Nawiązywanie połączenia z usługą Serwer raportów usługi Power BI i usługą SSRS z poziomu aplikacji mobilnych usługi Power BI
W tym artykule omówiono sposób konfigurowania środowiska pod kątem obsługi uwierzytelniania OAuth za pomocą aplikacji mobilnej Power BI w celu nawiązania połączenia z usługami Serwer raportów usługi Power BI i SQL Server Reporting Services 2016 lub nowszymi.
Wymagania
System Windows Server jest wymagany dla serwerów usług Web serwer proxy aplikacji (WAP) i Active Directory Federation Services (AD FS). Nie musisz mieć domeny poziomu funkcjonalności systemu Windows.
Aby użytkownicy mogli dodać połączenie serwera raportów z aplikacją mobilną Power BI, należy udzielić im dostępu do folderu macierzystego serwera raportów.
Uwaga
Od 1 marca 2025 r. aplikacja Power BI dla urządzeń przenośnych nie będzie już mogła łączyć się z serwerem raportów przy użyciu protokołu OAuth za pośrednictwem usług AD FS skonfigurowanych w systemie Windows Server 2016. Klienci korzystający z protokołu OAuth z usługami AD FS skonfigurowanymi w systemach Windows Server 2016 i Web serwer proxy aplikacji (WAP) będą musieli uaktualnić serwer usług AD FS do systemu Windows Server 2019 lub nowszego albo użyć serwera proxy aplikacji Microsoft Entra. Po uaktualnieniu systemu Windows Server użytkownicy aplikacji Power BI dla urządzeń przenośnych musieli ponownie zalogować się do serwera raportów.
To uaktualnienie jest konieczne przez zmianę biblioteki uwierzytelniania używanej przez aplikację mobilną. Zmiana w żaden sposób nie wpływa na pomoc techniczną firmy Microsoft dla usług AD FS w systemie Windows Server 2016, ale raczej tylko możliwość łączenia się z nią aplikacji Power BI dla urządzeń przenośnych.
Konfiguracja usługi Domain Name Services (DNS)
Publiczny adres URL to adres URL, z którym będzie nawiązywać połączenie aplikacja mobilna Power BI. Na przykład może wyglądać podobnie do poniższego.
https://reports.contoso.com
Rekord DNS dla raportów na publiczny adres IP serwera web serwer proxy aplikacji (WAP). Należy również skonfigurować publiczny rekord DNS dla serwera usług AD FS. Na przykład można skonfigurować serwer usług AD FS przy użyciu następującego adresu URL.
https://fs.contoso.com
Rekord DNS dla usług fs na publiczny adres IP serwera web serwer proxy aplikacji (WAP), ponieważ zostanie on opublikowany jako część aplikacji WAP.
Certyfikaty
Należy skonfigurować certyfikaty zarówno dla aplikacji WAP, jak i serwera usług AD FS. Oba te certyfikaty muszą być częścią prawidłowego urzędu certyfikacji rozpoznawanego przez urządzenia przenośne.
Konfiguracja usług Reporting Services
Po stronie usług Reporting Services nie ma zbyt wiele do skonfigurowania. Wystarczy upewnić się, że:
- Istnieje prawidłowa nazwa główna usługi (SPN), aby umożliwić prawidłowe uwierzytelnianie Kerberos.
- Serwer usług Reporting Services jest włączony do negocjowania uwierzytelniania.
- Użytkownicy mają dostęp do folderu macierzystego serwera raportów.
Nazwa główna usługi (SPN)
Nazwa SPN jest unikatowym identyfikatorem usługi korzystającej z uwierzytelniania Kerberos. Upewnij się, że masz odpowiednią nazwę SPN HTTP dla serwera raportów.
Aby uzyskać informacje na temat konfigurowania odpowiedniej głównej nazwy usługi (SPN) dla serwera raportów, zobacz Rejestrowanie głównej nazwy usługi (SPN) dla serwera raportów.
Włączanie uwierzytelniania negocjowanego
Aby umożliwić serwerowi raportów używanie uwierzytelniania Kerberos, należy skonfigurować typ uwierzytelniania serwera raportów jako RSWindowsNegotiate. Można to zrobić w pliku rsreportserver.config.
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsKerberos />
<RSWindowsNTLM />
</AuthenticationTypes>
Aby uzyskać więcej informacji, zobacz Modyfikowanie pliku konfiguracji usług Reporting Services i Konfigurowanie uwierzytelniania systemu Windows na serwerze raportów.
Konfiguracja usług Active Directory Federation Services (AD FS)
Należy skonfigurować usługi AD FS na serwerze z systemem Windows w środowisku. Konfigurację można wykonać za pomocą Menedżer serwera i wybrać pozycję Dodaj role i funkcje w obszarze Zarządzanie. Aby uzyskać więcej informacji, zobacz Active Directory Federation Services.
Ważne
Od 1 marca 2025 r. aplikacje Power BI dla urządzeń przenośnych nie będą już mogły łączyć się z serwerem raportów za pośrednictwem usług AD FS skonfigurowanych w systemie Windows Server 2016. Zobacz notatkę na początku tego artykułu.
Tworzenie grupy aplikacji
Na ekranie zarządzanie usługami AD FS chcesz utworzyć grupę aplikacji dla usług Reporting Services, która zawiera informacje dotyczące aplikacji Power BI dla urządzeń przenośnych.
Grupę aplikacji można utworzyć, wykonując następujące kroki.
W aplikacji zarządzania usługami AD FS kliknij prawym przyciskiem myszy grupy aplikacji i wybierz polecenie Dodaj grupę aplikacji...
W Kreatorze dodawania grupy aplikacji podaj nazwę grupy aplikacji i wybierz pozycję Aplikacja natywna, która uzyskuje dostęp do internetowego interfejsu API.
Wybierz Dalej.
Podaj nazwę dodawanej aplikacji.
Identyfikator klienta zostanie wygenerowany automatycznie dla użytkownika, a następnie wprowadź wartość 484d54fc-b481-4eee-9505-0258a1913020 dla systemów iOS i Android.
Chcesz dodać następujące adresy URL przekierowania:
Wpisy dla Power BI dla urządzeń przenośnych — iOS:
msauth://code/mspbi-adal://com.microsoft.powerbimobile
msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
mspbi-adal://com.microsoft.powerbimobile
mspbi-adalms://com.microsoft.powerbimobilemsAplikacje systemu Android wymagają tylko następujących kroków:
urn:ietf:wg:oauth:2.0:oob
Wybierz Dalej.
Podaj adres URL serwera raportów. Adres URL to zewnętrzny adres URL, który trafi do serwer proxy aplikacji sieci Web. Powinien mieć następujący format.
Uwaga
W tym adresie URL jest rozróżniana wielkość liter.
https://<report server url>/reports
Wybierz Dalej.
Wybierz zasady kontroli dostępu, które odpowiadają potrzebom organizacji.
Wybierz Dalej.
Wybierz Dalej.
Wybierz Dalej.
Wybierz Zamknij.
Po zakończeniu właściwości grupy aplikacji powinny wyglądać podobnie do poniższych.
Teraz uruchom następujące polecenie programu PowerShell na serwerze usług AD FS, aby upewnić się, że odświeżanie tokenu jest obsługiwane.
Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'
Konfiguracja serwer proxy aplikacji sieci Web (WAP)
Chcesz włączyć rolę systemu Windows serwer proxy aplikacji sieci Web na serwerze w danym środowisku. Musi znajdować się na serwerze z systemem Windows. Aby uzyskać więcej informacji, zobacz Serwer proxy aplikacji sieci Web w systemie Windows Server i publikowanie aplikacji przy użyciu wstępnego uwierzytelniania usług AD FS.
Konfiguracja ograniczonego delegowania
Aby przejść z uwierzytelniania OAuth do uwierzytelniania systemu Windows, musimy użyć ograniczonego delegowania z przejściem protokołu. Jest to część konfiguracji protokołu Kerberos. Zdefiniowano już nazwę SPN usług Reporting Services w ramach konfiguracji usług Reporting Services.
Musimy skonfigurować ograniczone delegowanie na koncie maszyny serwera WAP w usłudze Active Directory. Jeśli nie masz uprawnień do usługi Active Directory, może być konieczna praca z administratorem domeny.
Aby skonfigurować ograniczone delegowanie, należy wykonać następujące kroki.
Na komputerze z zainstalowanymi narzędziami usługi Active Directory uruchom Użytkownicy i komputery usługi Active Directory.
Znajdź konto maszyny dla serwera WAP. Domyślnie znajduje się w kontenerze komputerów.
Kliknij prawym przyciskiem myszy serwer WAP i przejdź do pozycji Właściwości.
Wybierz kartę Delegowanie .
Wybierz pozycję Ufaj temu komputerowi w delegowaniu tylko do określonych usług, a następnie użyj dowolnego protokołu uwierzytelniania.
Spowoduje to skonfigurowanie ograniczonego delegowania dla tego konta komputera serwera WAP. Następnie musimy określić usługi, do których może delegować ten komputer.
Wybierz pozycję Dodaj... w polu usługi.
Wybierz pozycję Użytkownicy lub komputery...
Wprowadź konto usługi używane dla usług Reporting Services. To konto to konto, do którego dodano nazwę SPN w ramach konfiguracji usług Reporting Services.
Wybierz nazwę SPN dla usług Reporting Services, a następnie wybierz przycisk OK.
Uwaga
Nazwa SPN NetBIOS może być widoczna tylko. W rzeczywistości wybierze zarówno nazwy SPN NetBIOS, jak i FQDN, jeśli istnieją.
Wynik powinien wyglądać podobnie do poniższego po zaznaczeniu pola wyboru Rozwinięte .
Wybierz przycisk OK.
Dodawanie aplikacji WAP
Aplikacje można publikować w konsoli zarządzania dostępem do raportów, ale chcemy utworzyć aplikację za pomocą programu PowerShell. Oto polecenie, aby dodać aplikację.
Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
| Parametr | Komentarze |
|---|---|
| ADFSRelyingPartyName | Nazwa internetowego interfejsu API utworzona jako część grupy aplikacji w usługach AD FS. |
| ExternalCertificateThumbprint | Certyfikat do użycia dla użytkowników zewnętrznych. Ważne jest, aby certyfikat był ważny na urządzeniach przenośnych i pochodzi z zaufanego urzędu certyfikacji. |
| BackendServerUrl | Adres URL serwera raportów z serwera WAP. Jeśli serwer WAP znajduje się w strefie DMZ, może być konieczne użycie w pełni kwalifikowanej nazwy domeny. Upewnij się, że możesz trafić ten adres URL z przeglądarki internetowej na serwerze WAP. |
| BackendServerAuthenticationSPN | Nazwa SPN utworzona w ramach konfiguracji usług Reporting Services. |
Ustawianie zintegrowanego uwierzytelniania dla aplikacji WAP
Po dodaniu aplikacji WAP należy ustawić tryb BackendServerAuthenticationMode, aby używać elementu IntegratedWindowsAuthentication. Aby go ustawić, potrzebujesz identyfikatora z aplikacji WAP.
Get-WebApplicationProxyApplication "Contoso Reports" | fl
Uruchom następujące polecenie, aby ustawić element BackendServerAuthenticationMode przy użyciu identyfikatora aplikacji WAP.
Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication
Nawiązywanie połączenia z aplikacją Power BI dla urządzeń przenośnych
W aplikacji mobilnej Power BI chcesz nawiązać połączenie z wystąpieniem usług Reporting Services. W tym celu podaj zewnętrzny adres URL aplikacji WAP.
Po wybraniu pozycji Połącz nastąpi przekierowanie do strony logowania usług AD FS. Wprowadź prawidłowe poświadczenia dla domeny.
Po wybraniu pozycji Zaloguj się zobaczysz elementy z serwera usług Reporting Services.
Uwierzytelnianie wieloskładnikowe
Możesz włączyć uwierzytelnianie wieloskładnikowe, aby włączyć dodatkowe zabezpieczenia środowiska. Aby dowiedzieć się więcej, zobacz Konfigurowanie uwierzytelniania wieloskładnikowego firmy Microsoft jako dostawcy uwierzytelniania za pomocą usług AD FS.
Rozwiązywanie problemów
Zostanie wyświetlony błąd "Nie można zalogować się do serwera usług SSRS"
Możesz skonfigurować program Fiddler do działania jako serwer proxy dla urządzeń przenośnych, aby zobaczyć, jak daleko zostało wykonane żądanie. Aby włączyć serwer proxy programu Fiddler dla urządzenia z telefonem, należy skonfigurować program CertMaker dla systemów iOS i Android na maszynie z programem Fiddler. Dodatek pochodzi z telerik dla Fiddler.
Jeśli logowanie działa pomyślnie podczas korzystania z programu Fiddler, może wystąpić problem z certyfikatem aplikacji WAP lub serwera usług AD FS.
Powiązana zawartość
- Rejestrowanie głównej nazwy usługi dla serwera raportów
- Modyfikowanie pliku konfiguracji usług Reporting Services
- Konfigurowanie uwierzytelniania systemu Windows na serwerze raportów
- Usługi Active Directory Federation Services
- Serwer proxy aplikacji sieci Web w systemie Windows Server
- Publikowanie aplikacji przy użyciu wstępnego uwierzytelniania usług AD FS
- Konfigurowanie uwierzytelniania wieloskładnikowego firmy Microsoft jako dostawcy uwierzytelniania przy użyciu usług AD FS
Masz więcej pytań? Dołącz do społeczności użytkowników usługi Power BI