Delen via

Verbinding maken met Power BI Report Server en SSRS vanuit mobiele Power BI-toepassingen

  • Artikel

In dit artikel wordt beschreven hoe u uw omgeving configureert om OAuth-verificatie te ondersteunen met de mobiele Power BI-app om verbinding te maken met Power BI Report Server en SQL Server Reporting Services 2016 of hoger.

Eisen

Windows Server is vereist voor de WAP-servers (Web Application Proxy) en Active Directory Federation Services (AD FS). U hoeft geen domein op windows-functionaliteitsniveau te hebben.

Als u wilt dat gebruikers een rapportserververbinding kunnen toevoegen aan hun mobiele Power BI-app, moet u hen toegang verlenen tot de basismap van de rapportserver.

Notitie

Vanaf 1 maart 2025 kan de Power BI Mobile-app geen verbinding meer maken met Report Server met behulp van het OAuth-protocol via AD FS dat is geconfigureerd op Windows Server 2016. Klanten die OAuth gebruiken met AD FS die zijn geconfigureerd op Windows Server 2016 en Web Application Proxy (WAP), moeten hun AD FS-server upgraden naar Windows Server 2019 of hoger, of Microsoft Entra-toepassingsproxy gebruiken. Na de upgrade van Windows Server moeten gebruikers van de Power BI Mobile-app zich mogelijk opnieuw aanmelden bij Report Server.

Deze upgrade is vereist door een wijziging in de verificatiebibliotheek die wordt gebruikt door de mobiele app. De wijziging is op geen enkele manier van invloed op Microsoft-ondersteuning voor AD FS op Windows Server 2016, maar in plaats daarvan alleen de mogelijkheid van de Power BI Mobile-app om er verbinding mee te maken.

DNS-configuratie (Domain Name Services)

De openbare URL is de URL waarmee de mobiele Power BI-app verbinding maakt. Het ziet er bijvoorbeeld ongeveer als volgt uit.

https://reports.contoso.com

Uw DNS-record voor rapporteert aan het openbare IP-adres van de WAP-server (Web Application Proxy). U moet ook een openbare DNS-record configureren voor uw AD FS-server. U hebt bijvoorbeeld de AD FS-server geconfigureerd met de volgende URL.

https://fs.contoso.com

Uw DNS-record voor fs moet verwijzen naar het openbare IP-adres van de WAP-server (Web Application Proxy), aangezien het als onderdeel van de WAP-toepassing zal worden gepubliceerd.

Certificaten

U moet certificaten configureren voor zowel de WAP-toepassing als de AD FS-server. Beide certificaten moeten deel uitmaken van een geldige certificeringsinstantie die door uw mobiele apparaten wordt herkend.

Reporting Services-configuratie

Er is niet veel te configureren aan de zijde van Reporting Services. U hoeft alleen maar te controleren of:

Serviceprincipalnaam (SPN)

De SPN is een unieke id voor een service die gebruikmaakt van Kerberos-verificatie. U moet ervoor zorgen dat u over een juiste HTTP SPN beschikt voor uw rapportserver.

Zie Service Principal Name (SPN) registreren voor een rapportserver voor informatie over het configureren van de juiste Service Principal Name (SPN) voor uw rapportserver.

Negotiate-authenticatie inschakelen

Als u wilt dat een rapportserver Kerberos-verificatie gebruikt, moet u het verificatietype van de rapportserver configureren als RSWindowsNegotiate. U doet dit in het rsreportserver.config-bestand.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Zie Een Reporting Services-configuratiebestand wijzigen en Windows-verificatie configureren op een rapportservervoor meer informatie.

Ad FS-configuratie (Active Directory Federation Services)

U moet AD FS configureren op een Windows-server in uw omgeving. De configuratie kan worden uitgevoerd via Serverbeheer en het selecteren van Functies en onderdelen toevoegen onder Beheren. Zie Active Directory Federation Servicesvoor meer informatie.

Belangrijk

Vanaf 1 maart 2025 kunnen de Mobiele Power BI-apps geen verbinding meer maken met Report Server via AD FS die zijn geconfigureerd op Windows Server 2016. Zie de opmerking aan het begin van dit artikel.

Een toepassingsgroep maken

In het scherm AD FS-beheer wilt u een toepassingsgroep maken voor Reporting Services die informatie bevat voor de mobiele Power BI-apps.

U kunt de toepassingsgroep maken met de volgende stappen.

  1. Klik in de AD FS-beheer-app met de rechtermuisknop op toepassingsgroepen en selecteer toepassingsgroep toevoegen...

    AD FS-toepassing toevoegen

  2. Geef in de wizard Toepassingsgroep Toevoegen een naam op voor de toepassingsgroep en selecteer native applicatie die toegang heeft tot een web-API.

    Wizard AD FS-toepassingsgroep 01

  3. Selecteer Volgende.

  4. Geef een naam op voor de toepassing die u aan het toevoegen bent.

  5. Terwijl de Client-id automatisch wordt gegenereerd voor uw, voert u 484d54fc-b481-4eee-9505-0258a1913020 in voor zowel iOS als Android.

  6. U wilt de volgende omleidings-URL's toevoegen:

    Inzendingen voor Power BI Mobile - iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Android-apps hebben alleen de volgende stappen nodig:
    urn:ietf:wg:oauth:2.0:oob

    Wizard 02 AD FS-toepassingsgroep 02

  7. Selecteer Volgende.

  8. Geef de URL voor uw rapportserver op. De URL is de externe URL die naar uw webtoepassingsproxy gaat. Deze moet de volgende indeling hebben.

    Notitie

    Deze URL is hoofdlettergevoelig.

    https://<report server url>/reports

    AD FS-toepassingsgroepwizard 03

  9. Selecteer Volgende.

  10. Kies het Toegangsbeheerbeleid die past bij de behoeften van uw organisatie.

    Wizard AD FS-toepassingsgroep 04

  11. Kies Volgende.

  12. Selecteer Volgende.

  13. Selecteer Volgende.

  14. Selecteer Sluit.

Wanneer dit is voltooid, ziet u de eigenschappen van uw toepassingsgroep er ongeveer als volgt uit.

Wizard AD FS-toepassingsgroep

Voer nu de volgende PowerShell-opdracht uit op de AD FS-server om ervoor te zorgen dat het vernieuwen van tokens wordt ondersteund.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Wap-configuratie (Web Application Proxy)

U wilt de Windows-rol Web Application Proxy (Role) inschakelen op een server in uw omgeving. Deze moet zich op een Windows-server bevinden. Zie Webtoepassingsproxy in Windows Server en Toepassingen publiceren met behulp van AD FS Pre-authenticatievoor meer informatie.

Configuratie van beperkte delegatie

Om over te stappen van OAuth-verificatie naar Windows-verificatie, moeten we beperkte delegering gebruiken met protocolovergang. Dit maakt deel uit van de Kerberos-configuratie. We hebben de Reporting Services SPN al gedefinieerd in de Reporting Services-configuratie.

We moeten beperkte delegering configureren voor het WAP Server-computeraccount in Active Directory. Mogelijk moet u met een domeinbeheerder werken als u geen rechten hebt voor Active Directory.

Als u beperkte delegering wilt configureren, moet u de volgende stappen uitvoeren.

  1. Start op een computer waarop de Active Directory-hulpprogramma's zijn geïnstalleerd Active Directory Users and Computers.

  2. Zoek het computeraccount voor uw WAP-server. Standaard bevindt deze zich in de computercontainer.

  3. Klik met de rechtermuisknop op de WAP-server en ga naar Eigenschappen.

  4. Selecteer het tabblad Delegering.

  5. Selecteer Vertrouw deze computer alleen voor delegering naar specifieke services en vervolgens Gebruik elk verificatieprotocol.

    WAP-beperkte

    Hiermee stelt u beperkte delegering in voor dit WAP Server-computeraccount. Vervolgens moeten we de services opgeven waaraan deze computer mag delegeren.

  6. Selecteer Toevoegen... onder het vak Services.

    WAP-beperking 02

  7. Selecteer Gebruikers of Computers...

  8. Voer het serviceaccount in dat u gebruikt voor Reporting Services. Dit account is het account waaraan u de SPN hebt toegevoegd binnen de Reporting Services-configuratie.

  9. Selecteer de SPN voor Reporting Services en selecteer vervolgens OK.

    Notitie

    Mogelijk ziet u alleen de NetBIOS SPN. In feite worden zowel de NetBIOS- als FQDN-SPN's geselecteerd als ze beide bestaan.

    WAP-beperking 03

  10. Het resultaat moet er ongeveer als volgt uitzien wanneer het selectievakje Uitgevouwen is ingeschakeld.

    WAP-beperkt 04

  11. Selecteer OK-.

WAP-toepassing toevoegen

Hoewel u toepassingen kunt publiceren in de console rapporttoegangsbeheer, willen we de toepassing maken via PowerShell. Hier volgt de opdracht om de toepassing toe te voegen.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parameter Opmerkingen
ADFSRelyingPartyName- De web-API-naam die u hebt gemaakt als onderdeel van de toepassingsgroep in AD FS.
ExternalCertificateThumbprint Het certificaat dat moet worden gebruikt voor de externe gebruikers. Het is belangrijk dat het certificaat geldig is op mobiele apparaten en afkomstig is van een vertrouwde certificeringsinstantie.
BackendServerUrl De URL naar de rapportserver vanaf de WAP-server. Als de WAP-server zich in een DMZ bevindt, moet u mogelijk een volledig gekwalificeerde domeinnaam gebruiken. Zorg ervoor dat u deze URL kunt bereiken vanuit de webbrowser op de WAP-server.
BackendServerAuthenticationSPN De SPN die u hebt gemaakt als onderdeel van de Reporting Services-configuratie.

Geïntegreerde verificatie instellen voor de WAP-toepassing

Nadat u de WAP-toepassing hebt toegevoegd, moet u de BackendServerAuthenticationMode instellen om IntegratedWindowsAuthentication te gebruiken. U hebt de id van de WAP-toepassing nodig om deze in te stellen.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

schermopname met de id die u nodig hebt vanuit de WAP-toepassing.

Voer de volgende opdracht uit om de BackendServerAuthenticationMode in te stellen met behulp van de id van de WAP-toepassing.

Set-WebApplicationProxyApplication -id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Schermopname die laat zien hoe u de verificatiemodus van de back-endserver instelt met behulp van de id van de WAP-toepassing.

Verbinding maken met de mobiele Power BI-app

In de mobiele Power BI-app wilt u verbinding maken met uw Reporting Services-exemplaar. Hiervoor geeft u voor uw WAP-toepassing de externe URL op.

Typ het serveradres

Wanneer u Connectselecteert, wordt u omgeleid naar de aanmeldingspagina van AD FS. Voer geldige referenties in voor uw domein.

aanmelden bij AD FS-

Nadat u Aanmeldenhebt geselecteerd, ziet u de elementen van uw Reporting Services-server.

Meervoudige verificatie

U kunt meervoudige verificatie inschakelen om extra beveiliging voor uw omgeving in te schakelen. Zie Microsoft Entra multifactor authentication configureren als verificatieprovider met AD FSvoor meer informatie.

Problemen oplossen

U ontvangt de foutmelding 'Aanmelden bij SSRS-server is mislukt'

fout 'Aanmelden bij SSRS-server mislukt'

U kunt Fiddler instellen om te functioneren als een proxy voor uw mobiele apparaten om te zien hoe ver de aanvraag is gevorderd. Als u een Fiddler-proxy voor uw telefoonapparaat wilt inschakelen, moet u de CertMaker voor iOS- en Android- instellen op de computer waarop Fiddler wordt uitgevoerd. De invoegtoepassing komt van Telerik voor Fiddler.

Als de aanmelding werkt bij het gebruik van Fiddler, hebt u mogelijk een certificaatprobleem met de WAP-toepassing of de AD FS-server.

Verwante inhoud