Konfigurace jednotného přihlašování založeného na protokolu Kerberos ze služby Power BI k místním zdrojům datConfigure Kerberos-based SSO from Power BI service to on-premises data sources

Povolené jednotné přihlašování usnadňuje sestavám a řídicím panelům Power BI aktualizaci dat z místních zdrojů při respektování oprávnění na úrovni uživatele nakonfigurovaných u těchto zdrojů.Enabling SSO makes it easy for Power BI reports and dashboards to refresh data from on-premises sources while respecting user-level permissions configured on those sources. K povolení bezproblémového připojování pomocí jednotného přihlašování slouží omezené delegování Kerberos.Use Kerberos constrained delegation to enable seamless SSO connectivity.

PožadavkyPrerequisites

Aby omezené delegování protokolu Kerberos fungovalo správně, musí se nakonfigurovat několik položek – včetně hlavních názvů služeb (SPN) a nastavení delegování u účtů služeb.Several items must be configured for Kerberos constrained delegation to work properly, including Service Principal Names (SPN) and delegation settings on service accounts.

Instalace a konfigurace místní brány dat MicrosoftuInstall and configure the Microsoft on-premises data gateway

Místní brána dat podporuje místní upgrade a převzetí nastavení pro existující brány.The on-premises data gateway supports an in-place upgrade, and settings takeover of existing gateways.

Spuštění služby brány Windows jako účtu doményRun the gateway Windows service as a domain account

Ve standardní instalaci se brána spouští jako účet místní služby v počítači, NT Service\PBIEgwService.In a standard installation, the gateway runs as the machine-local service account, NT Service\PBIEgwService.

Účet místní služby v počítači

Abyste umožnili omezené delegování protokolu Kerberos, musí brána běžet jako účet domény, pokud už instance Azure Active Directory (Azure AD) není synchronizovaná s místní instancí Active Directory (pomocí Azure AD DirSync/Connect).To enable Kerberos constrained delegation, the gateway must run as a domain account, unless your Azure Active Directory (Azure AD) instance is already synchronized with your local Active Directory instance (by using Azure AD DirSync/Connect). Pokud chcete přepnout na účet domény, přečtěte si téma Změna účtu služby brány.To switch to a domain account, see change the gateway service account.

Poznámka

Pokud je služba Azure AD Connect nakonfigurovaná a uživatelské účty jsou synchronizované, služba brány nemusí za běhu provádět místní vyhledávání v Azure AD.If Azure AD Connect is configured and user accounts are synchronized, the gateway service doesn't need to perform local Azure AD lookups at runtime. Místo toho můžete jednoduše použít identifikátor SID místní služby, aby služba brány mohla dokončit celou požadovanou konfiguraci v Azure AD.Instead, you can simply use the local service SID for the gateway service to complete all required configuration in Azure AD. Postup konfigurace omezeného delegování protokolu Kerberos, který je nastíněný v tomto článku, je stejný jako postup konfigurace vyžadovaný v kontextu Azure AD.The Kerberos constrained delegation configuration steps outlined in this article are the same as the configuration steps required in the Azure AD context. Nepoužívá na účtu domény, ale na objektu počítače brány (určeného identifikátorem SID místní služby) v Azure AD.They are applied to the gateway's computer object (as identified by the local service SID) in Azure AD instead of the domain account.

Získání práv správce domény ke konfiguraci hlavních názvů služeb SPN (SetSPN) a nastavení omezeného delegování protokolu KerberosObtain domain admin rights to configure SPNs (SetSPN) and Kerberos constrained delegation settings

Při konfigurování hlavních názvů služeb (SPN) a nastavování delegování protokolu Kerberos by správce domény neměl udělovat práva někomu, kdo nemá práva správce domény.To configure SPNs and Kerberos delegation settings, a domain administrator should avoid granting rights to someone that doesn't have domain admin rights. V následující části probereme doporučený postup konfigurace podrobněji.In the following section, we cover the recommended configuration steps in more detail.

Konfigurace omezeného delegování protokolu Kerberos pro bránu a zdroj datConfigure Kerberos constrained delegation for the gateway and data source

V případě potřeby jako správce domény nakonfigurujte hlavní název služby (SPN) pro účet domény služby brány a nakonfigurujte nastavení delegování na účtu domény služby brány.If necessary, configure an SPN for the gateway service domain account as a domain administrator and configure delegation settings on the gateway service domain account.

