Verwenden von Kerberos für SSO (Single Sign-On, Einmaliges Anmelden) von Power BI bei lokalen DatenquellenUse Kerberos for SSO (single sign-on) from Power BI to on-premises data sources

Sie können nahtlose Verbindungen mit einmaligem Anmelden erreichen und für Power BI-Berichte und -Dashboards das Aktualisieren von lokalen Daten ermöglichen, indem Sie Ihr lokales Datengateway mit Kerberos konfigurieren.You can get seamless single sign-on connectivity, enabling Power BI reports and dashboards to update from on-premises data, by configuring your on-premises data gateway with Kerberos. Das lokale Datengateway ermöglicht das einmalige Anmelden über DirectQuery; hiermit werden Verbindungen mit lokalen Datenquellen hergestellt.The on-premises data gateway facilitates single sign-on (SSO) using DirectQuery, which it uses to connect to on-premises data sources.

Die folgenden Datenquellen werden derzeit unterstützt – SQL Server, SAP HANA und Teradata, alle auf Grundlage der eingeschränkten Kerberos-Delegierung.The following data sources are currently supported, SQL Server, SAP HANA, and Teradata, all based on Kerberos Constrained Delegation.

  • SQL ServerSQL Server
  • SAP HANASAP HANA
  • TeradataTeradata

Wenn ein Benutzer mit einem DirectQuery-Bericht im Power BI-Dienst interagiert, kann jeder Kreuzfilter-, Segmentierungs-, Sortier- und Berichtsbearbeitungsvorgang Abfragen bewirken, die live für die zugrunde liegende Datenquelle ausgeführt werden.When a user interacts with a DirectQuery report in the Power BI Service, each cross-filter, slice, sorting, and report editing operation can result in queries executing live against the underlying on-premises data source. Wenn das einmalige Anmelden für die Datenquelle konfiguriert ist, werden Abfragen unter der Identität des Benutzers ausgeführt, der mit Power BI interagiert (d.h. über die Webumgebung oder mobile Power BI-Apps).When single sign-on is configured for the data source, queries execute under the identity of the user interacting with Power BI (that is, through the web experience or Power BI mobile apps). Somit sieht jeder Benutzer genau die Daten, für die er in der zugrunde liegenden Datenquelle über Berechtigungen verfügt – bei aktiviertem einmaligen Anmelden erfolgt keine Zwischenspeicherung freigegebener Daten für verschiedene Benutzer.Thereby, each user sees precisely the data for which they have permissions in the underlying data source – with single sign-on configured, there is no shared data caching across different users.

Ausführen einer Abfrage mit SSO – ausgeführte SchritteRunning a query with SSO - steps that occur

Eine mit SSO ausgeführte Abfrage umfasst drei Schritte, wie in der folgenden Abbildung veranschaulicht.A query that runs with SSO consists of three steps, as shown in the following diagram.

Hinweis

SSO für Oracle ist noch nicht aktiviert, befindet sich jedoch in der Entwicklung und ist in Kürze verfügbar.SSO for Oracle is not enabled yet, but is under development and coming soon.

Es folgen weitere Details zu diesen Schritten:Here are additional details about those steps:

  1. Für jede Abfrage schließt der Power BI-Dienst beim Senden einer Abfrageanforderung an das konfigurierte Gateway den Benutzerprinzipalnamen (UPN) ein.For each query, the Power BI service includes the user principal name (UPN) when sending a query request to the configured gateway.
  2. Das Gateway muss den Azure Active Directory-UPN einer lokalen Active Directory-Identität zuordnen.The gateway needs to map the Azure Active Directory UPN to a local Active Directory identity.

    a.a. Wenn AAD DirSync (auch als AAD Connect bezeichnet) konfiguriert ist, erfolgt die Zuordnung automatisch im Gateway.If AAD DirSync (also known as AAD Connect) is configured, then the mapping works automatically in the gateway.

    b.b. Andernfalls kann das Gateway den Azure AD-UPN suchen und einem lokalen Benutzer zuordnen. Dies erfolgt durch eine Suche in der lokalen Active Directory-Domäne.Otherwise, the gateway can look up and map the Azure AD UPN to a local user by performing a lookup against the local Active Directory domain.

