Active Directory (AD) SSO

オンプレミスのデータ ゲートウェイは、Active Directory が構成されているオンプレミスのデータ ソースに接続するための Active Directory (AD) SSO をサポートしています。 AD SSO には、Kerberos の制約付き委任と Security Assertion Markup Language (SAML) の両方が含まれています。 SSO と AD SSO でサポートされているデータ ソースの一覧の詳細については、「Power BI のオンプレミスのデータ ゲートウェイ用シングル サインオン (SSO) の概要」を参照してください。

Active Directory SSO を実行する場合のクエリ手順

SSO を使ったクエリ実行は、次の図に示す 3 つのステップで構成されます。

各手順の詳細を次に示します。

1. Power BI サービスには、各クエリのユーザー プリンシパル名 (UPN) が含まれています。 UPN は、構成されたゲートウェイにクエリ要求が送信されるときに、現在Power BI サービスにサインインしているユーザーの完全修飾ユーザー名です。

2. ゲートウェイは、Microsoft Entra の UPN を Active Directory のローカル ID にマップする必要があります。

   a. Microsoft Entra DirSync (Microsoft Entra Connect とも呼ばれます) が構成されている場合、ゲートウェイでのマッピングは自動的に行われます。 b. そうでない場合、ゲートウェイは、ローカル環境の Active Directory ドメインの検索を実行し、Microsoft Entra の UPN を参照してローカル AD ユーザーにマップできます。

3. ゲートウェイ サービスのプロセスは、マップされたローカル ユーザーを偽装して、基になるデータベースへの接続を開いた後、クエリを送信します。 データベースと同じマシンにゲートウェイをインストールする必要はありません。

関連するコンテンツ

ゲートウェイ経由での SSO 実現に関する基礎を理解したところで、Kerberos と SAML に関する詳細をお読みください。

• シングル サインオン (SSO) - Kerberos
• シングル サインオン (SSO) - SAML
• Power BI のオンプレミスのデータ ゲートウェイ用シングル サインオン (SSO) の概要