Konfigurace hlavního názvu služby (SPN) pro účet služby brányConfigure an SPN for the gateway service account

Nejdříve zjistěte, jestli už je vytvořený hlavní název služby (SPN) pro účet domény používaný jako účet služby brány:First, determine whether an SPN was already created for the domain account used as the gateway service account:

  1. Jako správce domény spusťte modul snap-in Uživatelé a počítače služby Active Directory konzoly MMC (Microsoft Management Console).As a domain administrator, launch the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in.

  2. V levém podokně klikněte pravým tlačítkem na název domény, vyberte Najít a pak zadejte název účtu pro účet služby brány.In the left pane, right-click the domain name, select Find, and then enter the account name of the gateway service account.

  3. Ve výsledcích hledání klikněte pravým tlačítkem na účet služby brány a pak vyberte Vlastnosti.In the search result, right-click the gateway service account and select Properties.

  4. Pokud se v dialogovém okně Vlastnosti zobrazí karta Delegování, znamená to, že hlavní název služby (SPN) už je vytvořený a můžete přeskočit na část Výběr typu použitého omezeného delegování Kerberos.If the Delegation tab is visible on the Properties dialog, then an SPN was already created and you can skip to Decide on the type of Kerberos constrained delegation to use.

  5. Pokud v dialogovém okně Vlastnosti žádná karta Delegování není, můžete u tohoto účtu vytvořit hlavní název služby (SPN) ručně a tím ho povolit.If there isn't a Delegation tab on the Properties dialog box, you can manually create an SPN on the account to enable it. Použijte nástroj setspn, který je součástí Windows (k vytvoření hlavního názvu služby musíte mít práva správce domény).Use the setspn tool that comes with Windows (you need domain admin rights to create the SPN).

    Předpokládejme, že účet služby brány je například Contoso\GatewaySvc a služba brány běží na počítači s názvem MyGatewayMachine.For example, suppose the gateway service account is Contoso\GatewaySvc and the gateway service is running on the machine named MyGatewayMachine. Hlavní název služby (SPN) pro účet služby brány nastavíte spuštěním následujícího příkazu:To set the SPN for the gateway service account, run the following command:

    setspn -a gateway/MyGatewayMachine Contoso\GatewaySvc

    SPN můžete také nastavit pomocí modulu snap-in konzoly MMC Uživatelé a počítače služby Active Directory.You can also set the SPN by using the Active Directory Users and Computers MMC snap-in.

Přidání účtu služby brány do skupiny Windows Authorization Access Group, pokud je to potřebaAdd gateway service account to Windows Authorization and Access Group if required

V určitých situacích se účet služby brány musí přidat do skupiny Windows Authorization Access Group.In certain scenarios the gateway service account must be added to the Windows Authorization and Access Group. Sem patří posílení zabezpečení prostředí služby Active Directory a situace, kdy účet služby brány a uživatelské účty, které bude tato brána zosobňovat, jsou v samostatných doménách nebo doménových strukturách.These scenarios include security hardening of the Active Directory environment, and when the gateway service account and the user accounts that the gateway will impersonate are in separate domains or forests. Účet služby brány můžete do skupiny Windows Authorization Access Group přidat také v situacích, kdy doména nebo doménová struktura nebyla posílena, není to ale nutné.You can also add the gateway service account to Windows Authorization and Access Group in situations where the domain / forest has not been hardened, but it isn't required.

Další informace najdete v článku Windows Authorization Access Group.For more information, see Windows Authorization and Access Group.

Tento krok konfigurace dokončíte tak, že pro každou doménu obsahující uživatele služby Active Directory, které má účet služby brány zosobňovat, provedete následující postup:To complete this configuration step, for each domain that contains Active Directory users you want the gateway service account to be able to impersonate:

  1. Přihlaste se k nějakému počítači v doméně a spusťte modul snap-in konzoly MMC Uživatelé a počítače služby Active Directory.Sign in to a computer in the domain, and launch the Active Directory Users and Computers MMC snap-in.
  2. Vyhledejte skupinu Windows Authorization Access Group, která se zpravidla nachází v kontejneru Předdefinované.Locate the group Windows Authorization and Access Group, which is typically found in the Builtin container.
  3. Dvakrát klikněte na tuto skupinu a pak klikněte na kartu Členové.Double click on the group, and click on the Members tab.
  4. Klikněte na Přidat a změňte umístění domény na doménu, ve které se nachází účet služby brány.Click Add, and change the domain location to the domain that the gateway service account resides in.
  5. Zadejte název účtu služby brány a kliknutím na Kontrola názvů ověřte, jestli je účet služby brány přístupný.Type in the gateway service account name and click Check Names to verify that the gateway service account is accessible.
  6. Klikněte na OK.Click OK.
  7. Klikněte na Použít.Click Apply.
  8. Restartujte službu brány.Restart the gateway service.

Výběr typu použitého omezeného delegování KerberosDecide on the type of Kerberos constrained delegation to use

Nastavení delegování můžete nakonfigurovat pro standardní omezené delegování Kerberos, nebo pro omezené delegování protokolu Kerberos založené na prostředcích.You can configure delegation settings for either standard Kerberos constrained delegation or resource-based Kerberos constrained delegation. Delegování založené na prostředcích (vyžaduje Windows Server 2012 nebo novější) použijte v případě, že váš zdroj dat patří do jiné domény než vaše brány.Use resource-based delegation (requires Windows Server 2012 or later) if your data source belongs to a different domain than your gateway. Další informace o rozdílech mezi těmito dvěma přístupy k delegování najdete na stránce s přehledem omezeného delegování Kerberos.For more information on the differences between the two approaches to delegation, see Kerberos constrained delegation overview.

V závislosti na tom, jaký přístup chcete použít, přejděte k jedné z následujících částí.Depending on which approach you want to use, proceed to one of the following sections. Neprovádějte obě části:Don't complete both sections:

Konfigurace účtu služby brány pro standardní omezené delegování KerberosConfigure the gateway service account for standard Kerberos constrained delegation

Poznámka

Pokud chcete povolit standardní omezené delegování Kerberos, postupujte podle kroků v této části.Complete the steps in this section if you want to enable standard Kerberos constrained delegation. Pokud chcete naopak povolit omezené delegování Kerberos založené na prostředcích, proveďte kroky v části Konfigurace účtu služby brány pro omezené delegování Kerberos založené na prostředcích.Otherwise, if you want to enable resource-based Kerberos constrained delegation, complete the steps in Configure the gateway service account for resource-based Kerberos constrained delegation.

Teď nastavíme delegování pro účet služby brány.We'll now set the delegation settings for the gateway service account. Tento postup je možné provést pomocí různých nástrojů.There are multiple tools you can use to perform these steps. Tady použijeme modul snap-in konzoly MMC Uživatelé a počítače služby Active Directory pro správu a publikování informací v adresáři.Here, we'll use the Active Directory Users and Computers MMC snap-in to administer and publish information in the directory. Ve výchozím nastavení je dostupný na řadičích domény, ale na jiných počítačích ho můžete povolit prostřednictvím konfigurace funkce systému Windows.It's available on domain controllers by default; on other machines, you can enable it through Windows feature configuration.

Potřebujeme nakonfigurovat omezené delegování protokolu Kerberos s přechodem mezi protokoly.We need to configure Kerberos constrained delegation with protocol transiting. U omezeného delegování je nutné explicitně určit, kterým službám může brána ukázat delegované přihlašovací údaje.With constrained delegation, you must be explicit about which services you allow the gateway to present delegated credentials to. Volání delegování z účtu služby brány přijímá například jenom SQL Server nebo server SAP HANA.For example, only SQL Server or your SAP HANA server accepts delegation calls from the gateway service account.

V této části se předpokládá, že jste už nakonfigurovali hlavní názvy služeb (SPN) pro podkladové zdroje dat (například SQL Server, SAP HANA, SAP BW, Teradata nebo Spark).This section assumes you have already configured SPNs for your underlying data sources (such as SQL Server, SAP HANA, SAP BW, Teradata, or Spark). Informace o tom, jak nakonfigurovat tyto hlavní názvy služeb (SPN) serveru pro zdroj dat, najdete v technické dokumentaci k příslušnému databázovému serveru a v části What SPN does your app require? (Jaký hlavní název služby (SPN) vyžaduje vaše aplikace?) v příspěvku na blogu My Kerberos Checklist (Můj kontrolní seznam protokolu Kerberos).To learn how to configure those data source server SPNs, refer to the technical documentation for the respective database server and see the section What SPN does your app require? in the My Kerberos Checklist blog post.

V následujícím postupu předpokládáme místní prostředí se dvěma počítači ve stejné doméně: počítačem brány a databázovým serverem s SQL Serverem, na kterém už je nakonfigurované jednotné přihlašování založené na protokolu Kerberos.In the following steps, we assume an on-premises environment with two machines in the same domain: a gateway machine and a database server running SQL Server that has already been configured for Kerberos-based SSO. Postup se dá použít pro jeden z uvedených podporovaných zdrojů dat, pokud již byl tento zdroj dat nakonfigurován na jednotné přihlašování založené na protokolu Kerberos.The steps can be adopted for one of the other supported data sources, so long as the data source has already been configured for Kerberos-based single sign-on. V tomto příkladu použijeme následující nastavení:For this example, we'll use the following settings:

  • Doména služby Active Directory (Netbios): ContosoActive Directory Domain (Netbios): Contoso
  • Název počítače brány: MyGatewayMachineGateway machine name: MyGatewayMachine
  • Účet služby brány: Contoso\GatewaySvcGateway service account: Contoso\GatewaySvc
  • Název počítače zdroje dat SQL Server: TestSQLServerSQL Server data source machine name: TestSQLServer
  • Účet služby zdroje dat SQL Server: Contoso\SQLServiceSQL Server data source service account: Contoso\SQLService

Tady je postup konfigurace nastavení delegování:Here's how to configure the delegation settings:

  1. S právy správce domény otevřete modul snap-in konzoly MMC Uživatelé a počítače služby Active Directory.With domain administrator rights, open the Active Directory Users and Computers MMC snap-in.

  2. Klikněte pravým tlačítkem na účet služby brány (Contoso\GatewaySvc) a vyberte Vlastnosti.Right-click the gateway service account (Contoso\GatewaySvc), and select Properties.

  3. Vyberte kartu Delegování.Select the Delegation tab.

  4. Vyberte Důvěřovat tomuto počítači pro delegování pouze určeným službám > možnost pro použití libovolného protokolu pro ověřování.Select Trust this computer for delegation to specified services only > Use any authentication protocol.

  5. V části Services to which this account can present delegated credentials (Služby, kterým může tento účet předložit delegovaná pověření) vyberte Přidat.Under Services to which this account can present delegated credentials, select Add.

  6. V novém dialogovém okně vyberte Uživatelé nebo počítače.In the new dialog box, select Users or Computers.

  7. Zadejte účet služby pro zdroj dat a pak vyberte OK.Enter the service account for the data source, and then select OK.

    Například zdroj dat SQL Server může mít účet služby Contoso\SQLService.For example, a SQL Server data source can have a service account like Contoso\SQLService. U tohoto účtu už by měl být nastavený vhodný hlavní název služby (SPN) pro tento zdroj dat.An appropriate SPN for the data source should have already been set on this account.

  8. Vyberte hlavní název služby (SPN) který jste pro databázový server vytvořili.Select the SPN that you created for the database server.

    V našem příkladu bude mít hlavní název služby na začátku MSSQLSvc.In our example, the SPN begins with MSSQLSvc. Pokud jste pro databázovou službu přidali hlavní název služby pro plně kvalifikovaný název domény i pro NetBIOS, vyberte oba názvy.If you added both the FQDN and the NetBIOS SPN for your database service, select both. Je možné, že se zobrazí jenom jeden.You might see only one.

  9. Vyberte OK.Select OK.

    Tento hlavní název služby byste teď měli vidět v seznamu služeb, kterým může účet služby brány předkládat delegované přihlašovací údaje.You should now see the SPN in the list of services to which the gateway service account can present delegated credentials.

    Dialogové okno Gateway Connector Properties (Konektor brány – vlastnosti)

  10. Pokračujte v procesu nastavování tak, že přejdete na Udělení oprávnění k místním zásadám účtu služby brány na počítači brány.To continue the setup process, proceed to Grant the gateway service account local policy rights on the gateway machine.

Konfigurace účtu služby brány pro omezené delegování Kerberos založené na prostředcíchConfigure the gateway service account for resource-based Kerberos constrained delegation

Poznámka

Pokud chcete povolit omezené delegování protokolu Kerberos založené na prostředcích, postupujte podle kroků v této části.Complete the steps in this section if you want to enable resource-based Kerberos constrained delegation. Pokud chcete naopak povolit standardní omezené delegování Kerberos, proveďte kroky v části Konfigurace účtu služby brány pro standardní omezené delegování Kerberos.Otherwise, if you want to enable standard Kerberos constrained delegation, complete the steps in Configure the gateway service account for standard Kerberos constrained delegation.

