Ansluta till Power BI-rapportserver och SSRS från Power BI-mobilprogram

I den här artikeln beskrivs hur du konfigurerar din miljö så att den stöder OAuth-autentisering med Power BI-mobilappen för att ansluta till Power BI-rapportservern och SQL Server Reporting Services 2016 eller senare.

Krav

Windows Server krävs för servrarna Web Application Proxy (WAP) och Active Directory Federation Services (AD FS). Du behöver inte ha en windows-domän på funktionsnivå.

För att användarna ska kunna lägga till en rapportserveranslutning till sin Power BI-mobilapp måste du ge dem åtkomst till rapportserverns hemmapp.

Not

Från och med den 1 mars 2025 kommer Power BI Mobile-appen inte längre att kunna ansluta till rapportservern med hjälp av OAuth-protokollet via AD FS som konfigurerats på Windows Server 2016. Kunder som använder OAuth med AD FS konfigurerat på Windows Server 2016 och Web Application Proxy (WAP) måste uppgradera sin AD FS-server till Windows Server 2019 eller senare, eller använda Microsoft Entra-programproxy. Efter Windows Server-uppgraderingen kan Power BI Mobile-appanvändare behöva logga in på rapportservern igen.

Den här uppgraderingen krävs av en ändring i autentiseringsbiblioteket som används av mobilappen. Ändringen påverkar inte på något sätt Microsofts stöd för AD FS på Windows Server 2016, utan bara möjligheten för Power BI Mobile-appen att ansluta till den.

DNS-konfiguration (Domain Name Services)

Den offentliga URL:en är den URL som Power BI-mobilappen ansluter till. Det kan till exempel se ut ungefär så här.

https://reports.contoso.com

DNS-posten för rapporterar till WAP-serverns offentliga IP-adress (Web Application Proxy). Du måste också konfigurera en offentlig DNS-post för AD FS-servern. Du kan till exempel ha konfigurerat AD FS-servern med följande URL.

https://fs.contoso.com

Din DNS-post för fs till den offentliga IP-adressen för WAP-servern (Web Application Proxy) eftersom den publiceras som en del av WAP-programmet.

Certifikaten

Du måste konfigurera certifikat för både WAP-programmet och AD FS-servern. Båda dessa certifikat måste ingå i en giltig certifikatutfärdare som dina mobila enheter känner igen.

Reporting Services-konfiguration

Det finns inte mycket att konfigurera på Reporting Services-sidan. Du behöver bara se till att:

• Det finns ett giltigt tjänsthuvudnamn (SPN) för att aktivera rätt Kerberos-autentisering.
• Reporting Services-servern är aktiverad för att hantera autentisering.
• Användare har åtkomst till rapportserverns hemmapp.

Tjänstens huvudnamn (SPN)

SPN är en unik identifierare för en tjänst som använder Kerberos-autentisering. Du måste se till att du har ett korrekt HTTP SPN för rapportservern.

Information om hur du konfigurerar rätt tjänsthuvudnamn (SPN) för rapportservern finns i Registrera ett tjänsthuvudnamn (SPN) för en rapportserver.

Aktivera förhandlingsautentisering

Om du vill att en rapportserver ska kunna använda Kerberos-autentisering måste du konfigurera rapportserverns autentiseringstyp till RSWindowsNegotiate. Du gör det i filen rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Mer information finns i Ändra en Reporting Services-konfigurationsfil och Konfigurera Windows-autentisering på en rapportserver.

Konfiguration av Active Directory Federation Services (AD FS)

Du måste konfigurera AD FS på en Windows-server i din miljö. Konfigurationen kan göras via Serverhanteraren och välja Lägg till roller och funktioner under Hantera. Mer information finns i Active Directory Federation Services.

Viktig

Från och med den 1 mars 2025 kommer Power BI Mobile-apparna inte längre att kunna ansluta till rapportservern via AD FS som konfigurerats på Windows Server 2016. Se anteckningen i början av den här artikeln.

Skapa en programgrupp

På skärmen AD FS-hantering vill du skapa en programgrupp för Reporting Services som innehåller information för Power BI Mobile-apparna.

Du kan skapa programgruppen med följande steg.

1. I AD FS-hanteringsappen högerklickar du på programgrupper och väljer Lägg till programgrupp...

   

2. I guiden Lägg till programgrupp anger du ett namn för programgruppen och väljer internt program som har åtkomst till ett webb-API.

   

3. Välj Nästa.

4. Ange ett namn för programmet som du lägger till.

5. Även om klient-ID genereras automatiskt för dig anger du i 484d54fc-b481-4eee-9505-0258a1913020 för både iOS och Android.

6. Du vill lägga till följande url:er för omdirigering :

   Inlägg för Power BI Mobile – iOS:
   msauth://code/mspbi-adal://com.microsoft.powerbimobile
   msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
   mspbi-adal://com.microsoft.powerbimobile
   mspbi-adalms://com.microsoft.powerbimobilems

   Android-appar behöver bara följande steg:
   urn:ietf:wg:oauth:2.0:oob

   

7. Välj Nästa.

8. Ange URL:en för rapportservern. Den externa URL:en är den som kommer att nå din webbapplikationsproxy. Det bör vara i följande format.

