Koble til rapportserver for Power BI og SSRS fra Power BI-mobilprogrammer

Denne artikkelen beskriver hvordan du konfigurerer miljøet til å støtte OAuth-godkjenning med Power BI-mobilappen for å koble til rapportserver for Power BI og SQL Server Reporting Services 2016 eller nyere.

Krav

Windows Server kreves for serverne Web Programproxy (WAP) og Active Directory Federation Services (AD FS). Du trenger ikke å ha et domene på funksjonsnivå for Windows.

For at brukere skal kunne legge til en rapportservertilkobling i Power BI-mobilappen, må du gi dem tilgang til rapportserverens hjemmemappe.

Merk

Fra og med 1. mars 2025 kan ikke Power BI for mobilenheter-appen lenger koble til Rapportserver ved hjelp av OAuth-protokollen via AD FS som er konfigurert på Windows Server 2016. Kunder som bruker OAuth med AD FS konfigurert på Windows Server 2016 og Web Programproxy (WAP), må oppgradere AD FS-serveren til Windows Server 2019 eller nyere, eller bruke programproxyen for Microsoft Entra. Etter oppgraderingen av Windows Server kan det hende at Power BI for mobilenheter appbrukere må logge på rapportserveren på nytt.

Denne oppgraderingen kreves av en endring i godkjenningsbiblioteket som brukes av mobilappen. Endringen påvirker på ingen måte Microsoft-støtte for AD FS på Windows Server 2016, men heller bare muligheten til Power BI for mobilenheter-appen til å koble til den.

Dns-konfigurasjon (Domain Name Services)

Den offentlige URL-adressen er nettadressen som Power BI-mobilappen kobler til. Det kan for eksempel se omtrent slik ut.

https://reports.contoso.com

DNS-posten for rapporter til den offentlige IP-adressen til Web Programproxy-serveren (WAP). Du må også konfigurere en offentlig DNS-post for AD FS-serveren. Du kan for eksempel ha konfigurert AD FS-serveren med følgende URL-adresse.

https://fs.contoso.com

DNS-posten for fs til den offentlige IP-adressen til Web Programproxy (WAP)-serveren slik den vil bli publisert som en del av WAP-programmet.

Sertifikater

Du må konfigurere sertifikater for både WAP-programmet og AD FS-serveren. Begge disse sertifikatene må være en del av en gyldig sertifiseringsinstans som mobilenhetene gjenkjenner.

Reporting Services-konfigurasjon

Det er ikke mye å konfigurere på Reporting Services-siden. Du må bare sørge for at:

• Det finnes et gyldig tjenestekontohavernavn (SPN) for å aktivere riktig Kerberos-godkjenning.
• Reporting Services-serveren er aktivert for forhandlingsgodkjenning.
• Brukere har tilgang til rapportserverens hjemmemappe.

Tjenestekontohavernavn (SPN)

SPN er en unik identifikator for en tjeneste som bruker Kerberos-godkjenning. Du må sørge for at du har en skikkelig HTTP SPN til stede for rapportserveren.

Hvis du vil ha informasjon om hvordan du konfigurerer riktig tjenestekontohavernavn (SPN) for rapportserveren, kan du se Registrere et tjenestekontohavernavn (SPN) for en rapportserver.

Aktivering av forhandlegodkjenning

Hvis du vil at en rapportserver skal kunne bruke Kerberos-godkjenning, må du konfigurere godkjenningstypen for rapportserveren til å være RSWindowsNegotiate. Du gjør det i filen rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Hvis du vil ha mer informasjon, kan du se Endre en reporting services-konfigurasjonsfil og konfigurere Windows-godkjenning på en rapportserver.

Konfigurasjon av Active Directory Federation Services (AD FS)

Du må konfigurere AD FS på en Windows-server i miljøet. Konfigurasjonen kan gjøres via Serverbehandling og velge Legg til roller og funksjoner under Administrer. Hvis du vil ha mer informasjon, kan du se Active Directory Federation Services.

Viktig

Fra og med 1. mars 2025 kan ikke Power BI for mobilenheter-appene lenger koble til Rapportserver via AD FS som er konfigurert på Windows Server 2016. Se notatet i begynnelsen av denne artikkelen.

Opprette en programgruppe

I skjermbildet AD FS Management vil du opprette en programgruppe for Reporting Services som inneholder informasjon om Power BI for mobilenheter-appene.

Du kan opprette programgruppen med følgende fremgangsmåte.

1. Høyreklikk programgrupper i AD FS Management-appen, og velg Legg til programgruppe...

   

2. Angi et navn for programgruppen i veiviseren legg til programgruppe, og velg Opprinnelig program som har tilgang til en web-API.

   

3. Velg Neste.

4. Angi et navn for programmet du legger til.

5. Mens klient-ID-en genereres automatisk for deg, skriver du inn i 484d54fc-b481-4eee-9505-0258a1913020 for både iOS og Android.

6. Du vil legge til følgende url-adresser for omadressering:

   Oppføringer for Power BI for mobilenheter – iOS:
   msauth://code/mspbi-adal://com.microsoft.powerbimobile
   msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
   mspbi-adal://com.microsoft.powerbimobile
   mspbi-adalms://com.microsoft.powerbimobilems

   Android-apper trenger bare følgende trinn:
   urn:ietf:wg:oauth:2.0:oob

   

7. Velg Neste.

8. Angi URL-adressen for rapportserveren. URL-adressen er den eksterne URL-adressen som treffer web-Programproxy. Det bør være i følgende format.