Omezené delegování protokolu Kerberos založeného na prostředcích vám umožní připojování s jednotným přihlašováním pro Windows Server 2012 a novější verze.You use resource-based Kerberos constrained delegation to enable single sign-on connectivity for Windows Server 2012 and later versions. Tento typ delegování umožňuje, aby front-endové a back-endové služby mohly být v různých doménách.This type of delegation permits front-end and back-end services to be in different domains. Aby to fungovalo, musí doména back-endové služby důvěřovat doméně front-endové služby.For it to work, the back-end service domain needs to trust the front-end service domain.

V následujících krocích předpokládáme místní prostředí se dvěma počítači v různých doménách: počítačem brány a databázovým serverem, na kterém je spuštěný SQL Server, na kterém už je nakonfigurované jednotné přihlašování založené na protokolu Kerberos.In the following steps, we assume an on-premises environment with two machines in different domains: a gateway machine and a database server running SQL Server that has already been configured for Kerberos-based SSO. Postup se dá použít pro jeden z uvedených podporovaných zdrojů dat, pokud už byl tento zdroj dat nakonfigurovaný na jednotné přihlašování založené na protokolu Kerberos.These steps can be adopted for one of the other supported data sources, so long as the data source has already been configured for Kerberos-based single sign-on. V tomto příkladu použijeme následující nastavení:For this example, we'll use the following settings:

  • Frontendová doména služby Active Directory (Netbios): ContosoFrontEndActive Directory frontend Domain (Netbios): ContosoFrontEnd
  • Backendová doména služby Active Directory (Netbios): ContosoBackEndActive Directory backend Domain (Netbios): ContosoBackEnd
  • Název počítače brány: MyGatewayMachineGateway machine name: MyGatewayMachine
  • Účet služby brány: ContosoFrontEnd\GatewaySvcGateway service account: ContosoFrontEnd\GatewaySvc
  • Název počítače zdroje dat SQL Server: TestSQLServerSQL Server data source machine name: TestSQLServer
  • Účet služby zdroje dat SQL Server: ContosoBackEnd\SQLServiceSQL Server data source service account: ContosoBackEnd\SQLService

Proveďte následující postup konfigurace:Complete the following configuration steps:

  1. Pomocí modulu snap-in konzoly MMC Uživatelé a počítače služby Active Directory na řadiči domény pro doménu ContosoFrontEnd ověřte, že pro účet služby brány nebyla použita žádná nastavení delegování.Use the Active Directory Users and Computers MMC snap-in on the domain controller for the ContosoFrontEnd domain and verify no delegation settings are applied for the gateway service account.

    Vlastnosti konektoru brány

  2. Pomocí modulu Uživatelé a počítače služby Active Directory na řadiči domény pro doménu ContosoBackEnd ověřte, že nebyla použita žádná nastavení delegování pro účet back-endové služby.Use Active Directory Users and Computers on the domain controller for the ContosoBackEnd domain and verify no delegation settings are applied for the back-end service account.

    Vlastnosti služby SQL

  3. Na kartě Editor atributů vlastností účtu ověřte, že není nastaven atribut msDS-AllowedToActOnBehalfOfOtherIdentity.In the Attribute Editor tab of the account properties, verify that the msDS-AllowedToActOnBehalfOfOtherIdentity attribute isn't set.

    Atributy služby SQL

  4. V modulu Uživatelé a počítače služby Active Directory vytvořte na řadiči domény skupinu pro doménu ContosoBackEnd.In Active Directory Users and Computers, create a group on the domain controller for the ContosoBackEnd domain. Přidejte účet služby brány GatewaySvc do skupiny ResourceDelGroup.Add the GatewaySvc gateway service account to the ResourceDelGroup group.

    Vlastnosti skupiny

  5. Otevřete příkazový řádek a spusťte následující příkazy v řadiči domény pro doménu ContosoBackEnd, abyste aktualizovali atribut msDS-AllowedToActOnBehalfOfOtherIdentity účtu back-endové služby:Open a command prompt and run the following commands in the domain controller for the ContosoBackEnd domain to update the msDS-AllowedToActOnBehalfOfOtherIdentity attribute of the back-end service account:

    $c = Get-ADGroup ResourceDelGroup
    Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c
    
  6. V modulu Uživatelé a počítače služby Active Directory ověřte, že se aktualizace projevila na kartě Editor atributů ve vlastnostech pro účet back-endové služby.In Active Directory Users and Computers, verify that the update is reflected in the Attribute Editor tab in the properties for the back-end service account.

