Configurar o Servidor de Relatório do Power BI com o proxy de aplicativo do Microsoft Entra

Este artigo descreve como usar o proxy de aplicativo Microsoft Entra para se conectar ao Power BI Report Server e ao SQL Server Reporting Services (SSRS) 2016 e posterior. Por meio dessa integração, os usuários que estão longe da rede corporativa podem acessar seus relatórios do Servidor de Relatório do Power BI e do Reporting Services a partir de seus navegadores cliente e ser protegidos pela ID do Microsoft Entra. Leia mais sobre o acesso remoto a aplicativos locais por meio do proxy de aplicativo Microsoft Entra.

Detalhes do ambiente

Usamos esses valores no exemplo que criamos.

• Domínio: umacontoso.com
• Servidor de Relatório do Power BI: PBIRSAZUREAPP.umacontoso.com
• Fonte de dados do SQL Server: SQLSERVERAZURE.umacontoso.com

Configurar o Servidor de Relatório do Power BI

Depois de instalar o Servidor de Relatório do Power BI (assumindo uma VM do Azure), configure o serviço Web do Servidor de Relatórios do Power BI e as URLs do portal da Web usando as seguintes etapas:

1. Crie regras de entrada e saída no firewall da VM para a Porta 80 (Porta 443 se você tiver URLs https configuradas). Além disso, crie regras de entrada e saída para a VM do Azure a partir do portal do Azure para o protocolo TCP – Porta 80.

2. O nome DNS configurado para a VM em nosso ambiente é pbirsazureapp.eastus.cloudapp.azure.com.

3. Configure o serviço Web externo do Servidor de Relatórios do Power BI e a URL do portal da Web selecionando a guia >Avançado Botão >Adicionar Escolha Nome do Cabeçalho do Host e adicionando o nome do host (nome DNS), conforme mostrado aqui.

   

4. Executamos a etapa anterior para o serviço Web e a seção do portal da Web e registramos as URLs no Configuration Manager do servidor de relatório:

   • https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer
   • https://pbirsazureapp.eastus.cloudapp.azure.com/Reports

5. No portal do Azure, vemos dois endereços IP para a VM na seção de rede

   • IP público.
   • IP privado.

   O endereço IP público é usado para acesso de fora da máquina virtual.

6. Assim, adicionamos a entrada do arquivo host na VM (Servidor de Relatório do Power BI) para incluir o endereço IP público e o nome pbirsazureapp.eastus.cloudapp.azure.comdo host.

7. Observe que, ao reiniciar a VM, o endereço IP dinâmico pode mudar e talvez seja necessário adicionar o endereço IP correto novamente no arquivo host. Para evitar isso, você pode definir o endereço IP público como estático no portal do Azure.

8. O serviço Web e as URLs do portal Web devem ser acessíveis com êxito depois de fazer as alterações acima mencionadas.

9. Ao acessar a URL https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer no servidor, somos solicitados três vezes para credenciais e vemos uma tela em branco.

10. Adicione a seguinte entrada do Registro:

    HKEY\_LOCAL\_MACHINE \SYSTEM\CurrentControlset\Control \Lsa\ MSV1\_0 chave de registo

11. Adicione um novo valor BackConnectionHostNames, um valor de várias cadeias de caracteres e forneça o nome pbirsazureapp.eastus.cloudapp.azure.comdo host .

Depois disso, podemos acessar as URLs no servidor também.

Configurar o Servidor de Relatório do Power BI para trabalhar com Kerberos

1. Configure o tipo de autenticação

Precisamos configurar o tipo de autenticação para o servidor de relatório para permitir a delegação restrita de Kerberos. Essa configuração é feita dentro do arquivo rsreportserver.config .

No arquivo rsreportserver.config, localize a seção Authentication/AuthenticationTypes .

Queremos ter certeza de que RSWindowsNegotiate está listado e é o primeiro na lista de tipos de autenticação. Deve ter um aspeto semelhante ao seguinte.

<AuthenticationTypes>

    <RSWindowsNegotiate/>

</AuthenticationTypes>

Se você precisar alterar o arquivo de configuração, pare e reinicie o serviço do servidor de relatório do Gerenciador de Configuração do Servidor de Relatório para garantir que as alterações entrem em vigor.

2. Registrar nomes principais de serviço (SPNs)

Abra o prompt de comando como administrador e execute as etapas a seguir.

