Åtkomsttoken för inbäddad analys

GÄLLER FÖR: Appen äger data Användaren äger data

Användning av Power BI-innehåll (till exempel rapporter, instrumentpaneler och paneler) kräver en åtkomsttoken. Beroende på din lösning kan den här token antingen vara en Microsoft Entra-token, en inbäddningstoken eller båda.

I lösningen embed for your customers (bädda in för dina kunder ) genererar programmet en inbäddningstoken som ger dina webbanvändare åtkomst till Power BI-innehåll.

Kommentar

När du använder inbäddningen för din kundlösning kan du använda valfri autentiseringsmetod för att tillåta åtkomst till din webbapp.

I inbäddningen för din organisationslösning autentiserar dina webbappanvändare mot Microsoft Entra-ID med sina egna autentiseringsuppgifter. Dina kunder har åtkomst till Det Power BI-innehåll som de har behörighet att komma åt på Power BI-tjänst.

Microsoft Entra-token

För både inbäddning för dina kunder och inbäddning för organisationens lösningar behöver du en Microsoft Entra-token. Microsoft Entra-token krävs för alla REST API-åtgärder och upphör att gälla efter en timme.

• I lösningen embed for your customers (Inbäddning för dina kunder ) används Microsoft Entra-token för att generera inbäddningstoken.

• I inbäddningen för din organisationslösning används Microsoft Entra-token för att komma åt Power BI.

Du kan hämta en Microsoft Entra-token på något av följande sätt:

• Använd ett externt verktyg, till exempel Bruno, för att hämta en token. Begärande-URL:en är https://login.windows.net/{{tenantId}}/oauth2/token. Ersätt {tenantID} med ditt klient-ID.

• Följ exempellösningarna i PowerBI-Developer-Samples. Till exempel:

  • Information om inbäddning för dina kunder finns i den här AadService.cs filen. authorityUrl Hitta och scopeBase på AppOwnsData/Web.config.

  • Information om inbäddning för din organisation finns i den här OwinOpenIdConnect.cs filen. Hitta authorityUrl på UserOwnsData/Web.config.

  Kommentar

  Du hittar authorityUrl värdena och scopeBase för vissa nationella moln i Bädda in innehåll i din app för myndighetsmoln och nationella/regionala moln.

Bädda in token

När du använder inbäddningen för din kundlösning måste webbappen veta vilket Power BI-innehåll en användare kan komma åt. Använd REST API:er för inbäddningstoken för att generera en inbäddningstoken, som anger följande information:

• Innehållet som din webbappanvändare kan komma åt

• Webbappanvändarens åtkomstnivå (visa, skapa eller redigera)

Mer information finns i Överväganden när du genererar en inbäddningstoken.

Autentiseringsflöden

I det här avsnittet beskrivs de olika autentiseringsflödena för inbäddning för dina kunderoch inbäddning för organisationens lösningar.

Bädda in för dina kunder

Lösningen för inbäddning för dina kunder använder ett icke-interaktivt autentiseringsflöde. I en inbäddning för din kundlösning loggar användarna inte in på Microsoft Entra-ID för att få åtkomst till Power BI. I stället använder webbappen en reserverad Microsoft Entra-identitet för att autentisera mot Microsoft Entra-ID och generera inbäddningstoken. Den reserverade identiteten kan vara antingen ett huvudnamn för tjänsten eller en huvudanvändare:

• Tjänstens huvudnamn Webbappen använder microsoft Entra-tjänstens huvudnamn för att autentisera mot Microsoft Entra-ID och hämta en Microsoft Entra-token endast för appar. Den här autentiseringsmetoden endast för appar rekommenderas av Microsoft Entra-ID.

  När du använder tjänstens huvudnamn måste du aktivera Power BI-API s-åtkomst i inställningarna för Power BI-tjänst administratör. Om du aktiverar åtkomst kan din webbapp komma åt Power BI REST-API:erna. Om du vill använda API-åtgärder på en arbetsyta måste tjänstens huvudnamn vara medlem eller administratör för arbetsytan.

