Partilhar via

Conectar-se ao Servidor de Relatório do Power BI e ao SSRS a partir de aplicativos móveis do Power BI

  • Artigo

Este artigo descreve como configurar seu ambiente para dar suporte à autenticação OAuth com o aplicativo móvel Power BI para se conectar ao Servidor de Relatório do Power BI e ao SQL Server Reporting Services 2016 ou posterior.

Requerimentos

O Windows Server é necessário para os servidores WAP (Proxy de Aplicativo Web) e AD FS (Serviços de Federação do Active Directory). Você não precisa ter um domínio de nível funcional do Windows.

Para que os usuários possam adicionar uma conexão do servidor de relatório ao aplicativo móvel do Power BI, você deve conceder a eles acesso à pasta base do servidor de relatório.

Observação

A partir de 1º de março de 2025, o aplicativo Power BI Mobile não poderá mais se conectar ao Servidor de Relatório usando o protocolo OAuth por meio do AD FS configurado no Windows Server 2016. Os clientes que usam OAuth com AD FS configurado no Windows Server 2016 e WAP (Web Application Proxy) terão que atualizar seu servidor AD FS para o Windows Server 2019 ou posterior, ou usar de proxy de aplicativo Microsoft Entra. Após a atualização do Windows Server, os usuários do aplicativo Power BI Mobile podem ter que entrar novamente no Servidor de Relatórios.

Essa atualização é necessária por uma alteração na biblioteca de autenticação usada pelo aplicativo móvel. A alteração não afeta de forma alguma o suporte da Microsoft para AD FS no Windows Server 2016, mas apenas a capacidade do aplicativo Power BI Mobile de se conectar a ele.

Configuração dos Serviços de Nomes de Domínio (DNS)

A URL pública é a URL à qual o aplicativo móvel Power BI se conectará. Por exemplo, pode ser semelhante ao seguinte.

https://reports.contoso.com

O seu registo DNS para reporta para o endereço IP público do servidor WAP (Web Application Proxy). Você também precisa configurar um registro DNS público para seu servidor AD FS. Por exemplo, você pode ter configurado o servidor AD FS com a seguinte URL.

https://fs.contoso.com

O seu registo DNS para aponta para o endereço IP público do servidor WAP (Web Application Proxy), pois será publicado como parte da aplicação WAP.

Certificados

Você precisa configurar certificados para o aplicativo WAP e o servidor AD FS. Ambos os certificados devem fazer parte de uma autoridade de certificação válida que seus dispositivos móveis reconheçam.

Configuração do Reporting Services

Não há muito o que configurar no lado do Reporting Services. Você só precisa de se certificar de que:

Nome da entidade de serviço (SPN)

O SPN é um identificador exclusivo para um serviço que usa a autenticação Kerberos. Você precisa certificar-se de que tem um SPN HTTP adequado presente para seu servidor de relatório.

Para obter informações sobre como configurar o SPN (Nome da Entidade de Serviço) adequado para o servidor de relatório, consulte Registrar um SPN (Nome da Entidade de Serviço) para um Servidor de Relatório.

Habilitando a autenticação por negociação

Para permitir que um servidor de relatório use a autenticação Kerberos, você precisa configurar o Tipo de Autenticação do servidor de relatório para ser RSWindowsNegotiate. Faz isso no arquivo rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Para obter mais informações, consulte Modificar um arquivo de configuração do Reporting Services e Configurar a autenticação do Windows em um servidor de relatório.

Configuração dos Serviços de Federação do Ative Directory (AD FS)

Você precisa configurar o AD FS em um servidor Windows em seu ambiente. A configuração pode ser feita através do Gerenciador do Servidor e selecionando Adicionar Funções e Recursos em Gerenciar. Para obter mais informações, consulte Serviços de Federação do Active Directory.

Importante

A partir de 1º de março de 2025, os aplicativos do Power BI Mobile não poderão mais se conectar ao Servidor de Relatório por meio do AD FS configurado no Windows Server 2016. Veja a nota no início deste artigo.

Criar um grupo de aplicativos

Na tela Gerenciamento do AD FS, você deseja criar um grupo de aplicativos para o Reporting Services que inclua informações para os aplicativos do Power BI Mobile.

Você pode criar o grupo de aplicativos com as etapas a seguir.

  1. Na aplicação Gestão do AD FS, clique com o botão direito do rato Grupos de Aplicações e selecione Adicionar Grupo de Aplicações...

    AD FS Adicionar Aplicativo

  2. No Assistente para Adicionar Grupo de Aplicativos, forneça um de nome de para o grupo de aplicativos e selecione aplicativo nativo acessando uma API da Web.

    Assistente de Grupo de Aplicações do AD FS 01

  3. Selecione Avançar.

  4. Forneça um nome para o aplicativo que você está adicionando.

  5. Enquanto o de ID do Cliente será gerado automaticamente para o seu, digite 484d54fc-b481-4eee-9505-0258a1913020 para iOS e Android.

  6. Você deseja adicionar os seguintes URLs de redirecionamento :

    entradas para o Power BI Mobile – iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    aplicativos Android só precisam das seguintes etapas:
    urna:ietf:wg:oauth:2.0:oob

    Assistente de Grupo de Aplicações do AD FS 02

  7. Selecione Avançar.

  8. Forneça a URL do Servidor de Relatório. A URL é a URL externa que atingirá seu Proxy de Aplicativo Web. Deve estar no seguinte formato.

