Microsoft Entra ID 应用程序设置
若要利用身份验证 API,ISV 必须先在 Microsoft Entra ID 中注册应用程序,以便支持每个云,并预授权 Power BI 应用程序,为每个视觉对象设置一个专用范围。 然后,租户管理员需要授予同意。 本文概述了所有这些基本步骤。
以下云支持身份验证 API:
- COM (必需) - 商业云
- CN - 中国云
- GCC - 美国政府社区云
- GCCHIGH - 美国政府社区云高
- DOD - 美国国防部云
在 Microsoft Entra ID 中注册应用
对于每个云,视觉对象旨在支持,请执行以下步骤:
导航到相应的 Azure 门户,然后转到“应用注册”。
选择“+ 新建注册”
在“注册应用程序”页上,执行以下操作:
- 在“名称”部分中输入想要的应用程序名称。
- 在“支持的帐户类型”部分中选择“任何组织目录中的帐户(任何 Azure AD 目录 - 多租户)。
- 选择“注册”。
成功注册应用程序后,选择左侧菜单上的“公开 API”。
在“应用程序 ID URI”字段中,选择“添加”。
在“编辑应用程序 ID URI”字段中,输入已验证的自定义域,确保它以“https://”开头,不包含“onmicrosoft.com”,然后选择“保存”。
要添加自定义域:
- 导航到 Microsoft Entra ID 自定义域名。
- 添加你的自定义域。
注意
可以在“identifierUris”数组下手动将应用程序 URI 添加到应用程序清单。
选择“+ 添加范围”。
在“范围名称”字段中,输入“<visual_guid>_CV_ForPBI”并添加所需的信息。 填写“管理员同意”字段。 然后选择“添加范围”按钮。 (存在 40 个字符的范围长度限制,但你可以手动修改已注册的应用程序清单中的范围名称来管理此限制)。
若要预授权 Power BI 应用程序,请执行以下操作:
选择“+ 添加客户端应用程序”。
在右侧窗口的“客户端 ID”字段中输入 Power BI WFE 应用程序 appId。
- COM (必需) 和 CN:“871c010f-5e61-4fb1-83ac-98610a7e9110”。
- GCC、GCCHIGH 和 DOD:“ec04d7d8-0476-4acd-bce4-81f438363d37”。
选择想要的范围。
选择添加应用程序。
对以下项重复此过程:
Power BI Desktop:
- COM (必需) 和 CN:“7f67af8a-fedc-4b08-8b4e-37c4d127b6cf”。
- GCC、GCCHIGH 和 DOD:“6807062e-abc9-480a-ae93-9f7deee6b470”。
Power BI 移动版:
- COM(必需)和 CN:“c0d2a505-13b8-4ae0-aa9e-cddd5eab0b12”。
- GCC、GCCHIGH 和 DOD:“ce76e270-35f5-4bea-94ff-eab975103dc6”。
ISV 同意
租户管理员可以确定是否允许用户自行同意。 此同意过程发生在 Power BI 之外。
ISV 后端应用程序(例如 https://contoso.com)应根据标准 AAD 规则向图形 API 和其他依赖项同意(由用户或租户管理员):
如果 ISV 应用程序在与视觉对象使用者的租户不同的租户上运行,请通过以下方式之一授予对 ISV 应用程序的同意:
管理员预先同意:
按照向应用程序授予租户范围的管理员同意中的说明进行操作。 将租户范围的管理员同意 URL 替换为每个云的相应链接:
- COM 和 GCC:
https://login.microsoftonline.com/{organization}/adminconsent?client_id={clientId} - CN:
https://login.partner.microsoftonline.cn/{organization}/adminconsent?client_id={clientId} - GCCHIGH 和 DOD:
https://login.microsoftonline.us/{organization}/adminconsent?client_id={clientId}
- COM 和 GCC:
交互式同意:
如果租户管理员没有预同意,则任何使用触发 API 的视觉对象的用户都会在呈现视觉对象时收到一次性同意提示。 有关详细信息,请参阅应用程序同意体验。
相关内容
- 身份验证 API