  3. Der Prozess des Gatewaydiensts nimmt die Identität des zugeordneten lokalen Benutzers an, öffnet die Verbindung mit der zugrunde liegenden Datenbank und sendet die Abfrage.The gateway service process impersonates the mapped local user, opens the connection to the underlying database and sends the query. Das Gateway muss nicht auf denselben Computern wie die Datenbank installiert sein.The gateway does not need to be installed on the same machine as the database.

    • Der Benutzeridentitätswechsel und die Verbindung mit der Datenbank sind nur erfolgreich, wenn das Gatewaydienstkonto ein Domänenkonto (oder eine Dienst-SID) ist und wenn die eingeschränkte Kerberos-Delegierung für die Datenbank so konfiguriert wurde, dass Kerberos-Tickets aus dem Gatewaydienstkonto akzeptiert werden.The user impersonation and connection to the database is only successful if the gateway service account is a domain account (or service SID), and if Kerberos constrained delegation was configured for the database to accept Kerberos tickets from the gateway service account.

    Hinweis

    Wenn AAD DirSync/Connect konfiguriert ist und Benutzerkonten synchronisiert sind, muss der Gatewaydienst keine lokalen AD-Suchvorgänge zur Laufzeit ausführen, und Sie können die lokale Dienst-SID (statt eines Domänenkontos) für den Gatewaydienst verwenden.Regarding the service sid, if AAD DirSync / Connect is configured and user accounts are synchronized, the gateway service does not need perform local AD lookups at runtime, and you can use the local Service SID (instead of requiring a domain account) for the gateway service. Die in diesem Dokument beschriebenen Schritte für die Konfiguration der eingeschränkten Kerberos-Delegierung sind identisch (sie basieren lediglich auf der Dienst-SID und nicht auf dem Domänenkonto).The Kerberos constrained delegation configuration steps outlined in this document are the same (just applied based on the service SID, instead of domain account).

Hinweis

Zum Aktivieren von SSO für SAP HANA müssen Sie die folgenden beiden HANA-spezifischen Konfigurationskorrekturen für SAP anwenden:To enable SSO for SAP HANA, you need to apply the following two HANA-specific configuration fixes to SAP:

  1. Führen Sie ein Upgrade des SAP HANA-Servers mit dem HANA-Patch 122.13 durch, der von SAP Ende Oktober 2017 veröffentlicht wurde.Upgrade SAP HANA server with SAP’s HANA Patch 122.13, released by SAP at the end of October 2017.
  2. Installieren Sie auf dem Gatewaycomputer den aktuellen HANA-ODBC-Treiber von SAP.On the gateway machine, install SAP’s latest HANA ODBC driver. Die Mindestversion ist die HANA-ODBC-Version 2.00.020.00 vom August 2017.The minimum version is HANA ODBC version 2.00.020.00 from August 2017.

Fehler aufgrund einer unzureichenden Kerberos-KonfigurationErrors from an insufficient Kerberos configuration

Wenn der zugrunde liegende Datenbankserver und das Gateway nicht ordnungsgemäß für die eingeschränkte Kerberos-Delegierung konfiguriert sind, kann die folgende Fehlermeldung ausgegeben werden:If the underlying database server and gateway are not configured properly for Kerberos Constrained Delegation, you may receive the following error message:

Die technischen Details der Fehlermeldung können wie folgt aussehen:And the technical details associated with the error message may look like the following:

Infolgedessen kann das Gateway aufgrund der unzureichenden Kerberos-Konfiguration nicht die Identität des ursprünglichen Benutzers annehmen, und mit der Datenbank kann keine Verbindung hergestellt werden.The result is that the because of insufficient Kerberos configuration, the gateway could not impersonate the originating user properly, and the database connection attempt failed.

Vorbereiten für die eingeschränkte Kerberos-DelegierungPreparing for Kerberos Constrained Delegation

Für die ordnungsgemäße Funktion der eingeschränkten Kerberos-Delegierung müssen verschiedene Elemente konfiguriert werden, u.a. Dienstprinzipalnamen (SPN) und Delegierungseinstellungen für Dienstkonten.Several items must be configured in order for Kerberos Constrained Delegation to work properly, including Service Principal Names (SPN) and delegation settings on service accounts.

Voraussetzung 1: Installieren und Konfigurieren des lokalen DatengatewaysPrerequisite 1: Install & configure the on-premises data gateway

Diese Version des lokalen Datengateways unterstützt das direkte Upgrade sowie die Übernahme der Einstellungen von vorhandenen Gateways.This release of the on-premises data gateway supports an in-place upgrade, as well as settings take-over of existing gateways.

Voraussetzung 2: Ausführen des Gateway-Windows-Diensts als DomänenkontoPrerequisite 2: Run the gateway Windows service as a domain account

In einer Standardinstallation wird das Gateway als Dienstkonto des lokalen Computers (speziell NT Service\PBIEgwService) ausgeführt; siehe folgende Abbildung:In a standard installation, the gateway runs as a machine-local service account (specifically, NT Service\PBIEgwService) such as what's shown in the following image:

Zum Aktivieren der eingeschränkten Kerberos-Delegierung muss das Gateway als Domänenkonto ausgeführt werden, es sei denn, Ihr AAD ist bereits mit dem lokalen Active Directory synchronisiert (mit AAD DirSync/Connect).To enable Kerberos Constrained Delegation, the gateway must run as a domain account, unless your AAD is already synchronized with your local Active Directory (using AAD DirSync/Connect). Es gibt zwei Möglichkeiten, diesen Kontowechsel ordnungsgemäß vorzunehmen:For this account change to work correctly, you have two options:

  • Wenn Sie mit einer früheren Version des lokalen Datengateways begonnen haben, führen Sie alle fünf Schritte genau in der vorgeschriebenen Reihenfolge aus (u.a. Ausführen der Gatewaykonfiguration in Schritt 3), die im folgenden Artikel beschrieben werden:If you started with a previous version of the on-premises data gateway, follow precisely all five steps in sequence (including running the gateway configurator in step 3) described in the following article:

    • Ändern des Gatewaydienstkontos in einen DomänenbenutzerChanging the gateway service account to a domain user
    • Wenn Sie die Vorschauversion des lokalen Datengateways bereits installiert haben, können Sie nun die Dienstkonten direkt über die Benutzeroberfläche aus der Konfiguration des Gateways ändern.If you already installed the Preview version of the on-premises data gateway, there is a new UI-guided approach to switch service accounts directly from within the gateway’s configurator. Weitere Informationen hierzu finden Sie unter Umstellen des Gateways auf ein Domänenkonto am Ende dieses Artikels.See the Switching the gateway to a domain account section near the end of this article.

Hinweis

Wenn AAD DirSync/Connect konfiguriert ist und Benutzerkonten synchronisiert sind, muss der Gatewaydienst keine lokalen AD-Suchvorgänge zur Laufzeit ausführen, und Sie können die lokale Dienst-SID (statt eines Domänenkontos) für den Gatewaydienst verwenden.If AAD DirSync / Connect is configured and user accounts are synchronized, the gateway service does not need to perform local AD lookups at runtime, and you can use the local Service SID (instead of requiring a domain account) for the gateway service. Die in diesem Artikel beschriebenen Schritte für die Konfiguration der eingeschränkten Kerberos-Delegierung sind identisch mit denen dieser Konfiguration (sie basieren lediglich auf der Dienst-SID und nicht auf dem Domänenkonto).The Kerberos Constrained Delegation configuration steps outlined in this article are the same as that configuration (they are simply applied based on the service SID, instead of domain account).