Registre os seguintes SPNs na conta Conta de serviço do Servidor de Relatório do Power BI usando os seguintes comandos:

setspn -s http/ Netbios name\_of\_Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

setspn -s http/ FQDN\_of Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

Registre os seguintes SPNs na conta de serviço do SQL Server usando os seguintes comandos (para uma instância padrão do SQL Server):

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server: 1433 (PortNumber) <SQL service service account>

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server<SQL service service account>

3. Definir configurações de delegação

Temos que definir as configurações de delegação na conta de serviço do servidor de relatório.

1. Abra Utilizadores e Computadores do Active Directory.

2. Abra as Propriedades da conta de serviço do servidor de relatório em Usuários e Computadores do Ative Directory.

3. Queremos configurar a delegação restrita com trânsito de protocolo. Com a delegação restrita, precisamos ser explícitos sobre quais serviços queremos delegar.

4. Clique com o botão direito do mouse na conta de serviço do servidor de relatório e selecione Propriedades.

5. Selecione a guia Delegação .

6. Selecione Confiar neste usuário para delegação somente a serviços especificados.

7. Selecione Usar qualquer protocolo de autenticação.

8. Nos Serviços aos quais esta conta pode apresentar credenciais delegadas: selecione Adicionar.

9. Na nova caixa de diálogo, selecione Usuários ou Computadores.

10. Insira a conta de serviço para o serviço do SQL Server e selecione OK.

    Começa com MSSQLSVC.

11. Adicione os SPNs.

12. Selecione OK. Você deve ver o SPN na lista agora.

Estas etapas ajudam a configurar o Servidor de Relatório do Power BI para trabalhar com o mecanismo de autenticação Kerberos e fazer com que a conexão de teste com a fonte de dados funcione em sua máquina local.

Configurar o conector de proxy de aplicativo do Microsoft Entra

Consulte o artigo para obter a configuração relacionada ao conector de proxy de aplicativo

Instalamos o conector de proxy de aplicativo no Servidor de Relatório do Power BI, mas você pode configurá-lo em um servidor separado e verificar se a delegação está configurada corretamente.

Verifique se o conector é confiável para delegação

Verifique se o conector é confiável para delegação ao SPN adicionado à conta do pool de aplicativos do servidor de relatório.

Configure a Delegação Restrita de Kerberos (KCD) para que o serviço de proxy de aplicativo Microsoft Entra possa delegar identidades de usuário à conta do pool de aplicativos do servidor de relatório. Configure o KCD habilitando o conector de proxy de aplicativo para recuperar tíquetes Kerberos para seus usuários que foram autenticados no Microsoft Entra ID. Em seguida, esse servidor passa o contexto para o aplicativo de destino ou, nesse caso, para o Servidor de Relatório do Power BI.

Para configurar o KCD, repita as etapas a seguir para cada máquina conectora.

1. Entre em um controlador de domínio como administrador de domínio e abra Usuários e Computadores do Ative Directory.
2. Localize o computador em que o conector está sendo executado.
3. Clique duas vezes no computador e selecione a guia Delegação .
4. Defina as configurações de delegação como Confiar neste computador para delegação somente aos serviços especificados. Em seguida, selecione Usar qualquer protocolo de autenticação.
5. Selecione Adicionar e, em seguida, selecione Usuários ou Computadores.
6. Insira a conta de serviço que você está usando para o Servidor de Relatório do Power BI. Essa conta é aquela à qual você adicionou o SPN dentro da configuração do servidor de relatório.
7. Clique em OK.
8. Para salvar as alterações, clique em OK novamente.

Publicar através do proxy de aplicativo Microsoft Entra

Agora você está pronto para configurar o proxy de aplicativo Microsoft Entra.

Publique o Servidor de Relatório do Power BI por meio do proxy de aplicativo com as seguintes configurações. Para obter instruções passo a passo sobre como publicar um aplicativo por meio do proxy de aplicativo, consulte Adicionar um aplicativo local à ID do Microsoft Entra.

• URL interna : insira a URL para o servidor de relatório que o conector pode alcançar na rede corporativa. Certifique-se de que este URL está acessível a partir do servidor em que o conector está instalado. Uma prática recomendada é usar um domínio de nível superior, como https://servername/ para evitar problemas com subcaminhos publicados por meio do proxy do aplicativo. Por exemplo, use https://servername/ e não https://servername/reports/ ou https://servername/reportserver/. Configuramos nosso ambiente com https://pbirsazureapp.eastus.cloudapp.azure.com/o .

  Nota

  Recomendamos o uso de uma conexão HTTPS segura com o servidor de relatório. Consulte Configurar conexões SSL em um servidor de relatório de modo nativo para obter informações de instruções.