• Huvudanvändare Din webbapp använder ett användarkonto för att autentisera mot Microsoft Entra-ID och hämta Microsoft Entra-token. Huvudanvändarkontot måste ha en licens för Power BI Pro eller premium per användare (PPU).

  När du använder ett huvudanvändarkonto måste du definiera appens delegerade behörigheter (kallas även omfång). Huvudanvändaren eller klientadministratören måste ge sitt medgivande till att använda dessa behörigheter när du använder Power BI REST-API:erna.

Efter lyckad autentisering mot Microsoft Entra-ID genererar webbappen en inbäddningstoken så att användarna kan komma åt specifikt Power BI-innehåll.

Kommentar

• Om du vill bädda in med hjälp av inbäddningen för dina kunder behöver du en kapacitet med en A-, EM- eller P-SKU.
• Om du vill flytta till produktion behöver du en kapacitet.

Följande diagram visar autentiseringsflödet för inbäddningen för din kundlösning .

1. Webbappsanvändaren autentiserar mot din webbapp med din autentiseringsmetod.

2. Webbappen använder tjänstens huvudnamn eller en huvudanvändare för att autentisera mot Microsoft Entra-ID.

3. Din webbapp hämtar en Microsoft Entra-token från Microsoft Entra-ID och använder den för att komma åt Power BI REST-API:er. Den autentiseringsmetod du väljer ger åtkomst till Power BI REST APIS, vilket beror på om autentiseringsmetoden antingen är tjänstens huvudnamn eller en huvudanvändare.

4. Webbappen anropar en REST API-åtgärd för inbäddningstoken och begär inbäddningstoken. Inbäddningstoken anger vilket Power BI-innehåll som kan bäddas in.

5. REST-API:et returnerar inbäddningstoken till webbappen.

6. Webbappen skickar inbäddningstoken till användarens webbläsare.

7. Webbappsanvändaren använder inbäddningstoken för att få åtkomst till Power BI.

Bädda in för din organisation

Inbäddningen för din organisationslösning använder ett interaktivt autentiseringsflöde. Webbappsanvändare autentiserar mot Microsoft Entra-ID med sina egna Power BI-autentiseringsuppgifter. De måste godkänna de API-behörigheter som angavs när appen registrerades med Microsoft Entra-ID. I dialogrutan Begärda Microsoft-behörigheter uppmanas användarna att bevilja dessa behörigheter. När medgivandet har beviljats kan användaren bädda in det Power BI-innehåll som användaren har åtkomst till.

Kommentar

• Inbäddningen för din organisationslösning stöder inte A-SKU:er.

• Om du vill flytta till produktion behöver du någon av följande konfigurationer:

  • Alla användare med Pro-licenser.
  • Alla användare med PPU-licenser.
  • En kapacitet eller Infrastruktur F64 eller större kapacitet. Med den här konfigurationen kan alla användare ha kostnadsfria licenser.

Det här diagrammet visar ett exempel på autentiseringsflödet för inbäddningen för din organisationslösning .

1. Webbappsanvändaren kommer åt webbappen.

2. Webbappen omdirigerar webbappsanvändaren till Microsoft Entra-ID.

3. Webbappsanvändaren autentiserar mot Microsoft Entra-ID med sina Power BI-autentiseringsuppgifter.

4. Microsoft Entra-ID omdirigerar webbappanvändaren tillbaka till webbappen med Microsoft Entra-token. I ett implicit beviljandescenario returneras åtkomsttoken till användarens webbläsare.

5. Webbappen skickar Microsoft Entra-token till användarens webbläsare.

6. Power BI-webbappen använder Microsoft Entra-token för att bädda in Power BI-innehåll, till exempel rapporter och instrumentpaneler, som webbappsanvändaren har behörighet att komma åt.

Relaterat innehåll

• Överväganden vid generering av en inbäddningstoken
• Kapacitet och SKU:er i Power BI Embedded-analys

Har du fler frågor? Prova att fråga Power BI Community