Voraussetzung 3: Vorhandene Domänenadministratorrechte zum Konfigurieren von SPNs (SetSPN) und Einstellungen für die eingeschränkte Kerberos-DelegierungPrerequisite 3: Have domain admin rights to configure SPNs (SetSPN) and Kerberos Constrained Delegation settings

Zwar ist es für einen Domänenadministrator möglich, anderen Personen vorübergehend oder dauerhaft Rechte zum Konfigurieren von SPNs und der Kerberos-Delegierung zu gewähren, ohne dass dafür Domänenadministratorrechte benötigt werden. Diese Vorgehensweise ist jedoch nicht ratsam.While it is technically possible for a domain administrator to temporarily or permanently allow rights to someone else to configure SPNs and Kerberos delegation, without requiring domain admin rights, that's not the recommended approach. Im folgenden Abschnitt werden die erforderlichen Schritte für Voraussetzung 3 ausführlich erläutert.In the following section, the configuration steps necessary for Pre-requisite 3 in detail.

Konfigurieren der eingeschränkten Kerberos-Delegierung für das Gateway und die DatenquelleConfiguring Kerberos Constrained Delegation for the gateway and data source

Um das System ordnungsgemäß zu konfigurieren, müssen die folgenden zwei Elemente konfiguriert bzw. überprüft werden:To properly configure the system, we need to configure or validate the following two items:

  1. Konfigurieren Sie ggf. einen SPN für das Domänenkonto des Gatewaydiensts (sofern noch keine erstellt wurden).If needed, configure an SPN for the gateway service domain account (if none are created yet).
  2. Konfigurieren Sie Delegierungseinstellungen für das Domänenkonto des Gatewaydiensts.Configure delegation settings on the gateway service domain account.

Beachten Sie, dass Sie zum Ausführen dieser beiden Konfigurationsschritte Domänenadministrator sein müssen.Note that you must be a domain administrator to perform those two configuration steps.

In den folgenden Abschnitten werden diese Schritte beschrieben.The following sections describe these steps in turn.

Konfigurieren eines SPN für das GatewaydienstkontoConfigure an SPN for the gateway service account

Bestimmen Sie zunächst, ob bereits ein SPN für das Domänenkonto erstellt wurde, das als Gatewaydienstkonto verwendet wird; führen Sie dabei jedoch diese Schritte aus:First, determine whether an SPN was already created for the domain account used as the gateway service account, but following these steps:

  1. Starten Sie Active Directory-Benutzer und -Computer als Domänenadministrator.As a domain administrator, launch Active Directory Users and Computers
  2. Klicken Sie mit der rechten Maustaste auf die Domäne, wählen Sie Suchen aus, und geben Sie den Kontonamen des Gatewaydienstkontos ein.Right-click on the domain, select Find, and type in the account name of the gateway service account
  3. Klicken Sie im Suchergebnis mit der rechten Maustaste auf das Gatewaydienstkonto, und wählen Sie Eigenschaften aus.In the search result, right-click on the gateway service account and select Properties.

    • Wenn im Dialogfeld Eigenschaften die Registerkarte Delegierung angezeigt wird, wurde bereits ein SPN erstellt, und Sie können mit dem nächsten Unterabschnitt zum Konfigurieren der Delegierungseinstellungen fortfahren.If the Delegation tab is visible on the Properties dialog, then an SPN was already created and you can jump ahead to the next subsection about configuring Delegation settings.

Ist im Dialogfeld Eigenschaften keine Registerkarte Delegierung vorhanden, können Sie manuell einen SPN für das Konto erstellen, wodurch die Registerkarte Delegierung hinzugefügt wird (diese bietet die einfachste Möglichkeit, Delegierungseinstellungen zu konfigurieren).If there is no Delegation tab on the Properties dialog, you can manually create an SPN on that account which adds the Delegation tab (that is the easiest way to configure delegation settings). Sie können einen SPN mit dem setspn-Tool von Windows erstellen (Sie benötigen Domänenadministratorrechte, um den SPN zu erstellen).Creating an SPN can be done using the setspn tool that comes with Windows (you need domain admin rights to create the SPN).

