Brug OAuth til at oprette forbindelse til Power BI-rapportserver og SSRS
Du kan bruge OAuth til at oprette forbindelse til Power BI-rapportserver og Reporting Services for at få vist mobilrapporter eller KPI'er. Få mere at vide om, hvordan du konfigurerer dit miljø til at understøtte OAuth-godkendelse med Power BI-mobilappen for at oprette forbindelse til Power BI-rapportserver og SQL Server Reporting Services 2016 eller nyere.
Bemærk
Visning af Power BI-rapporter, der hostes på Power BI-rapportserver ved hjælp af WAP-godkendelse, understøttes nu til iOS- og Android-apps.
Krav
Windows Server 2016 er påkrævet til WAP- (Web Application Proxy) og ADFS-serverne (Active Directory Federation Services). Du behøver ikke at have et Windows 2016-domæne på funktionsniveau.
hvis brugerne skal kunne føje en rapportserver forbindelse til deres Power BI-mobilapp, skal du give dem adgang til rapportserverens hjemmemappe.
Konfiguration af DNS (Domain Name Services)
Den offentlige URL-adresse er den adresse, som Power BI-mobilappen opretter forbindelse til. Den kan f.eks. se ud som følger.
https://reports.contoso.com
Din DNS-post for rapporter peger på den offentlige IP-adresse for WAP-serveren (Web Application Proxy). Du skal også konfigurere en offentlig DNS-post for din ADFS-server. Du kan f.eks. konfigurere ADFS-serveren med følgende URL-adresse.
https://fs.contoso.com
Din DNS-post for fs peger på den offentlige IP-adresse for WAP-serveren (Web Application Proxy), da den udgives som en del af WAP-programmet.
Certifikater
Du skal konfigurere certifikater for både WAP-programmet og ADFS-serveren. Begge disse certifikater skal være en del af et gyldigt nøglecenter, som kan genkendes af dine mobilenheder.
Konfiguration af Reporting Services
Der er ikke meget, der skal konfigureres på Reporting Services-siden. Du skal blot sikre dig:
- Der er et gyldigt SPN (Service Principal Name) for at gøre det muligt at foretage den rette Kerberos-godkendelse.
- Reporting Services-serveren er aktiveret til forhandling af godkendelse.
- Brugerne har adgang til rapportserverens hjemmemappe.
Tjenestens hovednavn
Tjenestens hovednavn er et entydigt id for en tjeneste, der bruger Kerberos-godkendelse. Du skal sikre, at du har et korrekt HTTP-hovednavn for tjenesten for rapportserveren.
Du kan finde oplysninger om, hvordan du konfigurerer det korrekte hovednavn for tjenesten for rapportserveren, under Registrer et hovednavn for tjenesten for en rapportserver.
Aktivering af forhandling af godkendelse
Hvis du vil gøre det muligt, at en rapportserver kan bruge Kerberos-godkendelse, skal du konfigurere, at godkendelsestypen for rapportserveren er RSWindowsNegotiate. Du gør dette i filen rsreportserver.config.
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsKerberos />
<RSWindowsNTLM />
</AuthenticationTypes>
Du kan finde flere oplysninger under Rediger en Reporting Services-konfigurationsfil og Konfigurer Windows-godkendelse på en rapportserver.
Konfigurationen af ADFS (Active Directory Federation Services)
Du skal konfigurere ADFS på en Windows 2016-server i dit miljø. Konfigurationen kan udføres via Server Manager og ved at vælge Tilføj roller og funktioner under Administrer. Du kan finde flere oplysninger under Active Directory Federation Services.
Opret en programgruppe
På ADFS Management-skærmen skal du oprette en programgruppe til Reporting Services, som indeholder oplysninger til appsene til Power BI – Mobil.
Du kan oprette programgruppen vha. følgende trin.
I ADFS Management-appen skal du højreklikke på Programgrupper og vælge Tilføj programgruppe…
I guiden Tilføj programgruppe skal du angive et navn for programgruppen og vælge Oprindeligt program, der har adgang til en web-API.
Vælg Næste.
Angiv et navn for det program, du tilføjer.
Mens klient-id'et oprettes automatisk, skal du angive 484d54fc-b481-4eee-9505-0258a1913020 for både iOS og Android.
Du skal tilføje følgende URL-adresser til omdirigering:
Poster til Power BI – Mobil – iOS:
msauth://code/mspbi-adal://com.microsoft.powerbimobile
msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
mspbi-adal://com.microsoft.powerbimobile
mspbi-adalms://com.microsoft.powerbimobilemsDer skal kun bruges følgende trin til Android-apps:
urn:ietf:wg:oauth:2.0:oob
Vælg Næste.
Angiv URL-adressen til rapportserveren. Dette er den eksterne URL-adresse, der bruges af din Web Application Proxy. Den skal være i følgende format.
Bemærk
I denne URL-adresse er der forskel på store og små bogstaver!
https://< URL-adresse til rapportserver >/
Vælg Næste.
Vælg den adgangskontrolpolitik, der passer til organisationens behov.
Vælg Næste.
Vælg Næste.
Vælg Næste.
Vælg Luk.
Når du er færdig, kan du se, at egenskaberne for programgruppen ligner følgende.
