シングル サインオン (SSO) 構成のテスト
"シングル サインオン (SSO)" を使用すると、各 Power BI ユーザーは、基になるデータ ソースで自分がアクセス許可を持っている正確なデータにアクセスできます。 多くの Power BI データ ソースでは、Kerberos の制約付き委任または Security Assertion Markup Language (SAML) のいずれかを使用して、SSO が有効になっています。 詳しくは、「Power BI のオンプレミスのデータ ゲートウェイ用シングル サインオンの概要」を参照してください。
SSO のセットアップは複雑なので、"シングル サインオン (SSO) の構成のテスト" 機能を使用して、構成をテストすることができます。
シングル サインオンのテストでは:
- 指定したテスト用ユーザー プリンシパル名 (UPN) を使って、ゲートウェイをデータ ソースに接続できます。
- SSO のセットアップを検証します。これには、偽装とデータ ソースへのアクセスのための、ローカル Active Directory (AD) ID への UPN マッピングの確認が含まれます。
- 接続エラーが発生した場合の問題の特定をサポートします。 たとえば、エラー メッセージによって、UPN がデータ ソースへのアクセス権がないローカル AD ID にマップされているかどうかがわかります。
シングル サインオンのテスト機能は、Kerberos および SAML ベースの SSO の両方で、「SSO でサポートされているデータ ソース」に記載されているデータ ソースに対して動作します。 Kerberos の制約付き委任の場合、シングル サインオンのテスト機能は、DirectQuery とインポートの両方、または DirectQuery データ ソースのみの SSO をテストするのに役立ちます。
重要
シングル サインオンのテスト機能には、ゲートウェイの 2021 年 3 月リリース以降のバージョンが必要です。
ゲートウェイの SSO をテストする
SSO の構成をテストするには:
Power BI の [接続とゲートウェイの管理] で、データ ソースの [設定] を選択します。
[設定] ペインの [シングル サインオン] で、[シングル サインオンのテスト] を選択します。
テストするユーザー プリンシパル名を指定します。
ゲートウェイ クラスターでユーザーを偽装し、データ ソースに正常に接続できる場合は、次の図に示すようにテストは成功します。
トラブルシューティング
このセクションでは、シングル サインオンのテスト時に発生する場合がある一般的なエラーと、それらを修正するために実行できるアクションについて説明します。
偽装に関するエラー
ゲートウェイ クラスターがユーザーを偽装してデータ ソースに接続できない場合、テストは次のエラー メッセージで失敗します: エラー: オンプレミス データ ゲートウェイのサービス アカウントで、ユーザーを偽装できませんでした。
考えられる原因と解決策は次のとおりです。
- ユーザーが Microsoft Entra ID に存在しません。 ユーザーが Microsoft Entra ID に存在するかどうかを確認します。
- ユーザーがローカルの AD アカウントに正しくマップされていない。 構成を確認し、「Power BI のオンプレミスのデータ ゲートウェイ用シングル サインオンの概要」の手順に従ってください。
- ゲートウェイに偽装の権限がない。 「ゲートウェイ コンピューターでゲートウェイ サービス アカウントにローカル ポリシー権限を付与する」の説明に従って、ゲートウェイ コンピューターでゲートウェイ サービス アカウントにローカル ポリシー権限を付与します。
無効な資格情報エラー
ゲートウェイがデータ ソースに接続できない場合、指定した UPN がデータ ソースにアクセスできないため、エラー: 接続の資格情報が正しくありませんというエラーが表示されます。
ユーザーへのアクセスを拒否するようにデータ ソースが誤って構成されていないかどうかを確認します。 データ ソースの構成と設定にアクセスするには、データ ソースまたはデータベースの管理者と協力する必要がある場合があります。