   Merk

   Denne URL-adressen skiller mellom store og små bokstaver!

   https://<report server url>/reports

   

9. Velg Neste.

10. Velg tilgangskontrollpolicyen som passer til organisasjonens behov.

    

11. Velg Neste.

12. Velg Neste.

13. Velg Neste.

14. Velg Lukk.

Når du er ferdig, skal du se at egenskapene for programgruppen ser ut som følgende.

Kjør nå følgende PowerShell-kommando på AD FS-serveren for å sikre at tokenoppdatering støttes.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Web Programproxy (WAP)-konfigurasjon

Du vil aktivere rollen Web Programproxy (Rolle) Windows på en server i miljøet. Det må være på en Windows-server. Hvis du vil ha mer informasjon, kan du se Web Programproxy i Windows Server og Publiseringsprogrammer ved hjelp av AD FS Preauthentication.

Konfigurert avgrenset delegering

For å gå over fra OAuth-godkjenning til Windows-godkjenning, må vi bruke avgrenset delegering med protokollovergang. Dette er en del av Kerberos-konfigurasjonen. Vi har allerede definert Reporting Services SPN i Reporting Services-konfigurasjonen.

Vi må konfigurere avgrenset delegering på WAP Server-maskinkontoen i Active Directory. Du må kanskje samarbeide med en domeneadministrator hvis du ikke har rettigheter til Active Directory.

Hvis du vil konfigurere avgrenset delegering, vil du gjøre følgende trinn.

1. Start Active Directory-brukere og -datamaskiner på en maskin der Active Directory-verktøyene er installert.

2. Finn maskinkontoen for WAP-serveren. Som standard er den i datamaskinbeholderen.

3. Høyreklikk WAP-serveren, og gå til Egenskaper.

4. Velg Delegering-fanen.

5. Velg Klarer denne datamaskinen for delegering bare til angitte tjenester , og bruk deretter en hvilken som helst godkjenningsprotokoll.

   

   Dette konfigurerer avgrenset delegering for denne WAP Server-maskinkontoen. Vi må da angi tjenestene som denne maskinen har tillatelse til å delegere til.

6. Velg Legg til... under tjenesteboksen.

   

7. Velg brukere eller datamaskiner...

8. Angi tjenestekontoen du bruker for Reporting Services. Denne kontoen er kontoen du har lagt spn til i Reporting Services-konfigurasjonen.

9. Velg SPN for Reporting Services, og velg deretter OK.

   Merk

   Du kan bare se NetBIOS SPN. Det vil faktisk velge både NetBIOS og FQDN SPN-er hvis begge eksisterer.

   

10. Resultatet skal se omtrent slik ut når det er merket av for Utvidet .

    

11. Velg OK.

Legg til WAP-program

Selv om du kan publisere programmer i administrasjonskonsollen for rapporttilgang, bør vi opprette programmet via PowerShell. Her er kommandoen for å legge til programmet.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication

Parameter	Kommentarer
ADFSRelyingPartyName	Web-API-navnet du opprettet som en del av programgruppen i AD FS.
ExternalCertificateThumbprint	Sertifikatet som skal brukes for de eksterne brukerne. Det er viktig at sertifikatet er gyldig på mobile enheter og kommer fra en klarert sertifiseringsinstans.
BackendServerUrl	URL-adressen til rapportserveren fra WAP-serveren. Hvis WAP-serveren er i en DMZ, må du kanskje bruke et fullstendig domenenavn. Kontroller at du kan trykke på denne nettadressen fra nettleseren på WAP-serveren.
BackendServerAuthenticationSPN	SPN-en du opprettet som en del av Reporting Services-konfigurasjonen.

Angi integrert godkjenning for WAP-programmet

Når du har lagt til WAP-programmet, må du angi BackendServerAuthenticationMode til å bruke IntegratedWindowsAuthentication. Du trenger ID-en fra WAP-programmet for å kunne angi den.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Kjør følgende kommando for å angi BackendServerAuthenticationMode ved hjelp av ID-en for WAP-programmet.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Koble til Power BI for mobilenheter-appen

I Power BI-mobilappen vil du koble til Reporting Services-forekomsten. Dette gjør du ved å oppgi den eksterne URL-adressen for WAP-programmet.

Når du velger Koble til, blir du dirigert til påloggingssiden for AD FS. Angi gyldig legitimasjon for domenet.

Når du har valgt Logg på, ser du elementene fra Reporting Services-serveren.

Godkjenning med flere faktorer

Du kan aktivere godkjenning med flere faktorer for å aktivere ekstra sikkerhet for miljøet. Hvis du vil ha mer informasjon, kan du se Konfigurere Microsoft Entra-godkjenning med flere faktorer som godkjenningsleverandør med AD FS.

Feilsøking

Du får feilmeldingen «Kan ikke logge på SSRS-server»

Du kan konfigurere Fiddler til å fungere som en proxy for mobile enheter for å se hvor langt forespørselen kom. Hvis du vil aktivere en Fiddler-proxy for telefonenheten, må du konfigurere CertMaker for iOS og Android på maskinen som kjører Fiddler. Tillegget er fra Telerik for Fiddler.

Hvis påloggingen fungerer når du bruker Fiddler, kan det hende du har et sertifikatproblem med wap-programmet eller AD FS-serveren.

Relatert innhold

• Registrere et tjenestekontohavernavn (SPN) for en rapportserver
• Endre en reporting services-konfigurasjonsfil
• Konfigurere Windows-godkjenning på en rapportserver
• Active Directory Federation Services
• Web Programproxy i Windows Server
• Publisering av programmer ved hjelp av AD FS Preauthentication
• Konfigurer Microsoft Entra-godkjenning med flere faktorer som godkjenningsleverandør ved hjelp av AD FS
  Har du flere spørsmål? Prøv Power BI-fellesskap