   Not

   Den här URL:en är skiftlägeskänslig!

   https://<report server url>/reports

   

9. Välj Nästa.

10. Välj åtkomstkontrollprincip som passar organisationens behov.

    

11. Välj Nästa.

12. Välj Nästa.

13. Välj Nästa.

14. Välj Stäng.

När du är klar bör du se att egenskaperna för din programgrupp ser ut ungefär så här.

Kör nu följande PowerShell-kommando på AD FS-servern för att säkerställa att tokenuppdatering stöds.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Konfiguration av webbapplikationsproxy (WAP)

Du vill aktivera Windows-rollen Web Application Proxy på en server i din miljö. Den måste finnas på en Windows-server. Mer information finns i Web Application Proxy i Windows Server och Publicera applikationer med hjälp av AD FS-förautentisering.

Konfiguration av begränsad delegering

För att kunna övergå från OAuth-autentisering till Windows-autentisering måste vi använda begränsad delegering med protokollövergång. Detta är en del av Kerberos-konfigurationen. Vi har redan definierat Reporting Services SPN i Reporting Services-konfigurationen.

Vi måste konfigurera begränsad delegering på WAP Server-datorkontot i Active Directory. Du kan behöva arbeta med en domänadministratör om du inte har behörighet till Active Directory.

Om du vill konfigurera begränsad delegering vill du utföra följande steg.

1. Starta Active Directory-användare och datorerpå en dator som har Active Directory-verktygen installerade.

2. Leta reda på datorkontot för WAP-servern. Som standard finns den i datorcontainern.

3. Högerklicka på WAP-servern och gå till Egenskaper.

4. Välj fliken delegering.

5. Välj Lita på den här datorn för delegering till angivna tjänster endast och sedan Använd alla autentiseringsprotokoll.

   

   Detta konfigurerar begränsad delegering för det här WAP Server-datorkontot. Sedan måste vi ange vilka tjänster som den här datorn får delegera till.

6. Välj Lägg till... under rutan Tjänster.

   

7. Välj användare eller datorer...

8. Ange det tjänstkonto som du använder för Reporting Services. Det här kontot är det konto som du lade till SPN i i Reporting Services-konfigurationen.

9. Välj SPN för Reporting Services och välj sedan OK.

   Notera

   Du kanske bara ser NetBIOS SPN. Den väljer faktiskt både NetBIOS- och FQDN-SPN om båda finns.

   

10. Resultatet bör se ut ungefär så här när kryssrutan Expanderad är markerad.

    

11. Välj OK.

Lägg till WAP-program

Du kan publicera program i rapportåtkomsthanteringskonsolen, men vi vill skapa programmet via PowerShell. Här är kommandot för att lägga till programmet.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication

Parameter	Kommentarer
ADFSRelyingPartyName	Webb-API-namnet som du skapade som en del av programgruppen i AD FS.
ExternalCertificateThumbprint	Certifikatet som ska användas för externa användare. Det är viktigt att certifikatet är giltigt på mobila enheter och kommer från en betrodd certifikatutfärdare.
BackendServerUrl	URL:en till rapportservern från WAP-servern. Om WAP-servern finns i en DMZ kan du behöva använda ett fullständigt domännamn. Kontrollera att du kan nå den här URL:en från webbläsaren på WAP-servern.
BackendServerAuthenticationSPN	Det SPN som du skapade som en del av konfigurationen för Reporting Services.

Ange integrerad autentisering för WAP-programmet

När du har lagt till WAP-programmet måste du ange att BackendServerAuthenticationMode ska använda IntegratedWindowsAuthentication. Du behöver ID:t från WAP-programmet för att kunna ange det.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Kör följande kommando för att ange BackendServerAuthenticationMode med hjälp av ID:t för WAP-programmet.

Set-WebApplicationProxyApplication -id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Ansluta med Power BI-mobilappen

I Power BI-mobilappen vill du ansluta till din Reporting Services-instans. Det gör du genom att ange External URL för ditt WAP-program.

När du väljer Anslutdirigeras du till ad FS-inloggningssidan. Ange giltiga autentiseringsuppgifter för din domän.

När du har valt Logga invisas elementen från Reporting Services-servern.

Multifaktorautentisering

Du kan aktivera multifaktorautentisering för att aktivera ytterligare säkerhet för din miljö. Mer information finns i Konfigurera Microsoft Entra multifaktorautentisering som autentiseringsprovider med AD FS.

Felsökning

Du får felet "Det gick inte att logga in på SSRS-servern"

Du kan ställa in Fiddler så att det fungerar som en proxy för dina mobila enheter för att se hur långt begäran har kommit. Om du vill aktivera en Fiddler-proxy för din telefonenhet måste du konfigurera CertMaker för iOS och Android på datorn som kör Fiddler. Tillägget kommer från Telerik för Fiddler.

Om inloggningen fungerar när du använder Fiddler kan du ha ett certifikatproblem med wap-programmet eller AD FS-servern.

Relaterat innehåll

• registrera ett tjänsthuvudnamn (SPN) för en rapportserver
• Ändra en Reporting Services-konfigurationsfil
• Konfigurera Windows-autentisering på en rapportserver
• Active Directory Federation Services
• Webbprogramproxy i Windows Server
• Publiceringsapplikationer med AD FS-förautentisering
• Konfigurera Microsoft Entra multifaktorautentisering som autentiseringsprovider med AD FS-
  Fler frågor? Prova Power BI Community-