Udělení oprávnění k místním zásadám účtu služby brány na počítači brányGrant the gateway service account local policy rights on the gateway machine

Nakonec na počítači, na kterém běží služba brány (v našem příkladu MyGatewayMachine), přiřaďte účtu služby brány místní zásady Po ověření zosobnit klienta a Jednat jako součást operačního systému (SeTcbPrivilege) .Finally, on the machine running the gateway service (MyGatewayMachine in our example), grant the gateway service account the local policies Impersonate a client after authentication and Act as part of the operating system (SeTcbPrivilege). Proveďte tuto konfiguraci pomocí Editoru místních zásad skupiny (gpedit.msc).Perform this configuration with the Local Group Policy Editor (gpedit.msc).

  1. Na počítači brány spusťte gpedit.msc.On the gateway machine, run gpedit.msc.

  2. Přejděte na Zásady místního počítače > Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Místní zásady > Přiřazení uživatelských práv.Go to Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.

    Struktura složek zásad místního počítače

  3. V seznamu zásad pod položkou Přiřazení uživatelských práv vyberte zásadu Impersonate a client after authentication (Po ověření zosobnit klienta).Under User Rights Assignment, from the list of policies, select Impersonate a client after authentication.

    Zásady zosobnění klienta

  4. Klikněte pravým tlačítkem na zásady, otevřete Vlastnosti a pak zobrazte seznam účtů.Right-click the policy, open Properties, and then view the list of accounts.

    Seznam musí obsahovat účet služby brány (Contoso\GatewaySvc nebo ContosoFrontEnd\GatewaySvc v závislosti na typu omezeného delegování).The list must include the gateway service account (Contoso\GatewaySvc or ContosoFrontEnd\GatewaySvc depending on the type of constrained delegation).

  5. V seznamu zásad pod položkou Přiřazení uživatelských práv vyberte zásadu Jednat jako součást operačního systému (SeTcbPrivilege) .Under User Rights Assignment, select Act as part of the operating system (SeTcbPrivilege) from the list of policies. Ujistěte se, že účet služby brány je v seznamu účtů.Ensure that the gateway service account is included in the list of accounts.

  6. Restartujte proces služby místní brány dat.Restart the On-premises data gateway service process.

Nastavení konfiguračních parametrů pro mapování uživatele na počítači brány (v případě potřeby)Set user-mapping configuration parameters on the gateway machine (if necessary)

Pokud služba Azure AD Connect není nakonfigurovaná, použijte tento postup k namapování uživatele služby Power BI na místního uživatele služby Azure AD.If you don't have Azure AD Connect configured, follow these steps to map a Power BI service user to a local Active Directory user. Každý uživatel služby Active Directory namapovaný tímto způsobem musí mít pro váš zdroj dat oprávnění pro jednotné přihlašování.Each Active Directory user mapped in this way needs to have SSO permissions for your data source. Další informace najdete v tomto videu.For more information, see Guy in a Cube video.

  1. Otevřete hlavní konfigurační soubor brány Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.Open the main gateway configuration file, Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll. Tento soubor je ve výchozím nastavení uložený ve složce C:\Program Files\On-premises data gateway.By default, this file is stored at C:\Program Files\On-premises data gateway.

  2. Nastavte ADUserNameLookupProperty na nepoužitý atribut služby Active Directory.Set ADUserNameLookupProperty to an unused Active Directory attribute. V následujících krocích použijeme msDS-cloudExtensionAttribute1.We'll use msDS-cloudExtensionAttribute1 in the steps that follow. Tento atribut je k dispozici jenom v systému Windows Server 2012 a novějších.This attribute is available only in Windows Server 2012 and later.

  3. Nastavte ADUserNameReplacementProperty na SAMAccountName a potom konfigurační soubor uložte.Set ADUserNameReplacementProperty to SAMAccountName and then save the configuration file.

  4. Ve Správci úloh klikněte na kartě Služby pravým tlačítkem myši na službu brány a vyberte Restartovat.From the Services tab of Task Manager, right-click the gateway service and select Restart.

