. Ad esempio, è possibile che il server AD FS sia stato configurato con l'URL seguente.

https://fs.contoso.com

Il record DNS per fs è collegato all'indirizzo IP pubblico del server Web Application Proxy (WAP) poiché verrà pubblicato come parte dell'applicazione WAP.

Certificati

È necessario configurare i certificati sia per l'applicazione WAP che per il server AD FS. Entrambi questi certificati devono far parte di un'autorità di certificazione valida riconosciuta dai dispositivi mobili.

Configurazione di Reporting Services

Non c'è molto da configurare sul lato Reporting Services. È sufficiente assicurarsi che:

Service Principal Name (SPN)

Il nome SPN è un identificatore univoco per un servizio che usa l'autenticazione Kerberos. È necessario assicurarsi di disporre di un nome SPN HTTP appropriato per il server di report.

Per informazioni su come configurare il nome dell'entità servizio (SPN) appropriato per il server di report, vedere Registrare un nome dell'entità servizio (SPN) per un server di report.

Abilitazione dell'autenticazione negoziata

Per consentire a un server di report di usare l'autenticazione Kerberos, è necessario configurare il tipo di autenticazione del server di report in modo che sia RSWindowsNegotiate. Questa operazione viene eseguita nel file di rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Per altre informazioni, vedere Modificare un file di configurazione di Reporting Services e Configurare l'autenticazione di Windows in un server di report.

Configurazione di Active Directory Federation Services (AD FS)

È necessario configurare AD FS in un server Windows all'interno dell'ambiente. La configurazione può essere eseguita tramite Server Manager e selezionando Aggiungi ruoli e funzionalità in Gestisci. Per altre informazioni, vedere Active Directory Federation Services.

Importante

A partire dal 1° marzo 2025, le app Power BI Per dispositivi mobili non potranno più connettersi al server di report tramite AD FS configurato in Windows Server 2016. Consultare la nota all'inizio di questo articolo.

Creare un gruppo di applicazioni

Nella schermata Gestione AD FS si vuole creare un gruppo di applicazioni per Reporting Services che include informazioni per le app Power BI per dispositivi mobili.

È possibile creare il gruppo di applicazioni seguendo questa procedura.

  1. Nell'app Gestione AD FS fare clic con il pulsante destro del mouse su gruppi di applicazioni e selezionare Aggiungi gruppo di applicazioni...

    AD FS Aggiungi Applicazione

  2. Nella Procedura guidata Aggiungi gruppo di applicazioni specificare un nome per il gruppo di applicazioni e selezionare 'applicazione nativa che accede a un'API Web.

    Guidata gruppo di applicazioni AD FS 01

  3. Selezionare Avanti.

  4. Specificare un nome per l'applicazione che si sta aggiungendo.

  5. Mentre l'ID client verrà generato automaticamente per l'utente, immettere in 484d54fc-b481-4eee-9505-0258a1913020 sia per iOS che per Android.

  6. Si desidera aggiungere gli URL di reindirizzamento seguenti :

    voci per Power BI Per dispositivi mobili - iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Le app Android richiedono solo i passaggi seguenti:
    urn:ietf:wg:oauth:2.0:oob

    Creazione guidata gruppo di applicazioni AD FS 02

  7. Selezionare Avanti.

  8. Specificare l'URL per il server di report. L'URL è l'URL esterno che raggiungerà il tuo Proxy delle Applicazioni Web. Deve essere nel formato seguente.

    Nota

    Questo URL fa distinzione tra maiuscole e minuscole.

    https://<report server url>/reports

    Creazione guidata gruppo di applicazioni AD FS 03

  9. Selezionare Avanti.

  10. Scegliere i criteri di controllo di accesso adatti alle esigenze dell'organizzazione.

    Procedura guidata Gruppo di applicazioni AD FS 04

  11. Selezionare Avanti.

  12. Selezionare Avanti.

  13. Selezionare Avanti.

  14. Selezionare Chiudi.

Al termine, le proprietà del gruppo di applicazioni dovrebbero essere simili alle seguenti.

Procedura guidata gruppo di applicazioni AD FS

Eseguire ora il comando di PowerShell seguente nel server AD FS per assicurarsi che l'aggiornamento del token sia supportato.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Configurazione del proxy dell'applicazione Web (WAP)

Si desidera abilitare il ruolo Windows Proxy di applicazione Web su un server nel tuo ambiente. Deve trovarsi in un server Windows. Per ulteriori informazioni, vedere Proxy delle applicazioni Web in Windows Server e Pubblicazione di applicazioni tramite la preautenticazione di AD FS.

Configurazione della delega vincolata

Per passare dall'autenticazione OAuth all'autenticazione di Windows, è necessario usare la delega vincolata con la transizione del protocollo. Questa è parte della configurazione Kerberos. È già stato definito l'SPN di Reporting Services all'interno della configurazione di Reporting Services.

È necessario configurare la delega vincolata nell'account computer del server WAP all'interno di Active Directory. Potrebbe essere necessario collaborare con un amministratore di dominio se non si dispone dei diritti per Active Directory.

Per configurare la delega vincolata, seguire questa procedura.

  1. Su un computer in cui sono installati gli strumenti di Active Directory, avviare Utenti e Computer di Active Directory.

  2. Trovare l'account del computer per il server WAP. Per impostazione predefinita, si trova nel contenitore computer.

  3. Fare clic con il pulsante destro del mouse sul server WAP e selezionare Proprietà.

  4. Selezionare la scheda delega.

  5. Seleziona Considera questo computer attendibile solo per la delega ai servizi specificati e quindi Usa qualsiasi protocollo di autenticazione.

    WAP vincolato

    In questo modo viene impostata la delega vincolata per l'account macchina di questo server WAP. È quindi necessario specificare i servizi a cui il computer è autorizzato a delegare.

  6. Selezionare Aggiungi... nella casella dei servizi.

    WAP Limitato 02

  7. Selezionare Utenti o computer...

  8. Inserisci l'account del servizio in uso per Reporting Services. Questo è l'account a cui hai aggiunto l'SPN nella configurazione di Reporting Services.

  9. Selezionare il SPN per Reporting Services e quindi selezionare OK.

    Nota

    È possibile che venga visualizzato solo l'SPN NetBIOS. In realtà selezionerà sia gli SPN di NetBIOS sia quelli FQDN, se entrambi sono presenti.

    WAP vincolato 03

  10. Il risultato dovrebbe essere simile al seguente quando viene selezionata la casella di controllo espansa e la casella di controllo.

    WAP vincolato 04

  11. Selezionare OK.

Aggiungere un'applicazione WAP

Sebbene sia possibile pubblicare applicazioni all'interno della Console di gestione degli accessi report, è consigliabile creare l'applicazione tramite PowerShell. Ecco il comando per aggiungere l'applicazione.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parametro Commenti
ADFSRelyingPartyName Nome dell'API Web creato come parte del gruppo di applicazioni all'interno di AD FS.
ExternalCertificateThumbprint Certificato da usare per gli utenti esterni. È importante che il certificato sia valido nei dispositivi mobili e provengano da un'autorità di certificazione attendibile.
BackendServerUrl URL del Report Server dal server WAP. Se il server WAP si trova in una rete perimetrale, potrebbe essere necessario usare un nome di dominio completo. Assicurarsi di poter raggiungere questo URL dal Web browser nel server WAP.
BackendServerAuthenticationSPN Il SPN che hai creato come parte della configurazione di Reporting Services.

Impostazione dell'autenticazione integrata per l'applicazione WAP

Dopo aver aggiunto l'applicazione WAP, è necessario impostare BackendServerAuthenticationMode per usare IntegratedWindowsAuthentication. Per impostarlo, è necessario l'ID dell'applicazione WAP.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Screenshot che mostra l'ID necessario dall'applicazione WAP.

Eseguire il comando seguente per impostare BackendServerAuthenticationMode usando l'ID dell'applicazione WAP.

Set-WebApplicationProxyApplication -id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Screenshot che mostra come impostare la modalità di autenticazione del server back-end usando l'ID dell'applicazione WAP.

Connessione con l'app Power BI per dispositivi mobili

All'interno dell'app Power BI per dispositivi mobili si vuole connettersi all'istanza di Reporting Services. A tale scopo, specificare il URL esterno per l'applicazione WAP.

Digitare l'indirizzo del server

Quando si seleziona Connect, si verrà indirizzati alla pagina di accesso di AD FS. Immettere le credenziali valide per il dominio.

Accedi ad AD FS

Dopo aver selezionato Accedi, vengono visualizzati gli elementi del tuo server di Reporting Services.

Autenticazione a più fattori

È possibile abilitare l'autenticazione a più fattori per abilitare la sicurezza aggiuntiva per l'ambiente in uso. Per altre informazioni, vedere Configurare l'autenticazione a più fattori Microsoft Entra come provider di autenticazione con AD FS.

Risoluzione dei problemi

Viene visualizzato l'errore "Non è stato possibile accedere al server SSRS"

errore

È possibile configurare Fiddler per fungere da proxy per i dispositivi mobili per vedere fino a che punto è arrivata la richiesta. Per abilitare un proxy Fiddler per il dispositivo telefonico, è necessario configurare il CertMaker per iOS e Android nel computer che esegue Fiddler. Il componente aggiuntivo proviene da Telerik per Fiddler.

Se l'accesso funziona correttamente quando si usa Fiddler, è possibile che si verifichi un problema di certificato con l'applicazione WAP o il server AD FS.

Contenuto correlato