Konfiguration af WAP (Web Application Proxy)
Du skal aktivere Windows-rollen Web Application Proxy (rolle) på en server i dit miljø. Det skal ske på en Windows 2016-server. Du kan finde flere oplysninger under Web Application Proxy i Windows Server 2016 og Publicering af programmer vha. ADFS-forhåndsgodkendelse.
Konfiguration af begrænset delegering
Hvis du vil skifte fra OAuth-godkendelse til Windows-godkendelse, skal du bruge begrænset delegering med protokolovergang. Dette er en del af Kerberos-konfigurationen. Vi har allerede defineret tjenestens hovednavn for Reporting Services i Reporting Services-konfigurationen.
Vi skal konfigurere begrænset delegering på WAP-serverens maskinkonti i Active Directory. Du skal muligvis samarbejde med en domæneadministrator, hvis du ikke har adgang til Active Directory.
Du skal udføre følgende trin for at konfigurere begrænset delegering.
Start Active Directory-brugere og -computere på en computer, hvor Active Directory-værktøjerne er installeret.
Find maskinkontoen for WAP-serveren. Den findes som standard i computerens objektbeholder.
Højreklik på WAP-serveren, og gå til Egenskaber.
Vælg fanen Delegering.
Vælg Hav kun tillid til denne computer i forbindelse med delegering til de angivne tjenester, og vælg derefter Brug en vilkårlig godkendelsesprotokol.
Dermed konfigureres begrænset delegering for computerkontoen for denne WAP-server. Derefter skal vi angive de tjenester, som denne maskine har tilladelse til at delegere til.
Vælg Tilføj... under feltet med tjenestser.
Vælg Brugere eller computere...
Angiv den tjenestekonto, du bruger til Reporting Services. Denne konto er den konto, du føjede tjenestens hovednavn til under konfigurationen af Reporting Services.
Vælg tjenestens hovednavn for Reporting Services, og vælg derefter OK.
Bemærk
Du får muligvis kun vist NetBIOS SPN. Tjenestens hovednavn for både NetBIOS og FQDN vælges faktisk, hvis de begge findes.
Resultatet ser ud som følger, når afkrydsningsfeltet Udvidet er markeret.
Vælg OK.
Tilføj WAP-program
Mens du kan udgive programmer i administrationskonsollen for rapportadgang, opretter vi programmet via PowerShell. Her er kommandoen, der skal bruges i forbindelse med tilføjelse af programmet.
Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
| Parameter | Kommentarer |
|---|---|
| ADFSRelyingPartyName | Det Web API-navn, du oprettede som en del af Programgruppen i ADFS. |
| ExternalCertificateThumbprint | Det certifikat, der skal bruges til eksterne brugere. Det er vigtigt, at certifikatet er gyldigt på mobilenheder og stammer fra et nøglecenter, der er tillid til. |
| BackendServerUrl | URL-adressen til rapportserveren fra WAP-serveren. Hvis WAP-serveren er på et perimeternetværk, skal du bruge et fuldt domænenavn. Kontrollér, at du kan få forbindelse til denne URL-adresse via webbrowseren på WAP-serveren. |
| BackendServerAuthenticationSPN | Det hovednavn for tjenesten, du oprettede som en del af konfigurationen af Reporting Services. |
Angivelse af integreret godkendelse for WAP-programmet
Når du har tilføjet WAP-programmet, skal du angive, at BackendServerAuthenticationMode skal bruge IntegratedWindowsAuthentication. Du skal bruge id'et fra WAP-programmet for at angive det.
Get-WebApplicationProxyApplication "Contoso Reports" | fl
Kør følgende kommando for at angive BackendServerAuthenticationMode vha. id'et for WAP-programmet.
Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication
Oprettelse af forbindelse vha. Power BI-mobilappen
I Power BI-mobilappen skal du oprette forbindelse til forekomsten af Reporting Services. Det gør du ved at angive den eksterne URL-adresse for WAP-programmet.
Når du vælger Opret forbindelse, bliver du dirigeret til ADFS-logonsiden. Angiv de gyldige legitimationsoplysninger for dit domæne.
Når du har valgt Log på, kan du se elementerne fra Reporting Services-serveren.
Multifaktorgodkendelse
Du kan aktivere multifaktorgodkendelse for at aktivere yderligere sikkerhed for dit miljø. Du kan få mere at vide under Konfigurer ADFS 2016 og Azure MFA.
Fejlfinding
Du får vist fejlen "Der kunne ikke logges på SSRS-serveren"
Du kan konfigurere, at Fiddler skal fungere som en proxy for dine mobilenheder, for at se, hvor langt anmodningen er kommet. Hvis du vil aktivere en Fiddler-proxy for din telefon, skal du konfigurere CertMaker til iOS og Android på den computer, der kører Fiddler. Tilføjelsesprogrammet er fra Telerik til Fiddler.
Hvis det lykkes at logge på ved hjælp af Fiddler, oplever du måske et certifikatproblem med enten WAP-programmet eller ADFS-serveren.
Næste trin
Registrer en hovednavn for tjenesten for en rapportserver
Rediger en Reporting Services-konfigurationsfil
Konfigurer Windows-godkendelse på en rapportserver
Active Directory Federation Services
Web Application Proxy i Windows Server 2016
Udgivelse af programmer vha. ADFS-forhåndsgodkendelse
Konfigurer ADFS 2016 og Azure MFA
Har du flere spørgsmål? Prøv at spørge Power BI-community'et