Übersicht: Single Sign-On für Gateways in Power BIOverview of single sign-on (SSO) for gateways in Power BI

Sie können nahtlose Verbindungen mit einmaligem Anmelden erreichen und für Power BI-Berichte und -Dashboards das Aktualisieren von lokalen Daten in Echtzeit ermöglichen, indem Sie Ihr lokales Datengateway konfigurieren.You can get seamless single sign-on connectivity, enabling Power BI reports and dashboards to update in real time from on-premises data, by configuring your on-premises data gateway. Sie haben die Option, Ihr Gateway entweder mit eingeschränkter Kerberos-Delegierung oder der Security Assertion Markup Language (SAML) zu konfigurieren.You have the option of configuring your gateway with either Kerberos constrained delegation or Security Assertion Markup Language (SAML). Das lokale Datengateway unterstützt Single Sign-On (SSO) über DirectQuery oder für Aktualisierungen. Damit werden Verbindungen mit lokalen Datenquellen hergestellt.The on-premises data gateway supports SSO by using DirectQuery or for Refresh, which connects to on-premises data sources.

Power BI unterstützt die folgenden Datenquellen:Power BI supports the following data sources:

  • SQL Server (Kerberos)SQL Server (Kerberos)
  • SAP HANA (Kerberos und SAML)SAP HANA (Kerberos and SAML)
  • SAP BW-Anwendungsserver (Kerberos)SAP BW Application Server (Kerberos)
  • SAP BW-Nachrichtenserver (Kerberos)SAP BW Message Server (Kerberos)
  • Oracle (Kerberos)Oracle (Kerberos)
  • Teradata (Kerberos)Teradata (Kerberos)
  • Spark (Kerberos)Spark (Kerberos)
  • Impala (Kerberos)Impala (Kerberos)

Das einmalige Anmelden (SSO) für M-Erweiterungen wird derzeit nicht unterstützt.We don't currently support SSO for M-extensions.

Wenn ein Benutzer mit einem DirectQuery-Bericht im Power BI-Dienst interagiert, kann jeder Kreuzfilter-, Segmentierungs-, Sortier- und Berichtsbearbeitungsvorgang Abfragen bewirken, die live für die zugrunde liegende Datenquelle ausgeführt werden.When a user interacts with a DirectQuery report in the Power BI Service, each cross-filter, slice, sort, and report editing operation can result in queries that execute live against the underlying on-premises data source. Wenn Sie SSO für die Datenquelle konfigurieren, werden Abfragen unter der Identität des Benutzers ausgeführt, der mit Power BI interagiert (d. h. über die Webumgebung oder mobile Power BI-Apps).When you configure SSO for the data source, queries execute under the identity of the user that interacts with Power BI (that is, through the web experience or Power BI mobile apps). Daher sieht jeder Benutzer genau die Daten, für die er über Berechtigungen in der zugrunde liegenden Datenquelle verfügt.Therefore, each user sees precisely the data for which they have permissions in the underlying data source.

Sie können auch einen Bericht konfigurieren, der im Power BI-Dienst so eingerichtet ist, dass für Aktualisierungen SSO verwendet wird.You can also configure a report which is set up for refresh in the Power BI Service to use SSO. Wenn Sie für diese Datenquelle SSO konfigurieren, werden Abfragen im Power BI-Dienst unter der Identität des Datasetbesitzers ausgeführt.When you configure SSO for this data source, queries execute under the identity of the dataset owner within Power BI. Eine Aktualisierung erfolgt deshalb basierend auf den Berechtigungen des Datasetbesitzers für die zugrunde liegende Datenquelle.Therefore, the refresh happens based on the dataset owner's permissions on the underlying data source. Die Aktualisierung mit SSO ist momentan nur für Datenquellen aktiviert, die die eingeschränkte Kerberos-Delegierung verwenden.Refresh using SSO is currently enabled only for data sources using Kerberos constrained delegation

Abfrageschritte beim Ausführen von SSOQuery steps when running SSO

Eine mit SSO ausgeführte Abfrage umfasst drei Schritte, wie in der folgenden Abbildung veranschaulicht.A query that runs with SSO consists of three steps, as shown in the following diagram.

SSO-Abfrageschritte

Es folgen weitere Details zu jedem Schritt:Here are additional details about each step:

  1. Der Power BI-Dienst enthält für jede Abfrage den Benutzerprinzipalnamen (UPN, d. h. der voll qualifizierte Benutzernamen des Benutzers, der zurzeit beim Power BI-Dienst angemeldet ist), wenn eine Abfrageanforderung an das konfigurierte Gateway gesendet wird.For each query, the Power BI service includes the user principal name (UPN), which is the fully qualified username of the user currently signed in to the Power BI service, when it sends a query request to the configured gateway.

  2. Das Gateway muss den Azure Active Directory-UPN einer lokalen Active Directory-Identität zuordnen.The gateway must map the Azure Active Directory UPN to a local Active Directory identity:

    a.a. Wenn Azure AD DirSync (auch als Azure AD Connect bezeichnet) konfiguriert ist, erfolgt die Zuordnung automatisch im Gateway.If Azure AD DirSync (also known as Azure AD Connect) is configured, then the mapping works automatically in the gateway.

    b.b. Andernfalls kann das Gateway den Azure AD-UPN suchen und einem lokalen AD-Benutzer zuordnen. Dies erfolgt durch eine Suche in der lokalen Active Directory-Domäne.Otherwise, the gateway can look up and map the Azure AD UPN to a local AD user by performing a lookup against the local Active Directory domain.

  3. Der Prozess des Gatewaydiensts nimmt die Identität des zugeordneten lokalen Benutzers an, öffnet die Verbindung mit der zugrunde liegenden Datenbank und sendet die Abfrage.The gateway service process impersonates the mapped local user, opens the connection to the underlying database, and then sends the query. Das Gateway muss nicht auf denselben Computern wie die Datenbank installiert sein.You don't need to install the gateway on the same machine as the database.

Weitere SchritteNext steps

Nachdem Sie sich nun grundlegend mit der Aktivierung von SSO über das Gateway auskennen, können Sie sich ausführlichere Informationen zu Kerberos und SAML ansehen:Now that you understand the basics of enabling SSO through the gateway, read more detailed information about Kerberos and SAML: