Herstellen einer Verbindung mit Reporting Services mithilfe von OAuthUsing OAuth to connect to Reporting Services

Hier erhalten Sie Informationen dazu, wie Sie Ihre Umgebung für die Unterstützung der OAuth-Authentifizierung mit der mobilen Power BI-App konfigurieren, um eine Verbindung mit Reporting Services 2016 oder höher herzustellen.Learn how to configure your environment to support OAuth authentication with the Power BI mobile app in order to connect to Reporting Services 2016 or later.

In der Vergangenheit hat die mobile Power BI-App nur die einfache Authentifizierung über HTTPS für Reporting Services unterstützt, um mobile Berichte oder KPIs anzuzeigen.In the past, the Power BI mobile app only supported basic authentication, over HTTPS, to Reporting Services in order to display Mobile Reports or KPIs. Viele Organisationen erlauben diese Art der Konfiguration aus Sicherheitsgründen nicht.Many organizations do not allow this type of configuration due to security concerns. Mit einem Update der mobilen Power BI-App können Sie nun OAuth für die Verbindung mit Reporting Services verwenden.With an update to the Power BI mobile app, you can now use OAuth to connect to Reporting Services. Windows Server 2016 enthält einige Verbesserungen der Rolle „Webanwendungsproxy“, um diese Art der Authentifizierung zu ermöglichen.Windows Server 2016 provides some improvements to the Web Application Proxy role to allow this type of authentication.

AnforderungenRequirements

Für den WAP-Server (Web Application Proxy, Webanwendungsproxy) und ADFS-Server (Active Directory Federation Services, Active Directory-Verbunddienste) ist Windows Server 2016 erforderlich.Windows Server 2016 is required for the Web Application Proxy (WAP) and Active Directory Federation Services (ADFS) servers. Sie benötigen keine Windows 2016-Domänenfunktionsebene.You do not need to have a Windows 2016 functional level domain.

DNS-Konfiguration (Domain Name Service)Domain Name Services (DNS) configuration

Sie müssen die öffentliche URL ermitteln, mit der die mobile Power BI-App eine Verbindung herstellt.You will need to determine what the public URL will be that the Power BI mobile app will connect to. Dies könnte z.B. wie folgt lauten.For example, it may look similar to the following.

https://reports.contoso.com

Der DNS-Eintrag für Berichte muss auf die öffentliche IP-Adresse des WAP-Servers (Web Application Proxy, Webanwendungsproxy) verweisen.You will need to point your DNS record for reports to the public IP address of the Web Application Proxy (WAP) server. Außerdem müssen Sie einen öffentlichen DNS-Datensatz für den AD FS-Server konfigurieren.You will also need to configure a public DNS record for your ADFS server. Angenommen, Sie haben den AD FS-Server mit der folgenden URL konfiguriert.For example, you may have configured the ADFS server with the following URL.

https://fs.contoso.com

Der DNS-Eintrag für fs muss auf die öffentliche IP-Adresse des WAP-Servers (Web Application Proxy, Webanwendungsproxy) verweisen, da er als Teil der WAP-Anwendung veröffentlicht wird.You will need to point your DNS record for fs to the public IP address of the Web Application Proxy (WAP) server as it will be published as part of the WAP application.

ZertifikateCertificates

Sie müssen Zertifikate für die WAP-Anwendung und den AD FS-Server konfigurieren.You will need to configure certificates for both the WAP application and the ADFS server. Beide Zertifikate müssen Teil einer gültigen Zertifizierungsstelle sein, die Ihre mobilen Geräte erkennen.Both of these certificates must be part of a valid certificate authority that your mobile devices recognize.

Reporting Services-KonfigurationReporting Services configuration

Für Reporting Services muss nicht viel konfiguriert werden.There isn’t much to configure on the Reporting Services side. Sie müssen lediglich sicherstellen, dass ein gültiger Dienstprinzipalname (Service Principal Name, SPN) vorhanden ist, damit die Kerberos-Authentifizierung ordnungsgemäß ausgeführt werden kann, und dass der Reporting Services-Server für die Aushandlungsauthentifizierung aktiviert ist.We just need to make sure that we have a valid Service Principal Name (SPN) to enable the proper Kerberos authentication to occur and that the Reporting Services server is enabled for negotiate authentication.

Dienstprinzipalname (Service Principal Name, SPN)Service Principal Name (SPN)

Bei dem SPN handelt es sich um einen eindeutigen Bezeichner für einen Dienst, der Kerberos-Authentifizierung verwendet.The SPN is a unique identifier for a service that uses Kerberos authentication. Sie müssen sicherstellen, dass ein gültiger HTTP-SPN für den Berichtsserver vorhanden ist.You will need to make sure you have a proper HTTP SPN present for your report server.

Informationen zum Konfigurieren des richtigen Dienstprinzipalnamens (Service Principal Name, SPN) für den Berichtsserver finden Sie unter Registrieren eines Dienstprinzipalnamens (SPN) für einen Berichtsserver.For information on how to configure the proper Service Principal Name (SPN) for your report server, see Register a Service Principal Name (SPN) for a Report Server.

Aktivieren der AushandlungsauthentifizierungEnabling negotiate authentication

Damit ein Berichtsserver die Kerberos-Authentifizierung verwenden kann, müssen Sie den Authentifizierungstyp des Berichtsservers als „RSWindowsNegotiate“ konfigurieren.To enable a report server to use Kerberos authentication, you will need to configure the Authentication Type of the report server to be RSWindowsNegotiate. Dies erfolgt in der Datei „rsreportserver.config“.This is done within the rsreportserver.config file.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Weitere Informationen finden Sie unter Ändern einer Reporting Services-Konfigurationsdatei (RSreportserver.config) und Konfigurieren der Windows-Authentifizierung auf dem Berichtsserver.For more information, see Modify a Reporting Services Configuration File and Configure Windows Authentication on a Report Server.

AD FS-Konfiguration (Active Directory Federation Services, Active Directory-Verbunddienste)Active Directory Federation Services (ADFS) Configuration

Sie müssen AD FS auf einem Windows-2016-Server in Ihrer Umgebung konfigurieren.You will need to configure ADFS on a Windows 2016 server within your environment. Hierzu können Sie im Server-Manager unter „Verwalten“ die Option „Rollen und Features hinzufügen“ auswählen.This can be done through the Server Manager and selecting Add Roles and Features under Manage. Weitere Informationen finden Sie unter Active Directory-Verbunddienste.For more information, see Active Directory Federation Services.

Erstellen einer AnwendungsgruppeCreate an application group

Auf dem Bildschirm „AD FS-Verwaltung“ erstellen Sie eine Anwendungsgruppe für Reporting Services, die Informationen für die Power BI Mobile-Apps enthält.Within the AD FS Management screen, you will want to create an application group for Reporting Services which will include information for the Power BI Mobile apps.

Hierzu führen Sie die folgenden Schritten aus.You can create the application group with the following steps.

  1. Klicken Sie in der App „AD FS-Verwaltung“ mit der rechten Maustaste auf Anwendungsgruppen, und wählen Sie Anwendungsgruppe hinzufügen aus.Within the AD FS Management app, right click Application Groups and select Add Application Group…

  2. Geben Sie im Assistenten zum Hinzufügen von Anwendungsgruppen einen Namen für die Anwendungsgruppe ein, und wählen Sie Systemeigene Anwendung mit Zugriff auf eine Web-API aus.Within the Add Application Group Wizard, provide a name for the application group and select Native application accessing a web API.

  3. Wählen Sie Weiteraus.Select Next.
  4. Geben Sie einen Namen für die hinzuzufügende Anwendung ein.Provide a name for the application you are adding.
  5. Die Client-ID wird zwar automatisch generiert, geben Sie aber 484d54fc-b481-4eee-9505-0258a1913020 für iOS und Android ein.While the Client ID will be auto generated for your, enter in 484d54fc-b481-4eee-9505-0258a1913020 for both iOS and Android.
  6. Geben Sie Folgendes unter Umleitungs-URLs ein:You will want to add the following Redirect URLs:

    Einträge für Power BI Mobile – iOS:Entries for Power BI Mobile – iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobilemsauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilemsmsauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobilemspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilemsmspbi-adalms://com.microsoft.powerbimobilems

    Für Android-Apps wird nur Folgendes angegeben:Android Apps only need the following:
    urn:ietf:wg:oauth:2.0:ooburn:ietf:wg:oauth:2.0:oob

  7. Wählen Sie Weiteraus.Select Next.
  8. Geben Sie die URL für den Berichtsserver ein.Supply the URL for your Report Server. Dies ist die externe URL, die auf den Webanwendungsproxy verweist.This is the external URL that will hit your Web Application Proxy. Das Format sollte wie folgt lauten.It should be in the following format.

    Hinweis

    Bei der URL wird die Groß- und Kleinschreibung beachtet.This URL is case sensitive!

    https:///reportshttps:///reports

  9. Wählen Sie Weiteraus.Select Next.
  10. Wählen Sie die Zugriffssteuerungsrichtlinie aus, die für Ihre Organisation am besten geeignet ist.Choose the Access Control Policy that fits your organization’s needs.

  11. Wählen Sie Weiteraus.Select Next.
  12. Wählen Sie Weiteraus.Select Next.
  13. Wählen Sie Weiteraus.Select Next.
  14. Wählen Sie Schließen aus.Select Close.

Abschließend sollten die Eigenschaften der Anwendungsgruppe ähnlich wie im folgenden Beispiel aussehen.When completed, you should see the properties of your application group look similar to the following.

WAP-Konfiguration (Web Application Proxy, Webanwendungsproxy)Web Application Proxy (WAP) Configuration

Aktivieren Sie die Windows-Rolle „Webanwendungsproxy“ auf einem Server in Ihrer Umgebung.You will want to enable the Web Application Proxy (Role) Windows role on a server in your environment. Dabei muss es sich um einen Windows 2016-Server handeln.This must be on a Windows 2016 server. Weitere Informationen finden Sie unter Web-Anwendungsproxy in Windows Server 2016 und Veröffentlichen von Anwendungen mit AD FS-Vorauthentifizierung.For more information, see Web Application Proxy in Windows Server 2016 and Publishing Applications using AD FS Preauthentication.

Konfiguration der eingeschränkten DelegierungConstrained delegation configuration

Um von der OAuth-Authentifizierung zur Windows-Authentifizierung zu wechseln, muss die eingeschränkte Delegierung mit Protokollübergang verwendet werden.In order to transition from OAuth authentication to Windows authentication, we need to use constrained delegation with protocol transitioning. Dies ist Teil der Kerberos-Konfiguration.This is part of the Kerberos configuration. Der Reporting Services-SPN wurde bereits bei der Reporting Services-Konfiguration definiert.We already defined the Reporting Services SPN within the Reporting Services configuration.

Nun muss die eingeschränkte Delegierung im Computerkonto des WAP-Servers in Active Directory konfiguriert werden.We need to configure constrained delegation on the WAP Server machine account within Active Directory. Möglicherweise müssen Sie einen Domänenadministrator hinzuziehen, wenn Sie nicht über Berechtigungen für Active Directory verfügen.You may need to work with a domain administrator if you don’t have rights to Active Directory.

Gehen Sie zum Konfigurieren der eingeschränkten Delegierung wie folgt vor.To configure constrained delegation, you will want to do the following.

  1. Starten Sie auf einem Computer mit Active Directory-Tools Active Directory-Benutzer und -Computer.On a machine that has the Active Directory tools installed, launch Active Directory Users and Computers.
  2. Suchen Sie das Computerkonto für den WAP-Server.Find the machine account for your WAP server. Standardmäßig befindet sich dies im Computercontainer.By default, this will be in the computers container.
  3. Klicken Sie mit der rechten Maustaste auf dem WAP-Server, und wechseln Sie zu Eigenschaften.Right click the WAP server and go to Properties.
  4. Wählen Sie die Registerkarte Delegierung aus.Select the Delegation tab.
  5. Wählen Sie Computer nur bei Delegierungen angegebener Dienste vertrauen und dann Beliebiges Authentifizierungsprotokoll verwenden aus.Select Trust this computer for delegation to specified services only and then Use any authentication protocol.

    Hiermit wird die eingeschränkte Delegierung für das Computerkonto des WAP-Servers eingerichtet.This sets up constrained delegation for this WAP Server machine account. Nun müssen die Dienste angegeben werden, an die dieser Computer delegieren kann.We then need to specify the services that this machine is allowed to delegate to.

  6. Wählen Sie unter dem Feld für Dienste HinzufügenSelect Add… aus.under the services box.

  7. Wählen Sie Benutzer oder Computer aus.Select Users or Computers…
  8. Geben Sie das Dienstkonto ein, das Sie für Reporting Services verwenden.Enter the service account that you are using for Reporting Services. Dies ist das Konto, dem Sie bei der Reporting Services-Konfiguration den SPN hinzugefügt haben.This is the account you added the SPN to within the Reporting Services configuration.
  9. Wählen Sie den SPN für Reporting Services und dann OK aus.Select the SPN for Reporting Services and then select OK.

    Hinweis

    Möglicherweise wird nur der NetBIOS-SPN angezeigt.You may only see the NetBIOS SPN. Hiermit werden aber sowohl der NetBIOS- als auch der FQDN-SPN ausgewählt, wenn beide vorhanden sind.It will actually select both the NetBIOS and FQDN SPNs if they both exist.

  10. Das Ergebnis sollte etwa wie folgt aussehen, wenn das Kontrollkästchen Erweitert aktiviert ist.The result should look similar to the following when the Expanded checkbox is checked.

  11. Wählen Sie OKaus.Select OK.

Hinzufügen einer WAP-AnwendungAdd WAP Application

Sie können Anwendungen innerhalb der Report Access Management Console veröffentlichen, hier wird die Anwendung allerdings über PowerShell erstellt.While you can publish applications within the Report Access Management Console, we will want to create the application via PowerShell. Der Befehl zum Hinzufügen der Anwendung lautet wie folgt:Here is the command to add the application.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/reports/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl http://ContosoSSRS/reports/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
ParameterParameter KommentareComments
ADFSRelyingPartyNameADFSRelyingPartyName Dies ist der Name der Web-API, die Sie als Teil der Anwendungsgruppe in AD FS erstellt haben.This is the Web API name that you created as part of the Application Group within ADFS.
ExternalCertificateThumbprintExternalCertificateThumbprint Dies ist das Zertifikat, das für externe Benutzer verwendet werden soll.This is the certificate to use for the external users. Es ist wichtig, dass das Zertifikat auf mobilen Geräten gültig ist und von einer vertrauenswürdigen Zertifizierungsstelle stammt.It is important that this certificate be valid on mobile devices and come from a trusted certificate authority.
BackendServerUrlBackendServerUrl Dies ist die URL zum Berichtsserver vom WAP-Server aus.This is the URL to the Report Server from the WAP server. Wenn sich der WAP-Server in einem Umkreisnetzwerk befindet, müssen Sie möglicherweise einen vollqualifizierten Domänennamen verwenden.If the WAP server is in a DMZ, you may need to use a fully qualified domain name. Stellen Sie sicher, dass Sie diese URL im Webbrowser auf dem WAP-Server aufrufen können.Make sure you can hit this URL from the web browser on the WAP server.
BackendServerAuthenticationSPNBackendServerAuthenticationSPN Dies ist der SPN, den Sie bei der Reporting Services-Konfiguration erstellt haben.This is the SPN you created as part of the Reporting Services configuration.

Festlegen der integrierten Authentifizierung für die WAP-AnwendungSetting Integrated Authentication for the WAP Application

Nachdem Sie die WAP-Anwendung hinzugefügt haben, müssen Sie „BackendServerAuthenticationMode“ auf die Verwendung von „IntegratedWindowsAuthentication“ festlegen.After you add the WAP Application, you will need to set the BackendServerAuthenticationMode to use IntegratedWindowsAuthentication. Hierfür benötigen Sie die ID aus der WAP-Anwendung.In order to set this, you need the ID from the WAP Application.

Get-WebApplicationProxyApplication “Contoso Reports” | fl

Führen Sie den folgenden Befehl aus, um „BackendServerAuthenticationMode“ mit der ID der WAP-Anwendung festzulegen.Run the following command to set the BackendServerAuthenticationMode using the ID of the WAP Application.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Herstellen einer Verbindung mit der mobilen Power BI-AppConnecting with the Power BI Mobile App

Innerhalb der mobilen Power BI-App erstellen Sie eine Verbindung mit der Reporting Services-Instanz.Within the Power BI mobile app, you will want to connect to your Reporting Services instance. Geben Sie hierzu die Externe URL für die WAP-Anwendung an.To do that, supply the External URL for your WAP Application.

Wenn Sie Verbinden auswählen, werden Sie auf die AD FS-Anmeldeseite weitergeleitet.When you select Connect, you will be directed to your ADFS login page. Geben Sie gültige Anmeldeinformationen für Ihre Domäne ein.Enter valid credentials for your domain.

Nachdem Sie Anmelden ausgewählt haben, werden die Elemente vom Reporting Services-Server angezeigt.After you select Sign in, you will see the elements from your Reporting Services server.

Multi-Factor AuthenticationMulti-factor authentication

Sie können die Multi-Factor Authentication aktivieren, um die Sicherheit für Ihre Umgebung zu erhöhen.You can enable multi-factor authentication to enable additional security for your environment. Weitere Informationen finden Sie unter Konfigurieren von AD FS 2016 und Azure MFA.To learn more, see Configure AD FS 2016 and Azure MFA.

ProblembehandlungTroubleshooting

Folgender Fehler wird angezeigt: „Fehler beim Anmelden beim SSRS-Server. Überprüfen Sie die Serverkonfiguration.“You receive the error Failed to login to SSRS server. Please verify server configuration.

Sie können Fiddler als Proxy für Ihre mobilen Geräte einrichten, um zu überprüfen, wie weit die Anforderung gesendet wurde.You can set up Fiddler to act as a proxy for your mobile devices to see how far the request made it. Wenn Sie einen Fiddler-Proxy für ein Smartphone aktivieren möchten, müssen Sie CertMaker für iOS und Android auf dem Computer mit Fiddler einrichten.To enable a Fiddler proxy for your phone device, you will need to setup the CertMaker for iOS and Android on the machine running Fiddler. Dabei handelt es sich um ein Add-On von Telerik für Fiddler.This is an add-on from Telerik for Fiddler.

Wenn die Anmeldung bei Verwendung von Fiddler erfolgreich ist, liegt möglicherweise ein Zertifikatsproblem mit der WAP-Anwendung oder dem ADFS-Server vor.If the sign in works successfully when using Fiddler, you may have a certificate issue with either the WAP application or the ADFS server. Sie können dann mit einem Tool wie Microsoft Message Analyzer überprüfen, ob die Zertifikate gültig sind.You can use a tool such as Microsoft Message Analyzer to verify if the certificates are valid.

Nächste SchritteNext steps

Registrieren eines Dienstprinzipalnamens (SPN) für einen BerichtsserverRegister a Service Principal Name (SPN) for a Report Server
Ändern einer Reporting Services-Konfigurationsdatei (RSreportserver.config)Modify a Reporting Services Configuration File
Konfigurieren der Windows-Authentifizierung auf dem BerichtsserverConfigure Windows Authentication on a Report Server
Active Directory-VerbunddiensteActive Directory Federation Services
Webanwendungsproxy in Windows Server 2016Web Application Proxy in Windows Server 2016
Veröffentlichen von Anwendungen mit AD FS-VorauthentifizierungPublishing Applications using AD FS Preauthentication
Konfigurieren von AD FS 2016 und Azure MFAConfigure AD FS 2016 and Azure MFA
Weitere Fragen?More questions? Wenden Sie sich an die Power BI-CommunityTry the Power BI Community