    Snímek obrazovky se Správcem úloh a kartou Služby

  5. U každého uživatele služby Power BI, kterému chcete povolit jednotné přihlašování přes Kerberos, nastavte vlastnost msDS-cloudExtensionAttribute1 uživatele místní služby Active Directory (s oprávněním pro jednotné přihlašování k vašemu zdroji dat) na úplné uživatelské jméno (hlavní název uživatele) uživatele služby Power BI.For each Power BI service user you want to enable Kerberos SSO for, set the msDS-cloudExtensionAttribute1 property of a local Active Directory user (with SSO permission to your data source) to the full username (UPN) of the Power BI service user. Pokud se například přihlásíte ke službě Power BI jako test@contoso.com a chcete tohoto uživatele namapovat na místního uživatele služby Active Directory s oprávněním pro jednotné přihlašování, řekněme test@LOCALDOMAIN.COM, nastavte atribut msDS-cloudExtensionAttribute1 tohoto uživatele na test@contoso.com.For example, if you sign in to Power BI service as test@contoso.com and you want to map this user to a local Active Directory user with SSO permissions, say, test@LOCALDOMAIN.COM, set this user's msDS-cloudExtensionAttribute1 attribute to test@contoso.com.

    Vlastnost msDS-cloudExtensionAttribute1 můžete nastavit pomocí modulu snap-in konzoly MMC Uživatelé a počítače služby Active Directory:You can set the msDS-cloudExtensionAttribute1 property with the Active Directory Users and Computers MMC snap-in:

    1. Jako správce domény spusťte modul Uživatelé a počítače služby Active Directory.As a domain administrator, launch Active Directory Users and Computers.

    2. Klikněte pravým tlačítkem na název domény, vyberte Najít a pak zadejte název účtu místního uživatele služby Active Directory, na který ji chcete namapovat.Right-click the domain name, select Find, and then enter the account name of the local Active Directory user to map.

    3. Vyberte kartu Editor atributů.Select the Attribute Editor tab.

      Vyhledejte vlastnost msDS-cloudExtensionAttribute1 a poklikejte na ni.Locate the msDS-cloudExtensionAttribute1 property, and double-click it. Nastavte hodnotu na úplné uživatelské jméno (hlavní název uživatele) uživatele, kterého používáte pro přihlášení ke službě Power BI.Set the value to the full username (UPN) of the user you use to sign in to the Power BI service.

    4. Vyberte OK.Select OK.

      Okno Editor atributů řetězců

    5. Vyberte Apply (Použít).Select Apply. Ověřte, že je ve sloupci Hodnota nastavená správná hodnota.Verify that the correct value has been set in the Value column.

Dokončení kroků konfigurace pro specifický zdroj datComplete data source-specific configuration steps

SAP HANA a SAP BW mají další předpoklady a požadavky na konfiguraci pro specifické zdroje dat, které musíte splnit, abyste mohli vytvořit připojení pro jednotné přihlašování přes bránu k těmto zdrojům dat.SAP HANA and SAP BW have additional data-source specific configuration requirements and prerequisites that you need to meet before you can establish an SSO connection through the gateway to these data sources. Podrobnosti najdete na stránkách konfigurace SAP HANA a konfigurace SAP BW – CommonCryptoLib (sapcrypto.dll).For more information, see SAP HANA configuration and the SAP BW - CommonCryptoLib (sapcrypto.dll) configuration page. I když je možné nakonfigurovat SAP BW na použití s knihovnou SNC gx64krb5, tato knihovna se nedoporučuje, protože už ji SAP nepodporuje.Although it's possible to configure SAP BW for use with the gx64krb5 SNC library, this library isn't recommended because it's no longer supported by SAP. Jako knihovnu SNC byste měli použít CommonCryptoLib nebo gx64krb5.You should use CommonCryptoLib or gx64krb5 as your SNC library. Neprovádějte konfiguraci pro obě knihovny.Don't complete the configuration steps for both libraries.

Poznámka

I když pro jednotné přihlašování k serveru BW můžou fungovat i jiné knihovny SNC, Microsoft je ale oficiálně nepodporuje.Although other SNC libraries might also work for BW SSO, they aren't officially supported by Microsoft.

Spuštění sestavy Power BIRun a Power BI report

Po dokončení celého postupu konfigurace nakonfigurujte v Power BI na stránce Manage Gateway (Spravovat bránu) zdroj dat, který budete používat pro jednotné přihlašování.After you complete all the configuration steps, use the Manage Gateway page in Power BI to configure the data source to use for SSO. Pokud máte více bran, nezapomeňte vybrat bránu, kterou jste nakonfigurovali pro jednotné přihlašování přes Kerberos.If you have multiple gateways, ensure that you select the gateway you've configured for Kerberos SSO. Potom se v části Rozšířená nastavení pro zdroj dat ujistěte, že pro sestavy založené na DirectQuery je zaškrtnuté políčko Používat jednotné přihlašování prostřednictvím Kerberos pro dotazy DirectQuery nebo Používat jednotné přihlašování prostřednictvím Kerberos pro dotazy DirectQuery a Import a pro sestavy založené na aktualizaci je zaškrtnuté políčko Používat jednotné přihlašování prostřednictvím Kerberos pro dotazy DirectQuery a Import.Then, under Advanced Settings for the data source, ensure Use SSO via Kerberos for DirectQuery queries or Use SSO via Kerberos for DirectQuery And Import queries is checked for DirectQuery based Reports and Use SSO via Kerberos for DirectQuery And Import queries is checked for Refresh based Reports.

Možnost Rozšířená nastavení

Pokud publikujete sestavu založenou na DirectQuery z Power BI Desktopu a namapujete ji na zdroj dat se zaškrtnutou možností Používat jednotné přihlašování prostřednictvím Kerberos pro dotazy DirectQuery nebo Používat jednotné přihlašování prostřednictvím Kerberos pro dotazy DirectQuery a Import, bude tato sestava používat data, která jsou přístupná uživateli namapovanému na uživatele (Azure) Active Directory, který se přihlásí ke službě Power BI.If you publish a DirectQuery-based report from Power BI Desktop and map it to a data source having the Use SSO via Kerberos for DirectQuery queries or the Use SSO via Kerberos for DirectQuery And Import queries checked, this report would use data that is accessible to the user that's mapped to the (Azure) Active Directory user that signs in to the Power BI service.

Podobně pokud publikujete sestavu založenou na aktualizaci z Power BI Desktopu a namapujete ji na zdroj dat se zaškrtnutou možností Používat jednotné přihlašování prostřednictvím Kerberos pro dotazy DirectQuery a Import, nemusíte zadávat žádné přihlašovací údaje.Similarly if you publish a Refresh-based report from Power BI desktop and map it to a data source having the Use SSO via Kerberos for DirectQuery And Import queries checked, you do not need to provide any credentials. Aktualizace se spustí v kontextu služby Active Directory vlastníka datové sady.The refresh is executed under the the dataset owner's active directory context.

Pokud ji ale namapujete na zdroj dat, u kterého není zaškrtnutá možnost Používat jednotné přihlašování prostřednictvím Kerberos pro dotazy DirectQuery a Import, použije aktualizace přihlašovací údaje, které jste zadali do polí Uživatelské jméno a Heslo při vytváření zdroje dat.If however, you map it to a data source where Use SSO via Kerberos for DirectQuery And Import queries isn't checked, the refresh uses the credentials that you entered in the Username and Password fields when you created the data source. Jinými slovy, jednotné přihlašování přes Kerberos se nepoužívá.In other words, Kerberos SSO is not used.

Pokud máte více bran, při publikování vyberte tu, kterou jste nakonfigurovali pro jednotné přihlašování.When you publish, select the gateway you've configured for SSO if you have multiple gateways.

Tato konfigurace funguje ve většině případů.This configuration works in most cases. U protokolu Kerberos ale můžou být konfigurace různé v závislosti na vašem prostředí.However, with Kerberos there can be different configurations depending on your environment. Pokud se sestava nenačte, požádejte správce domény, aby situaci dále prozkoumal.If the report won't load, contact your domain administrator to investigate further. Pokud je zdrojem dat SAP BW, podívejte se do částí věnovaných řešení potíží na stránkách konfigurace specifického zdroje dat pro CommonCryptoLib a gx64krb5/gsskrb5 podle toho, kterou knihovnu SNC jste zvolili.If your data source is SAP BW, refer to the troubleshooting sections of the data source-specific configuration pages for CommonCryptoLib and gx64krb5/gsskrb5, depending on which SNC library you've chosen.

Další krokyNext steps

Další informace o místní bráně dat a DirectQuery najdete v následujících tématech:For more information about the on-premises data gateway and DirectQuery, see the following resources: