Partilhar via

Conectar-se ao Servidor de Relatório do Power BI e ao SSRS a partir de aplicativos móveis do Power BI

  • Artigo

Este artigo descreve como configurar seu ambiente para dar suporte à autenticação OAuth com o aplicativo móvel Power BI para se conectar ao Servidor de Relatório do Power BI e ao SQL Server Reporting Services 2016 ou posterior.

Requisitos

O Windows Server é necessário para os servidores WAP (Proxy de Aplicativo Web) e AD FS (Serviços de Federação do Ative Directory). Você não precisa ter um domínio de nível funcional do Windows.

Para que os usuários possam adicionar uma conexão do servidor de relatório ao aplicativo móvel do Power BI, você deve conceder a eles acesso à pasta base do servidor de relatório.

Nota

A partir de 1º de março de 2025, o aplicativo Power BI Mobile não poderá mais se conectar ao Servidor de Relatório usando o protocolo OAuth por meio do AD FS configurado no Windows Server 2016. Os clientes que usam OAuth com AD FS configurado no Windows Server 2016 e WAP (Web Application Proxy) terão que atualizar seu servidor AD FS para o Windows Server 2019 ou posterior, ou usar o proxy de aplicativo Microsoft Entra. Após a atualização do Windows Server, os usuários do aplicativo Power BI Mobile podem ter que entrar novamente no Servidor de Relatórios.

Essa atualização é necessária por uma alteração na biblioteca de autenticação usada pelo aplicativo móvel. A alteração não afeta de forma alguma o suporte da Microsoft para AD FS no Windows Server 2016, mas apenas a capacidade do aplicativo Power BI Mobile de se conectar a ele.

Configuração dos Serviços de Nomes de Domínio (DNS)

A URL pública é a URL à qual o aplicativo móvel Power BI se conectará. Por exemplo, pode ser semelhante ao seguinte.

https://reports.contoso.com

Seu registro DNS para relatórios para o endereço IP público do servidor WAP (Web Application Proxy). Você também precisa configurar um registro DNS público para seu servidor AD FS. Por exemplo, você pode ter configurado o servidor AD FS com a seguinte URL.

https://fs.contoso.com

Seu registro DNS para fs para o endereço IP público do servidor WAP (Web Application Proxy), pois será publicado como parte do aplicativo WAP.

Certificados

Você precisa configurar certificados para o aplicativo WAP e o servidor AD FS. Ambos os certificados devem fazer parte de uma autoridade de certificação válida que seus dispositivos móveis reconheçam.

Configuração do Reporting Services

Não há muito o que configurar no lado do Reporting Services. Só precisa de se certificar de que:

  • Há um SPN (Nome da Entidade de Serviço) válido para permitir que a autenticação Kerberos adequada ocorra.
  • O servidor do Reporting Services está habilitado para negociar autenticação.
  • Os usuários têm acesso à pasta base do servidor de relatório.

Nome da entidade de serviço (SPN)

O SPN é um identificador exclusivo para um serviço que usa a autenticação Kerberos. Você precisa certificar-se de que tem um SPN HTTP adequado presente para seu servidor de relatório.

Para obter informações sobre como configurar o SPN (Nome da Entidade de Serviço) adequado para o servidor de relatório, consulte Registrar um SPN (Nome da Entidade de Serviço) para um Servidor de Relatório.

Habilitando a autenticação de negociação

Para permitir que um servidor de relatório use a autenticação Kerberos, você precisa configurar o Tipo de Autenticação do servidor de relatório para ser RSWindowsNegotiate. Você faz isso no arquivo rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Para obter mais informações, consulte Modificar um arquivo de configuração do Reporting Services e Configurar a autenticação do Windows em um servidor de relatório.

Configuração dos Serviços de Federação do Ative Directory (AD FS)

Você precisa configurar o AD FS em um servidor Windows em seu ambiente. A configuração pode ser feita através do Gerenciador do Servidor e selecionando Adicionar Funções e Recursos em Gerenciar. Para obter mais informações, consulte Serviços de Federação do Ative Directory.

Importante

A partir de 1º de março de 2025, os aplicativos do Power BI Mobile não poderão mais se conectar ao Servidor de Relatório por meio do AD FS configurado no Windows Server 2016. Veja a nota no início deste artigo.

Criar um grupo de aplicativos

Na tela Gerenciamento do AD FS, você deseja criar um grupo de aplicativos para o Reporting Services que inclua informações para os aplicativos do Power BI Mobile.

Você pode criar o grupo de aplicativos com as etapas a seguir.

  1. No aplicativo de Gerenciamento do AD FS, clique com o botão direito do mouse em Grupos de Aplicativos e selecione Adicionar Grupo de Aplicativos...

    Adicionar Aplicativo do AD FS

  2. No Assistente para Adicionar Grupo de Aplicativos, forneça um nome para o grupo de aplicativos e selecione Aplicativo nativo acessando uma API da Web.

    Assistente de Grupo de Aplicativos do AD FS 01

  3. Selecione Seguinte.

  4. Forneça um nome para o aplicativo que você está adicionando.

  5. Enquanto o ID do Cliente será gerado automaticamente para o seu, digite 484d54fc-b481-4eee-9505-0258a1913020 para iOS e Android.

  6. Você deseja adicionar as seguintes URLs de redirecionamento:

    Entradas para o Power BI Mobile – iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Os aplicativos Android só precisam das seguintes etapas:
    urna:ietf:wg:oauth:2.0:oob

    Assistente de Grupo de Aplicativos do AD FS 02

  7. Selecione Seguinte.

  8. Forneça a URL do Servidor de Relatório. A URL é a URL externa que atingirá seu Proxy de Aplicativo Web. Deve estar no seguinte formato.

    Nota

    Este URL diferencia maiúsculas de minúsculas!

    https://<report server url>/reports

    Assistente de Grupo de Aplicativos do AD FS 03

  9. Selecione Seguinte.

  10. Escolha a Política de Controle de Acesso que atenda às necessidades da sua organização.

    Assistente de Grupo de Aplicativos do AD FS 04

  11. Selecione Seguinte.

  12. Selecione Seguinte.

  13. Selecione Seguinte.

  14. Selecione Fechar.

Quando concluído, você verá as propriedades do seu grupo de aplicativos serem semelhantes às seguintes.

Assistente de Grupo de Aplicativos do AD FS

Agora execute o seguinte comando do PowerShell no servidor AD FS para garantir que a atualização de token seja suportada.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Configuração de Proxy de Aplicativo Web (WAP)

Você deseja habilitar a função Windows de Proxy de Aplicativo Web (Função) em um servidor em seu ambiente. Ele deve estar em um servidor Windows. Para obter mais informações, consulte Proxy de aplicativo Web no Windows Server e Publicando aplicativos usando a pré-autenticação do AD FS.

Configuração de delegação restrita

Para fazer a transição da autenticação OAuth para a autenticação do Windows, precisamos usar a delegação restrita com a transição de protocolo. Isso faz parte da configuração Kerberos. Já definimos o SPN do Reporting Services na configuração do Reporting Services.

Precisamos configurar a delegação restrita na conta da máquina do Servidor WAP no Ative Directory. Talvez seja necessário trabalhar com um administrador de domínio se não tiver direitos sobre o Ative Directory.

Para configurar a delegação restrita, você deseja executar as etapas a seguir.

  1. Em uma máquina que tenha as ferramentas do Ative Directory instaladas, inicie Usuários e Computadores do Ative Directory.

  2. Encontre a conta da máquina para o seu servidor WAP. Por padrão, ele está no contêiner de computadores.

  3. Clique com o botão direito do mouse no servidor WAP e vá para Propriedades.

  4. Selecione a guia Delegação .

  5. Selecione Confiar neste computador para delegação apenas a serviços especificados e, em seguida, Usar qualquer protocolo de autenticação.

    WAP Restringido

    Isso configura a delegação restrita para essa conta de máquina do Servidor WAP. Em seguida, precisamos especificar os serviços aos quais essa máquina pode delegar.

  6. Selecione Adicionar... na caixa serviços.

    WAP Restrito 02

  7. Selecione Usuários ou Computadores...

  8. Insira a conta de serviço que você está usando para o Reporting Services. Essa conta é a conta à qual você adicionou o SPN na configuração do Reporting Services.

  9. Selecione o SPN para Reporting Services e, em seguida, selecione OK.

    Nota

    Você só pode ver o SPN NetBIOS. Na verdade, ele selecionará os SPNs NetBIOS e FQDN se ambos existirem.

    WAP Restrito 03

  10. O resultado deve ser semelhante ao seguinte quando a caixa de seleção Expandido estiver marcada.

    WAP Restrito 04

  11. Selecione OK.

Adicionar aplicativo WAP

Embora você possa publicar aplicativos no Console de Gerenciamento de Acesso a Relatórios, desejaremos criar o aplicativo por meio do PowerShell. Aqui está o comando para adicionar o aplicativo.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parâmetro Comentários
ADFSRelyingPartyName O nome da API Web que você criou como parte do Grupo de Aplicativos no AD FS.
ExternalCertificateImpressão digital O certificado a ser usado para os usuários externos. É importante que o certificado seja válido em dispositivos móveis e venha de uma autoridade de certificação confiável.
BackendServerUrl A URL para o servidor de relatório do servidor WAP. Se o servidor WAP estiver em uma DMZ, talvez seja necessário usar um nome de domínio totalmente qualificado. Certifique-se de que consegue aceder a este URL a partir do browser no servidor WAP.
BackendServerAuthenticationSPN O SPN criado como parte da configuração do Reporting Services.

Definindo a autenticação integrada para o aplicativo WAP

Depois de adicionar o aplicativo WAP, você precisa definir o BackendServerAuthenticationMode para usar IntegratedWindowsAuthentication. Você precisa do ID do aplicativo WAP para configurá-lo.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Adicionar grupo de aplicativos

Execute o seguinte comando para definir o BackendServerAuthenticationMode usando a ID do aplicativo WAP.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Assistente para Adicionar Grupo de Aplicativos

Conectando-se com o aplicativo móvel do Power BI

No aplicativo móvel Power BI, você deseja se conectar à sua instância do Reporting Services. Para fazer isso, forneça a URL externa para seu aplicativo WAP.

Digite o endereço do servidor

Ao selecionar Conectar, você será direcionado para sua página de entrada do AD FS. Insira credenciais válidas para o seu domínio.

Iniciar sessão no AD FS

Depois de selecionar Entrar, você verá os elementos do servidor do Reporting Services.

Autenticação multifator

Você pode habilitar a autenticação multifator para habilitar segurança adicional para seu ambiente. Para saber mais, consulte Configurar a autenticação multifator do Microsoft Entra como provedor de autenticação com o AD FS.

Resolução de Problemas

Recebe o erro "Falha ao iniciar sessão no servidor SSRS"

Erro

Você pode configurar o Fiddler para atuar como um proxy para seus dispositivos móveis para ver até onde a solicitação foi feita. Para habilitar um proxy Fiddler para seu dispositivo telefônico, você precisa configurar o CertMaker para iOS e Android na máquina que executa o Fiddler. O add-on é de Telerik para Fiddler.

Se o logon funcionar com êxito ao usar o Fiddler, você pode ter um problema de certificado com o aplicativo WAP ou o servidor AD FS.

Conteúdos relacionados