• URL externa: insira a URL pública à qual o aplicativo móvel do Power BI se conectará. Por exemplo, pode parecer se https://reports.contoso.com um domínio personalizado for usado. Para usar um domínio personalizado, carregue um certificado para o domínio e aponte um registro DNS para o domínio de msappproxy.net padrão do seu aplicativo. Para obter etapas detalhadas, consulte Trabalhando com domínios personalizados no proxy de aplicativo Microsoft Entra.

Configuramos o URL externo para ser https://pbirsazureapp-umacontoso2410.msappproxy.net/ para o nosso ambiente.

• Método de pré-autenticação: ID do Microsoft Entra.
• Grupo de conectores: padrão.

Não fizemos nenhuma alteração na seção Configurações adicionais. Ele está configurado para funcionar com as opções padrão.

Importante

Ao configurar o proxy do aplicativo, observe que a propriedade Backend Application Timeout está definida como Default (85 segundos). Se você tiver relatórios que levam mais de 85 segundos para serem executados, defina essa propriedade como Long (180 segundos), que é o maior valor de tempo limite possível. Quando configurados para Long, todos os relatórios precisam ser concluídos em 180 segundos ou atingem o tempo limite e resultam em um erro.

Configurar o início de sessão único

Depois que seu aplicativo for publicado, defina as configurações de logon único com as seguintes etapas:

1. Na página do aplicativo no portal, selecione Logon único.

2. Para Modo de Logon Único, selecione Autenticação Integrada do Windows.

3. Defina o SPN do Aplicativo Interno com o valor definido anteriormente. Você pode identificar esse valor usando as seguintes etapas:

   • Tente executar um relatório ou executar a conexão de teste com a fonte de dados para que um tíquete Kerberos seja criado.
   • Após a execução bem-sucedida da conexão de relatório/teste, abra o prompt de comando e execute o comando: klist. Na seção de resultados, você verá um ticket com http/ o SPN. Se for igual ao SPN que você configurou com o Servidor de Relatório do Power BI, use esse SPN nesta seção.

4. Escolha a Identidade de Login Delegado para o conector usar em nome de seus usuários. Para obter mais informações, consulte Trabalhando com diferentes identidades locais e na nuvem.

   Recomendamos o uso do nome principal do usuário. Em nosso exemplo, configuramos para funcionar com a opção Nome principal do usuário:

   

5. Clique em Guardar para guardar as alterações.

Conclua a configuração do seu aplicativo

Para concluir a configuração do seu aplicativo, vá para a seção Usuários e grupos e atribua usuários para acessar esse aplicativo.

1. Configure a seção Autenticação do registro de aplicativo para o aplicativo Servidor de Relatório do Power BI da seguinte forma para URLs de redirecionamento e configurações avançadas:

   • Crie uma nova URL de redirecionamento e configure-a com Type = Web e Redirect URI = https://pbirsazureapp-umacontoso2410.msappproxy.net/
   • Na seção Configurações avançadas, configure a URL de logout parahttps://pbirsazureapp-umacontoso2410.msappproxy.net/?Appproxy=logout

   

2. Continue configurando a seção Autenticação do Registro de aplicativo para o aplicativo Servidor de Relatório do Power BI da seguinte forma para Concessão implícita, Tipo de cliente padrão e Tipos de conta suportados:

   • Defina Concessão implícita para tokens de ID.
   • Defina Tipo de cliente padrão como Não.
   • Defina Tipos de conta suportados como Contas somente neste diretório organizacional (somente UmaContoso – Locatário único).

   

3. Depois que o logon único estiver configurado e a URL https://pbirsazureapp-umacontoso2410.msappproxy.net estiver funcionando, precisamos garantir que a conta com a qual entramos seja sincronizada com a conta para a qual as permissões são fornecidas no Servidor de Relatório do Power BI.

4. Primeiro, temos que configurar o domínio personalizado que estamos planejando usar no login e, em seguida, certifique-se de que ele seja verificado

5. Nesse caso, compramos um domínio chamado umacontoso.com e configuramos a zona DNS com as entradas. Você também pode tentar usar o domínio e sincronizá-lo com o onmicrosoft.com AD local.

   Consulte o artigo Tutorial: Mapear um nome DNS personalizado existente para o Serviço de Aplicativo do Azure para referência.

6. Depois de verificar com êxito a entrada DNS para o domínio personalizado, você deve ser capaz de ver o status como Verificado correspondente ao domínio do portal.

   

7. Instale o Microsoft Entra Connect no servidor do controlador de domínio e configure-o para sincronizar com o Microsoft Entra ID.

   

8. Depois que a ID do Microsoft Entra for sincronizada com o AD local, veremos o seguinte status no portal do Azure:

   

9. Além disso, quando a sincronização for bem-sucedida, abra os domínios e relações de confiança do AD no controlador de domínio. Clique com o botão direito do mouse em Propriedades de Domínios e Relações de > Confiança do Ative Directory e adicione o UPN. Em nosso ambiente, umacontoso.com é o domínio personalizado que compramos.

10. Depois de adicionar o UPN, você deve ser capaz de configurar as contas de usuário com o UPN para que a conta do Microsoft Entra e a conta do AD local estejam conectadas e que o token seja reconhecido durante a autenticação.

    O nome de domínio do AD é listado na lista suspensa da seção Nome de logon do usuário depois que você executa a etapa anterior. Configure o nome de usuário e selecione o domínio na lista suspensa na seção Nome de logon do usuário das propriedades do usuário do AD.

    

11. Quando a sincronização do AD for bem-sucedida, você verá a conta do AD local aparecendo no portal do Azure na seção Usuários e Grupos do aplicativo. A origem da conta é o Windows Server AD.

12. Iniciar sessão com umasm@umacontoso.com será equivalente a utilizar as credenciais Umacontoso\umasmdo Windows.

    Estas etapas anteriores são aplicáveis se você tiver o AD local configurado e estiver planejando sincronizá-lo com o Microsoft Entra ID.

    Entrada bem-sucedida após a implementação das etapas acima:

    

    Seguido da exibição do portal web:

    

    Com uma conexão de teste bem-sucedida com a fonte de dados usando Kerberos como autenticação:

    

Acesso a partir de aplicações móveis do Power BI

Configurar o registro do aplicativo

Antes que o aplicativo móvel do Power BI possa se conectar e acessar o Servidor de Relatório do Power BI, você deve configurar o registro do aplicativo que foi criado automaticamente para você em Publicar por meio do proxy de aplicativo Microsoft Entra anteriormente neste artigo.

Nota

Se você usar políticas de acesso condicional que exijam que o aplicativo móvel do Power BI seja um aplicativo cliente aprovado, não poderá usar o proxy de aplicativo Microsoft Entra para conectar o aplicativo móvel do Power BI ao Servidor de Relatório do Power BI.

1. Na página Visão geral do Microsoft Entra ID, selecione Registros de aplicativos.

2. Na guia Todos os aplicativos , procure o aplicativo que você criou para o Servidor de Relatório do Power BI.

3. Selecione o aplicativo e, em seguida, selecione Autenticação.

4. Adicione os seguintes URIs de redirecionamento com base na plataforma que você está usando.

   Ao configurar o aplicativo para o Power BI Mobile iOS, adicione os seguintes URIs de redirecionamento do tipo Public Client (Mobile e Desktop):

   • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
   • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
   • mspbi-adal://com.microsoft.powerbimobile
   • mspbi-adalms://com.microsoft.powerbimobilems

   Ao configurar o aplicativo para o Power BI Mobile Android, adicione os seguintes URIs de redirecionamento do tipo Public Client (Mobile e Desktop):

   • urn:ietf:wg:oauth:2.0:oob
   • mspbi-adal://com.microsoft.powerbimobile
   • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
   • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

   Ao configurar o aplicativo para Power BI Mobile iOS e Android, adicione o seguinte URI de redirecionamento do tipo Cliente público (móvel e desktop) à lista de URIs de redirecionamento configurados para iOS:

   • urn:ietf:wg:oauth:2.0:oob

   Importante

   Os URIs de redirecionamento devem ser adicionados para que o aplicativo funcione corretamente.

Ligar a partir das aplicações móveis do Power BI

1. No aplicativo móvel Power BI, conecte-se à instância do servidor de relatório. Para se conectar, insira a URL externa do aplicativo que você publicou por meio do Proxy de Aplicativo.
2. Selecione Ligar. Você será direcionado para a página de entrada do Microsoft Entra.
3. Introduza credenciais válidas para o seu utilizador e selecione Iniciar sessão. Você verá os elementos do servidor de relatório.

Conteúdos relacionados

• Conectar-se ao Servidor de Relatório e ao SSRS a partir de aplicativos móveis do Power BI
• Ativar o acesso remoto ao Power BI Mobile com o proxy de aplicações do Microsoft Entra

Tem dúvidas? Tente perguntar à Comunidade do Power BI