    Observação

    Esta URL é sensível a maiúsculas e minúsculas!

    https://<report server url>/reports

    Assistente do Grupo de Aplicações do AD FS 03

  9. Selecione Avançar.

  10. Escolha a Política de Controle de Acesso que atenda às necessidades da sua organização.

    Assistente de Grupo de Aplicações do AD FS 04

  11. Selecione Avançar.

  12. Selecione Avançar.

  13. Selecione Avançar.

  14. Selecione Fechar.

Quando concluído, você verá as propriedades do seu grupo de aplicativos serem semelhantes às seguintes.

Assistente de Grupo de Aplicativos do AD FS

Agora execute o seguinte comando do PowerShell no servidor AD FS para garantir que a atualização de token seja suportada.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Configuração de Proxy de Aplicativo Web (WAP)

Você deseja habilitar o papel Windows de Proxy de Aplicações Web (Role) num servidor no seu ambiente. Ele deve estar em um servidor Windows. Para obter mais informações, consulte Proxy de aplicativo Web no Windows Server e Aplicativos de publicação de usando a pré-autenticação do AD FS.

Configuração de delegação restrita

Para fazer a transição da autenticação OAuth para a autenticação do Windows, precisamos usar a delegação restrita através de transição de protocolo. Isso faz parte da configuração Kerberos. Já definimos o SPN do Reporting Services na configuração do Reporting Services.

É necessário configurar a delegação restrita na conta da máquina do Servidor WAP no Active Directory. Talvez seja necessário trabalhar com um administrador de domínio se não tiver direitos sobre o Ative Directory.

Para configurar a delegação restrita, você deseja executar as etapas a seguir.

  1. Em uma máquina que tenha as ferramentas do Ative Directory instaladas, inicie o Ative Directory Users and Computers.

  2. Encontre a conta de máquina para o seu servidor WAP. Por padrão, ele está no contêiner de computadores.

  3. Clique com o botão direito do mouse no servidor WAP e acesse Propriedades.

  4. Selecione o separador Delegação.

  5. Selecione Confiar neste computador apenas para delegação a serviços especificados e depois Usar qualquer protocolo de autenticação.

    WAP limitado

    Isso configura a delegação restrita para essa conta de máquina do Servidor WAP. Em seguida, precisamos especificar os serviços aos quais essa máquina pode delegar.

  6. Selecione Adicionar... na caixa Serviços.

    WAP limitado 02

  7. Selecione Utilizadores ou Computadores...

  8. Insira a conta de serviço que você está usando para o Reporting Services. Essa conta é a conta à qual você adicionou o SPN na configuração do Reporting Services.

  9. Selecione o SPN para Reporting Services e, em seguida, selecione OK.

    Observação

    Você só pode ver o SPN NetBIOS. Na verdade, ele selecionará os SPNs NetBIOS e FQDN se ambos existirem.

    WAP Restrito 03

  10. O resultado deve ser semelhante ao seguinte quando a caixa de seleção Expandido estiver marcada.

    WAP Constrangido 04

  11. Selecione OK.

Adicionar aplicativo WAP

Embora você possa publicar aplicativos no Console de Gerenciamento de Acesso a Relatórios, desejaremos criar o aplicativo por meio do PowerShell. Aqui está o comando para adicionar o aplicativo.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parâmetro Observações
ADFSRelyingPartyName O nome da API Web que você criou como parte do Grupo de Aplicativos no AD FS.
ExternalCertificateThumbprint O certificado a ser usado para os usuários externos. É importante que o certificado seja válido em dispositivos móveis e venha de uma autoridade de certificação confiável.
BackendServerUrl A URL para o servidor de relatório do servidor WAP. Se o servidor WAP estiver em uma DMZ, talvez seja necessário usar um nome de domínio totalmente qualificado. Certifique-se de que consegue aceder este URL no navegador do servidor WAP.
BackendServerAuthenticationSPN O SPN que você criou como parte da configuração do Reporting Services.

Definindo a autenticação integrada para o aplicativo WAP

Depois de adicionar o aplicativo WAP, você precisa definir o BackendServerAuthenticationMode para usar IntegratedWindowsAuthentication. Você precisa do ID do aplicativo WAP para configurá-lo.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Captura de tela mostrando o ID que você precisa do aplicativo WAP.

Execute o seguinte comando para definir o BackendServerAuthenticationMode usando a ID do aplicativo WAP.

Set-WebApplicationProxyApplication -id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Captura de tela mostrando como definir o modo de autenticação do servidor de back-end usando a ID do aplicativo WAP.

Conectando-se com o aplicativo móvel do Power BI

No aplicativo móvel Power BI, você deseja se conectar à sua instância do Reporting Services. Para fazer isso, forneça o URL Externo para a sua aplicação WAP.

Digite o endereço do servidor

Ao selecionar Conectar, você será direcionado para sua página de entrada do AD FS. Insira credenciais válidas para o seu domínio.

Iniciar sessão no AD FS

Depois de selecionar Entrar, você verá os elementos do servidor do Reporting Services.

Autenticação multifator

Você pode habilitar a autenticação multifator para habilitar segurança adicional para seu ambiente. Para saber mais, consulte Configurar a autenticação multifatorial do Microsoft Entra como fornecedor de autenticação com o AD FS.

Solução de problemas

Recebe o erro "Falha ao iniciar sessão no servidor SSRS"

Erro de

Você pode configurar o Fiddler para atuar como um proxy para os seus dispositivos móveis e verificar até onde a solicitação chegou. Para habilitar um proxy Fiddler para seu dispositivo telefônico, você precisa configurar o CertMaker para iOS e Android na máquina que executa o Fiddler. O add-on é de Telerik para Fiddler.

Se o logon funcionar com êxito ao usar o Fiddler, você pode ter um problema de certificado com o aplicativo WAP ou o servidor AD FS.

Conteúdo relacionado