Angenommen, das Gatewaydienstkonto heißt „PBIEgwTest\GatewaySvc“, während der Name des Computers, auf dem der Gatewaydienst ausgeführt wird, Machine1 lautet.For example, imagine the gateway service account is “PBIEgwTest\GatewaySvc”, and the machine name with the gateway service running is called Machine1. Zum Festlegen des SPN für das Gatewaydienstkonto für den Computer in diesem Beispiel führen Sie den folgenden Befehl aus:To set the SPN for the gateway service account for that machine in this example, you would run the following command:

Ist dieser Schritt abgeschlossen, können wir mit dem Konfigurieren von Delegierungseinstellungen fortfahren.With that step completed, we can move on to configuring delegation settings.

Konfigurieren von Delegierungseinstellungen für das GatewaydienstkontoConfigure delegation settings on the gateway service account

Die zweite Konfigurationsvoraussetzung sind die Delegierungseinstellungen für das Gatewaydienstkonto.The second configuration requirement is the delegation settings on the gateway service account. Es gibt verschiedene Tools, mit denen Sie diese Schritte ausführen können.There are multiple tools you can use to perform these steps. In diesem Artikel verwenden wir Active Directory-Benutzer und -Computer, ein Snap-In der MMC (Microsoft Management Console), mit dem Sie Informationen im Verzeichnis verwalten und veröffentlichen können; dieses Tool ist auf Domänencontrollern standardmäßig verfügbar.In this article, we'll use Active Directory Users and Computers, which is a Microsoft Management Console (MMC) snap-in that you can use to administer and publish information in the directory, and available on domain controllers by default. Sie können es über die Konfiguration von Windows-Funktionen auf anderen Computern aktivieren.You can also enable it through Windows Feature configuration on other machines.

Wir müssen die eingeschränkte Kerberos-Delegierung mit Protokollübertragung konfigurieren.We need to configure Kerberos Constrained Delegation with protocol transiting. Bei der eingeschränkten Delegierung müssen die Dienste explizit angegeben werden, an die delegiert werden soll – so akzeptieren z.B. nur Ihr SQL Server oder Ihr SAP HANA-Server Delegierungsaufrufe vom Gatewaydienstkonto.With constrained delegation, you must be explicit with which services you want to delegate to – for example, only your SQL Server or your SAP HANA server will accept delegation calls from the gateway service account.

In diesem Abschnitt wird davon ausgegangen, dass Sie bereits SPNs für die zugrunde liegenden Datenquellen (wie SQL Server, SAP HANA, Teradata usw.) konfiguriert haben.This section assumes you have already configured SPNs for your underlying data sources (such as SQL Server, SAP HANA, Teradata, so on). Informationen zum Konfigurieren der SPNs für diese Datenquellenserver finden Sie in der technischen Dokumentation für den jeweiligen Datenbankserver.To learn how to configure those data source server SPNs, please refer to technical documentation for the respective database server. Sie können auch den Blogbeitrag mit dem Abschnitt What SPN does your app require? (Welchen SPN benötigt Ihre App?) lesen.You can also look at the blog post that describes What SPN does your app require?

In den folgenden Schritten wird von einer lokalen Umgebung mit zwei Computern ausgegangen: ein Gatewaycomputer und ein Datenbankserver (SQL Server-Datenbank). Für das Beispiel werden zudem die folgenden Einstellungen und Namen angenommen:In the following steps we assume an on-premises environment with two machines: a gateway machine and a database server (SQL Server database), and for the sake of this example we'll also assume the following settings and names:

