Udostępnij za pośrednictwem

Nawiązywanie połączenia z serwerem raportów usługi Power BI i usługą SSRS z poziomu aplikacji mobilnych usługi Power BI

  • Artykuł

W tym artykule omówiono sposób konfigurowania środowiska pod kątem obsługi uwierzytelniania OAuth za pomocą aplikacji mobilnej Power BI w celu nawiązania połączenia z serwerem raportów usługi Power BI i programem SQL Server Reporting Services 2016 lub nowszym.

Wymagania

System Windows Server jest wymagany dla serwerów proxy aplikacji internetowej (WAP) i usług Active Directory Federation Services (AD FS). Nie musisz mieć domeny poziomu funkcjonalności systemu Windows.

Aby użytkownicy mogli dodać połączenie serwera raportów z aplikacją mobilną Power BI, należy udzielić im dostępu do folderu macierzystego serwera raportów.

Notatka

Od 1 marca 2025 r. aplikacja power BI dla urządzeń przenośnych nie będzie już mogła łączyć się z serwerem raportów przy użyciu protokołu OAuth za pośrednictwem usług AD FS skonfigurowanych w systemie Windows Server 2016. Klienci korzystający z protokołu OAuth z usługami AD FS skonfigurowanymi w systemie Windows Server 2016 i serwerze proxy aplikacji internetowej (WAP) będą musieli uaktualnić serwer usług AD FS do systemu Windows Server 2019 lub nowszego albo użyć serwera proxy aplikacji Entra firmy Microsoft. Po uaktualnieniu systemu Windows Server użytkownicy aplikacji power BI dla urządzeń przenośnych mogą wymagać ponownego zalogowania się do serwera raportów.

To uaktualnienie jest konieczne przez zmianę biblioteki uwierzytelniania używanej przez aplikację mobilną. Zmiana w żaden sposób nie ma wpływu na pomoc techniczną firmy Microsoft dla usług AD FS w systemie Windows Server 2016, a jedynie na możliwość łączenia się z nimi za pomocą aplikacji mobilnej Power BI.

Konfiguracja usługi Domain Name Services (DNS)

Publiczny adres URL to adres URL, z którym będzie nawiązywać połączenie aplikacja mobilna Power BI. Na przykład może wyglądać podobnie do poniższego.

https://reports.contoso.com

Rekord DNS dla wskazuje na publiczny adres IP serwera proxy aplikacji internetowej (WAP). Należy również skonfigurować publiczny rekord DNS dla serwera usług AD FS. Na przykład można skonfigurować serwer usług AD FS przy użyciu następującego adresu URL.

https://fs.contoso.com

Rekord DNS dla fs należy wskazać na publiczny adres IP serwera proxy aplikacji sieciowej (WAP), ponieważ zostanie opublikowany jako część aplikacji WAP.

Certyfikaty

Należy skonfigurować certyfikaty zarówno dla aplikacji WAP, jak i serwera usług AD FS. Oba te certyfikaty muszą być częścią prawidłowego urzędu certyfikacji rozpoznawanego przez urządzenia przenośne.

Konfiguracja usług Reporting Services

Po stronie usług Reporting Services nie ma zbyt wiele do skonfigurowania. Wystarczy upewnić się, że:

Nazwa główna usługi (SPN)

Nazwa SPN jest unikatowym identyfikatorem usługi korzystającej z uwierzytelniania Kerberos. Upewnij się, że masz odpowiednią nazwę SPN HTTP dla serwera raportów.

Aby uzyskać informacje na temat konfigurowania właściwej głównej nazwy usługi (SPN) dla serwera raportów, zobacz Rejestrowanie głównej nazwy usługi (SPN) dla serwera raportów.

Włączanie uwierzytelniania negocjowanego

Aby umożliwić serwerowi raportów używanie uwierzytelniania Kerberos, należy skonfigurować typ uwierzytelniania serwera raportów jako RSWindowsNegotiate. Możesz to zrobić w pliku rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Aby uzyskać więcej informacji, zobacz Modyfikowanie pliku konfiguracji usług Reporting Services i Konfigurowanie uwierzytelniania systemu Windows na serwerze raportów.

Konfiguracja usług Active Directory Federation Services (AD FS)

Należy skonfigurować AD FS na serwerze z systemem Windows w swoim środowisku. Konfigurację można wykonać za pomocą Menedżera serwera i wybierając pozycję Dodaj role i funkcje w obszarze Zarządzanie. Aby uzyskać więcej informacji, zobacz Active Directory Federation Services.

Ważny

Od 1 marca 2025 r. aplikacje power BI dla urządzeń przenośnych nie będą już mogły łączyć się z serwerem raportów za pośrednictwem usług AD FS skonfigurowanych w systemie Windows Server 2016. Zobacz notatkę na początku tego artykułu.

Tworzenie grupy aplikacji

Na ekranie zarządzania usługami AD FS chcesz utworzyć grupę aplikacji dla usług Reporting Services, która zawiera informacje dotyczące aplikacji mobilnych Power BI.

Grupę aplikacji można utworzyć, wykonując następujące kroki.

  1. W aplikacji do zarządzania AD FS kliknij prawym przyciskiem myszy grupy aplikacji i wybierz Dodaj grupę aplikacji...

    dodaj aplikację AD FS

  2. W Kreatorze dodawania grupy aplikacji podaj nazwę dla grupy aplikacji i wybierz pozycję Aplikacja natywna, która uzyskuje dostęp do internetowego interfejsu API.

    Kreator grupy aplikacji usług AD FS 01

  3. Wybierz pozycję Dalej.

  4. Podaj nazwę dla dodawanej aplikacji.

  5. Podczas gdy identyfikator klienta zostanie wygenerowany automatycznie, wprowadź 484d54fc-b481-4eee-9505-0258a1913020 dla systemów iOS i Android.

  6. Chcesz dodać następujące adresy URL przekierowania:

    wpisy dla usługi Power BI Dla urządzeń przenośnych — iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    aplikacje systemu Android wymagają tylko następujących czynności:
    urn:ietf:wg:oauth:2.0:oob

    Kreator grupy aplikacji usług AD FS 02

  7. Wybierz pozycję Dalej.

  8. Podaj adres URL serwera raportów. Adres URL to zewnętrzny adres URL, który trafi na serwer proxy aplikacji internetowej. Powinien mieć następujący format.

    Notatka

    Ten adres URL rozróżnia wielkość liter!

    https://<report server url>/reports

    Kreator grupy aplikacji AD FS 03

  9. Wybierz pozycję Dalej.

  10. Wybierz zasady kontroli dostępu, które odpowiadają potrzebom organizacji.

    Kreator grupy aplikacji usług AD FS 04

  11. Wybierz pozycję Dalej.

  12. Wybierz pozycję Dalej.

  13. Wybierz pozycję Dalej.

  14. Wybierz Zamknij.

Po zakończeniu właściwości grupy aplikacji powinny wyglądać podobnie do poniższych.

Kreator grupy aplikacji usług AD FS

Teraz uruchom następujące polecenie programu PowerShell na serwerze usług AD FS, aby upewnić się, że odświeżanie tokenu jest obsługiwane.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Konfiguracja serwera proxy aplikacji internetowej (WAP)

Chcesz włączyć rolę serwera Web Application Proxy systemu Windows na serwerze w swoim środowisku. Musi znajdować się na serwerze z systemem Windows. Aby uzyskać więcej informacji, zobacz serwer proxy aplikacji internetowej w systemie Windows Server i publikowanie aplikacji przy użyciu wstępnego uwierzytelniania usług AD FS.

Konfiguracja ograniczonego delegowania

Aby przejść z uwierzytelniania OAuth do uwierzytelniania systemu Windows, musimy użyć ograniczonego delegowania z przejściem między protokołami. Jest to część konfiguracji protokołu Kerberos. Zdefiniowano już nazwę SPN usług Reporting Services w ramach konfiguracji usług Reporting Services.

Musimy skonfigurować ograniczone delegowanie na koncie maszyny serwera WAP w usłudze Active Directory. Jeśli nie masz uprawnień do usługi Active Directory, może być konieczna praca z administratorem domeny.

Aby skonfigurować ograniczone delegowanie, należy wykonać następujące kroki.

  1. Na komputerze z zainstalowanymi narzędziami usługi Active Directory uruchom program Użytkownicy i komputery usługi Active Directory.

  2. Znajdź konto maszyny dla serwera WAP. Domyślnie znajduje się w kontenerze komputerów.

  3. Kliknij prawym przyciskiem myszy serwer WAP i przejdź do Właściwości.

  4. Wybierz kartę Delegowanie.

  5. Wybierz pozycję Ufaj temu komputerowi w delegowaniu tylko do określonych usług, a następnie Użyj dowolnego protokołu uwierzytelniania.

    WAP ograniczone

    Spowoduje to skonfigurowanie ograniczonego delegowania dla tego konta komputera serwera WAP. Następnie musimy określić usługi, do których może delegować ten komputer.

  6. Wybierz Dodaj… w polu usług.

    ograniczone 02 WAP

  7. Wybierz użytkownik lub komputer...

  8. Wprowadź konto usługi, którego używasz dla Reporting Services. Jest to konto, do którego dodałeś nazwę SPN w konfiguracji usług Reporting Services.

  9. Wybierz nazwę SPN dla usługi Reporting Services, a następnie wybierz pozycję OK.

    Notatka

    Tylko nazwa SPN NetBIOS może być widoczna. W rzeczywistości wybierze zarówno nazwy SPN NetBIOS, jak i FQDN, jeśli istnieją.

    WAP ograniczone 03

  10. Wynik powinien wyglądać podobnie do poniższego, gdy zaznaczone jest pole wyboru opcji Rozwinięte.

    WAP ograniczone 04

  11. Wybierz pozycję OK.

Dodawanie aplikacji WAP

Aplikacje można publikować w konsoli zarządzania dostępem do raportów, ale chcemy utworzyć aplikację za pomocą programu PowerShell. Oto polecenie, aby dodać aplikację.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parametr Komentarze
ADFSRelyingPartyName Nazwa Web API utworzona jako część grupy aplikacji w AD FS.
OdciskPalcaZewnętrznegoCertyfikatu Certyfikat do użycia dla użytkowników zewnętrznych. Ważne jest, aby certyfikat był ważny na urządzeniach przenośnych i pochodzi z zaufanego urzędu certyfikacji.
BackendServerUrl Adres URL serwera raportów z serwera WAP. Jeśli serwer WAP znajduje się w strefie DMZ, może być konieczne użycie w pełni kwalifikowanej nazwy domeny. Upewnij się, że możesz otworzyć ten adres URL w przeglądarce internetowej na serwerze WAP.
BackendServerAuthenticationSPN SPN, który utworzyłeś w ramach konfiguracji usług Reporting Services.

Ustawianie zintegrowanego uwierzytelniania dla aplikacji WAP

Po dodaniu aplikacji WAP należy ustawić tryb uwierzytelniania serwera zaplecza na zintegrowane uwierzytelnianie Windows (IntegratedWindowsAuthentication). Aby go ustawić, potrzebujesz identyfikatora z aplikacji WAP.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Zrzut ekranu przedstawiający identyfikator potrzebny w aplikacji WAP.

Uruchom następujące polecenie, aby ustawić element BackendServerAuthenticationMode przy użyciu identyfikatora aplikacji WAP.

Set-WebApplicationProxyApplication -id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Zrzut ekranu przedstawiający sposób ustawiania trybu uwierzytelniania serwera zaplecza przy użyciu identyfikatora aplikacji WAP.

Nawiązywanie połączenia z aplikacją mobilną Power BI

W aplikacji mobilnej Power BI chcesz nawiązać połączenie z wystąpieniem usług Reporting Services. W tym celu podaj zewnętrzny adres URL dla aplikacji WAP.

Wpisz adres serwera

Po wybraniu Połączzostaniesz przekierowany na stronę logowania serwera AD FS. Wprowadź prawidłowe poświadczenia dla domeny.

Logowanie do AD FS

Po wybraniu Zaloguj sięzobaczysz elementy z serwera usług Reporting Services.

Uwierzytelnianie wieloskładnikowe

Możesz włączyć uwierzytelnianie wieloskładnikowe, aby włączyć dodatkowe zabezpieczenia środowiska. Aby dowiedzieć się więcej, zobacz Konfigurowanie uwierzytelniania wieloskładnikowego Microsoft Entra jako dostawcy uwierzytelniania z usługą AD FS.

Rozwiązywanie problemów

Zostanie wyświetlony błąd "Nie można zalogować się do serwera usług SSRS"

błąd

Możesz skonfigurować Fiddler, aby pełnił rolę serwera proxy dla urządzeń przenośnych i sprawdzić, jak daleko dotarło żądanie. Aby włączyć serwer proxy programu Fiddler dla urządzenia mobilnego, należy skonfigurować program CertMaker dla systemów iOS i Android na komputerze, na którym działa Fiddler. Dodatek pochodzi z Telerik dla Fiddlera.

Jeśli logowanie działa pomyślnie podczas korzystania z programu Fiddler, może wystąpić problem z certyfikatem aplikacji WAP lub serwera usług AD FS.

Powiązana zawartość