Configuração do aplicativo Microsoft Entra ID
Para usar a API de Autenticação, o ISV deve primeiro registrar um aplicativo no Microsoft Entra ID para cada nuvem a ser suportada e pré-autorizar os aplicativos do Power BI com um escopo dedicado para cada visual. O administrador do inquilino precisa então conceder consentimento. Este artigo descreve todas essas etapas essenciais.
A API de autenticação é suportada nas seguintes nuvens:
- COM (Obrigatório) - Commercial Cloud
- CN - Nuvem na China
- GCC - Nuvem da Comunidade do Governo dos EUA
- GCCHIGH - Comunidade do Governo dos EUA Cloud High
- DOD - Nuvem do Departamento de Defesa dos EUA
Registar a aplicação no Microsoft Entra ID
Para cada nuvem que o visual se destina a suportar, siga estes passos:
Navegue até o respetivo portal do Azure e vá para Registros de aplicativos.
Selecione + Novo Registo
Na página Registrar um aplicativo, faça o seguinte:
- Digite o nome do aplicativo desejado na seção Nome .
- Selecione Contas em qualquer diretório organizacional (Qualquer diretório do Azure AD - Multilocatário) na seção Tipos de conta com suporte.
- Selecione Registar.
Depois que seu aplicativo for registrado com sucesso, selecione Expor uma API no menu do lado esquerdo.
No campo URI da ID do aplicativo, selecione Adicionar.
No campo Editar URI de ID do Aplicativo, insira seu Domínio Personalizado Verificado, garantindo que ele comece com "https://" e não contenha "onmicrosoft.com", e selecione Salvar.
Para adicionar um domínio personalizado:
- Navegue até Nomes de domínio personalizados do Microsoft Entra ID.
- Adicione o seu domínio personalizado.
Nota
O URI do aplicativo pode ser adicionado manualmente ao manifesto do aplicativo na matriz "identifierUris ".
Selecione + Adicionar um escopo.
No campo Nome do escopo , digite <visual_guid>_CV_ForPBI e adicione as informações necessárias. Preencha os campos Consentimento do administrador. Em seguida, selecione o botão Adicionar escopo . (Há uma limitação de comprimento de escopo de 40 caracteres, mas você pode modificar manualmente o nome do escopo no manifesto do aplicativo registrado para gerenciar essa limitação).
Para pré-autorizar aplicativos do Power BI:
Selecione + Adicionar um aplicativo cliente.
Insira o aplicativo WFE do Power BI appId no campo ID do Cliente da janela da direita.
- COM (obrigatório) e CN: "871c010f-5e61-4fb1-83ac-98610a7e9110".
- GCC, GCCHIGH e DOD: "ec04d7d8-0476-4acd-bce4-81f438363d37".
Selecione o escopo desejado.
Selecione Adicionar aplicativo.
Repita este processo com:
Power BI Desktop:
- COM (obrigatório) e CN: "7f67af8a-fedc-4b08-8b4e-37c4d127b6cf".
- GCC, GCCHIGH e DOD: "6807062e-abc9-480a-ae93-9f7deee6b470".
Power BI Mobile:
- COM (obrigatório) e CN: "c0d2a505-13b8-4ae0-aa9e-cddd5eab0b12".
- GCC, GCCHIGH e DOD: "ce76e270-35f5-4bea-94ff-eab975103dc6".
Consentimento ISV
O administrador do locatário pode determinar se os usuários têm ou não permissão para consentir por si mesmos. Esse processo de consentimento ocorre fora do Power BI.
O aplicativo de back-end ISV (por exemplo, https://contoso.com
) deve ser consentido com a Graph API e outras dependências (por usuários ou administradores de locatário) de acordo com as regras padrão do AAD:
Se o aplicativo ISV estiver sendo executado em um locatário diferente do locatário do consumidor visual, conceda consentimento para o aplicativo do ISV de uma das seguintes maneiras:
Consentimento prévio do administrador:
Siga as instruções em Conceder consentimento de administrador de todo o locatário para um aplicativo. Substitua o URL de consentimento de administrador de todo o locatário pelo respetivo link para cada nuvem:
- COM e GCC:
https://login.microsoftonline.com/{organization}/adminconsent?client_id={clientId}
- CN:
https://login.partner.microsoftonline.cn/{organization}/adminconsent?client_id={clientId}
- GCCHIGH e DOD:
https://login.microsoftonline.us/{organization}/adminconsent?client_id={clientId}
- COM e GCC:
Consentimento interativo:
Se o administrador do locatário não tiver previamente consentido, qualquer usuário que use um visual que acione a API receberá um prompt de consentimento único ao renderizar o visual. Consulte Experiência de consentimento de aplicativo para obter mais informações.