  • Gatewaycomputername: PBIEgwTestGWGateway machine name: PBIEgwTestGW
  • Gatewaydienstkonto: PBIEgwTest\GatewaySvc (Kontoanzeigename: Gateway Connector)Gateway service account: PBIEgwTest\GatewaySvc (account display name: Gateway Connector)
  • Computername der SQL Server-Datenquelle: PBIEgwTestSQLSQL Server data source machine name: PBIEgwTestSQL
  • Dienstkonto der SQL Server-Datenquelle: PBIEgwTest\SQLServiceSQL Server data source service account: PBIEgwTest\SQLService

Für diese Beispielnamen und -einstellungen sind folgende Konfigurationsschritte auszuführen:Given those example names and settings, the configuration steps are the following:

  1. Starten Sie mit Domänenadministratorrechten Active Directory-Benutzer und -Computer.With domain administrator rights, launch Active Directory Users and Computers.
  2. Klicken Sie mit der rechten Maustaste auf das Gatewaydienstkonto (PBIEgwTest\GatewaySvc), und wählen Sie Eigenschaften aus.Right-click on the gateway service account (PBIEgwTest\GatewaySvc) and select Properties.
  3. Wählen Sie die Registerkarte Delegierung aus.Select the Delegation tab.
  4. Wählen Sie Computer nur bei Delegierungen angegebener Dienste vertrauen aus.Select Trust this computer for delegation to specified services only.
  5. Wählen Sie dann Beliebiges Authentifizierungsprotokoll verwenden aus.Select Use any authentication protocol.
  6. Klicken Sie unter Dienste, für die dieses Konto delegierte Anmeldeinformationen verwenden kann auf Hinzufügen.Under the Services to which this account can present delegated credentials: select Add.
  7. Wählen Sie im Dialogfeld „Neu“ Benutzer oder Computer aus.In the new dialog, select Users or Computers.
  8. Geben Sie das Dienstkonto für den SQL Server-Datenbankdienst (PBIEgwTest\SQLService) ein, und klicken Sie auf OK.Enter the service account for the SQL Server Database service (PBIEgwTest\SQLService) and select OK.
  9. Wählen Sie den SPN aus, den Sie für den Datenbankserver erstellt haben.Select the SPN that you created for the database server. In unserem Beispiel beginnt der SPN mit MSSQLSvc.In our example, the SPN will begin with MSSQLSvc. Wenn Sie sowohl den FQDN als auch den NetBIOS-SPN für den Datenbankdienst hinzugefügt haben, wählen Sie beide aus.If you added both the FQDN and the NetBIOS SPN for your database service, select both. Ggf. wird nur einer angezeigt.You may only see one.
  10. Klicken Sie auf OK.Select OK. Der SPN sollte jetzt in der Liste angezeigt werden.You should see the SPN in the list now.
  11. Wahlweise können Sie Erweitert auswählen, um den FQDN und den NetBIOS-SPN anzuzeigen.Optionally, you can select Expanded to show both the FQDN and NetBIOS SPN in
  12. Das angezeigte Dialogfeld ähnelt dem Folgenden, wenn Sie Erweitert aktiviert haben.The dialog will look similar to the following if you checked Expanded.

  13. Wählen Sie OKaus.Select OK.

    Schließlich muss dem Gatewaydienstkonto auf dem Computer, auf dem der Gatewaydienst (PBIEgwTestGW in unserem Beispiel) ausgeführt werden, die lokale Richtlinie „Annehmen der Clientidentität nach Authentifizierung“ gewährt werden.Finally, on the machine running the gateway service (PBIEgwTestGW in our example), the gateway service account must be granted the local policy “Impersonate a client after authentication”. Sie können dies mit dem lokalen Gruppenrichtlinien-Editor (gpedit) ausführen/überprüfen.You can perform/verify this with the Local Group Policy Editor (gpedit).

  14. Führen Sie auf dem Gatewaycomputer Folgendes aus: gpedit.mscOn the gateway machine, run: gpedit.msc
  15. Navigieren Sie zu Richtlinie für „Lokaler Computer“ > Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten, wie in der folgenden Abbildung veranschaulicht.Navigate to Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment, as shown in the following image.

  16. Wählen Sie in der Liste der Richtlinien unter Zuweisen von Benutzerrechten den Eintrag Annehmen der Clientidentität nach Authentifizierung aus.From the list of policies under User Rights Assignment, select Impersonate a client after authentication.

    Klicken Sie mit der rechten Maustaste, und öffnen Sie das Dialogfeld Eigenschaften für Annehmen der Clientidentität nach Authentifizierung, und überprüfen Sie die Liste der Konten.Right-click and open the Properties for Impersonate a client after authentication and check the list of accounts. Sie muss das Gatewaydienstkonto (PBIEgwTest\GatewaySvc) enthalten.It must include the gateway service account (PBIEgwTest\GatewaySvc).

  17. Wählen Sie in der Liste der Richtlinien unter Zuweisen von Benutzerrechten den Eintrag Als Teil des Betriebssystems fungieren (SeTcbPrivilege) aus.From the list of policies under User Rights Assignment, select Act as part of the operating system (SeTcbPrivilege). Vergewissern Sie sich, dass das Gatewaydienstkonto auch in der Liste der Konten aufgeführt wird.Ensure that the gateway service account is included in the list of accounts as well.
  18. Starten Sie den Dienstprozess Lokales Datengateway neu.Restart the on-premises data gateway service process.

Ausführen eines Power BI-BerichtsRunning a Power BI report

Nachdem alle zuvor in diesem Artikel beschriebenen Konfigurationsschritte ausgeführt wurden, können Sie auf der Seite Gateways verwalten in Power BI die Datenquelle konfigurieren und dort unter Erweiterte Einstellungen das einmalige Anmelden aktivieren und anschließend an die betreffende Datenquelle gebundene Berichte und Datasets veröffentlichen.After all the configuration steps outlined earlier in this article have been completed, you can use the Manage Gateway page in Power BI to configure the data source, and under its Advanced Settings, enable SSO, then publish reports and datasets binding to that data source.

Diese Konfiguration funktioniert in den meisten Fällen.This configuration will work in most cases. Bei Kerberos können jedoch je nach Umgebung unterschiedliche Konfigurationen vorhanden sein.However, with Kerberos there can be different configurations depending on your environment. Wenn der Bericht immer noch nicht geladen wird, wenden Sie sich an Ihren Domänenadministrator, um das Problem zu untersuchen.If the report still won't load, you'll need to contact your domain administrator to investigate further.

Umstellen des Gateways auf ein DomänenkontoSwitching the gateway to a domain account

An früherer Stelle in diesem Artikel wurde das Umstellen des Gateways von einem lokalen Dienstkonto auf die Ausführung als Domänenkonto beschrieben; hierbei wurde die Benutzeroberfläche des lokalen Datengateways verwendet.Earlier in this article, we discussed switching the gateway from a local service account to run as a domain account, using the on-premises data gateway user interface. Im Folgenden werden die dazu benötigten Schritte erläutert.Here are the steps necessary to do so.

  1. Starten Sie das Konfigurationstool Lokales Datengateway.Launch the on-premises data gateway configuration tool.

  2. Klicken Sie auf der Hauptseite auf die Schaltfläche Anmelden, und melden Sie sich mit Ihrem Power BI-Konto an.Select the Sign-in button on the main page, and sign in with your Power BI account.
  3. Wählen Sie nach abgeschlossener Anmeldung die Registerkarte Diensteinstellungen aus.After sign-in is completed, select the Service Settings tab.
  4. Klicken Sie auf Konto ändern, um die geführte exemplarische Vorgehensweise zu starten, wie in der folgenden Abbildung veranschaulicht.Click Change account to start the guided walk-through, as shown in the following figure.

Nächste SchritteNext steps

Weitere Informationen zum lokalen Datengateway und zu DirectQuery finden Sie in den folgenden Ressourcen:For more information about the on-premises data gateway and DirectQuery, check out the following resources: