Authentifizierung in Desktop-Anwendungen

  • Artikel

Wenn Sie zum ersten Mal versuchen, über einen neuen Connector eine Verbindung zu einer Datenquelle herzustellen, werden Sie möglicherweise aufgefordert, die Authentifizierungsmethode auszuwählen, die beim Zugriff auf die Daten verwendet werden soll. Nachdem Sie die Authentifizierungsmethode ausgewählt haben, werden Sie nicht mehr aufgefordert, mithilfe der angegebenen Verbindungsparameter eine Authentifizierungsmethode für den Connector auszuwählen. Wenn Sie die Authentifizierungsmethode jedoch später ändern müssen, können Sie dies tun.

Authentifizierungsmethode auswählen

Verschiedene Connectors zeigen unterschiedliche Authentifizierungsmethoden an. Beispielsweise zeigt der OData-Feed-Connector in Power BI Desktop und Excel das folgende Dialogfeld für die Authentifizierungsmethode an.

Screenshot des Authentifizierungsdialogfelds für einen OData-Feed in Power Query Desktop.

Wenn Sie einen Connector aus einer Online-App verwenden, z. B. den Power BI-Dienst oder Power Apps, wird in Power Query ein Dialogfeld zur Authentifizierungsmethode für den OData-Feed-Connector angezeigt, der ungefähr wie in der folgende Abbildung aussieht.

Screenshot der Fenster zum Verbinden von Datenquellen für den OData-Connector in Power Query Online.

Wie Sie sehen, bietet eine Online-App eine andere Auswahl an Authentifizierungsmethoden. Außerdem werden Sie in der Online-App bei einigen Connectors möglicherweise aufgefordert, den Namen eines lokalen Datengateways einzugeben, um eine Verbindung zu Ihren Daten herstellen zu können. Weitere Informationen zur Authentifizierung in Power Query Online können erhalten Sie unter Verbindungen und Authentifizierung in Power Query Online aufrufen.

Ebene der Authentifizierungsmethode festlegen

Bei Connectors, die die Eingabe einer URL erfordern, werden Sie aufgefordert, die Ebene auszuwählen, auf die die Authentifizierungsmethode angewendet werden soll. Wenn Sie beispielsweise den Web-Connector mit einer URL von https://contoso.com/2020data/List_of_countries_and_capitals auswählen, lautet die Standardeinstellung für die Authentifizierungsmethode https://contoso.com.

Screenshot des Authentifizierungsdialogfelds, wobei die Ebenenauswahl angezeigt wird und die Ebene auf die Standardeinstellung festgelegt ist.

Die Ebene, die Sie für die Authentifizierungsmethode auswählen, die Sie für diesen Connector ausgewählt haben, bestimmt, auf welchen Teil einer URL die Authentifizierungsmethode angewendet wird. Wenn Sie die Webadresse der obersten Ebene auswählen, wird die für diesen Connector ausgewählte Authentifizierungsmethode für diese URL-Adresse oder jede Unteradresse innerhalb dieser Adresse verwendet.

Möglicherweise möchten Sie die Adresse der obersten Ebene jedoch nicht auf eine bestimmte Authentifizierungsmethode festlegen, da unterschiedliche Unteradressen möglicherweise unterschiedliche Authentifizierungsmethoden erfordern. Ein Beispiel könnte sein, dass Sie auf zwei separate Ordner einer einzelnen SharePoint-Website zugreifen und für den Zugriff auf jeden einzelnen unterschiedliche Microsoft-Konten verwenden möchten.

Nachdem Sie die Authentifizierungsmethode für die spezifische Adresse eines Connectors festgelegt haben, müssen Sie die Authentifizierungsmethode für diesen Connector nicht mehr mithilfe dieser URL-Adresse oder einer anderen Unteradresse auswählen. Angenommen, Sie wählen die Adresse https://contoso.com/ als Ebene aus, auf die die Web-Connector-URL-Einstellungen angewendet werden sollen. Wenn Sie einen Web-Connector verwenden, um auf eine Webseite zuzugreifen, die mit dieser Adresse beginnt, müssen Sie die Authentifizierungsmethode nicht erneut auswählen.

Die Authentifizierungsmethode ändern

Wenn Power Query eine Reihe von Verbindungseinstellungen erkennt, wird normalerweise versucht, im entsprechenden Anmeldeinformationsspeicher nachzuschlagen, um festzustellen, ob eine Verbindung mit diesen Einstellungen übereinstimmt. Wenn dies der Fall ist, wird diese Verbindung automatisch ausgewählt. In einigen Fällen müssen Sie jedoch möglicherweise die Authentifizierungsmethode ändern, die Sie in einem Connector verwenden, um auf eine bestimmte Datenquelle zuzugreifen.

So bearbeiten Sie die Authentifizierungsmethode in Power BI Desktop oder Excel:

  1. Führen Sie eines der folgenden Verfahren aus:

    • Wählen Sie in Power BI Desktop auf der Registerkarte Datei das Element Optionen und Einstellungen>Datenquelleneinstellungen aus.

      Screenshot des Bereichs der Dateiregisterkarte „Power BI Desktop“ mit hervorgehobenen Optionen, Einstellungen und Datenquelleneinstellungen.

    • Wählen Sie in Excel auf der Registerkarte Daten die Option Daten abrufen>Datenquelleneinstellungen aus.

      Screenshot der Excel-Arbeitsmappe mit hervorgehobener Option für Datenquelleneinstellungen.

  2. Wählen Sie im Dialogfeld Datenquelleneinstellungen die Option Globale Berechtigungen und dann die Datenquelle, auf der Sie die Berechtigungseinstellung ändern möchten, und anschließend Berechtigungen bearbeiten aus.

  3. Wählen Sie im Dialogfeld Berechtigungen bearbeiten unter Anmeldeinformationen die Option Bearbeiten aus.

    Screenshot des Dialogfelds „Berechtigungen bearbeiten“ mit Orten zum Ändern der Anmeldeinformationen und der Datenschutzebene.

  4. Ändern Sie die Anmeldeinformationen in den von der Datenquelle erforderlichen Typ, wählen Sie Speichern und dann OK aus.

Sie können die Anmeldeinformationen für eine bestimmte Datenquelle auch in Schritt 3 löschen, indem Sie für eine ausgewählte Datenquelle Berechtigungen löschen oder Alle Berechtigungen löschen für alle aufgeführten Datenquellen auswählen.

Verbinden mit Microsoft Entra ID mithilfe der Web- und OData-Connectors

Wenn Sie eine Verbindung mit Datenquellen und Diensten herstellen, die eine Authentifizierung über OAuth oder eine Microsoft Entra ID-basierte Authentifizierung erfordern, können Sie in bestimmten Fällen, in denen der Dienst ordnungsgemäß konfiguriert ist, den integrierten Web- oder OData-Connector verwenden, um Daten zu authentifizieren und zu verbinden, ohne dass ein dienstspezifischer oder benutzerdefinierter Connector erforderlich ist.

In diesem Abschnitt werden Verbindungssymptome beschrieben, wenn der Dienst nicht ordnungsgemäß konfiguriert ist. Darüber hinaus enthält er Informationen darüber, wie Power Query mit dem Dienst interagiert, wenn er ordnungsgemäß konfiguriert ist.

Symptome, wenn der Dienst nicht ordnungsgemäß konfiguriert ist

Möglicherweise tritt der Fehler Wir konnten keine Verbindung herstellen, da dieser Anmeldeinformationstyp für diese Ressource nicht unterstützt wird auf. Dieser Fehler bedeutet, dass Ihr Dienst den Authentifizierungstyp nicht unterstützt.

Ein Beispiel, in dem dieser Fehler auftreten kann, befindet sich im Northwind OData-Dienst.

  1. Geben Sie den Northwind-Endpunkt in die Erfahrung „Daten abrufen“ mit dem OData-Connector ein.

    Screenshot des OData-Feeds zum Abrufen von Daten, wobei die Northwind-Website als URL eingegeben wurde.

  2. Wählen Sie OK aus, um die Authentifizierungsumgebung einzugeben. Normalerweise würden Sie Anonym verwenden, da Northwind kein authentifizierter Dienst ist. Um zu veranschaulichen, dass Microsoft Entra ID nicht unterstützt wird, wählen Sie Organisationskonto und dann Anmelden aus.

    Screenshot des Authentifizierungsdialogfelds mit ausgewählter Registerkarte „Organisationskonto“.

  3. Es wird ein Fehler angezeigt, der darauf hinweist, dass die OAuth- oder Microsoft Entra ID-Authentifizierung im Dienst nicht unterstützt wird.

    Screenshot des Authentifizierungsdialogfelds, in dem die Fehlermeldung angezeigt wird, dass keine Verbindung hergestellt werden kann.

Unterstützter Workflow

Ein Beispiel für einen unterstützten Dienst, der ordnungsgemäß mit OAuth funktioniert, ist CRM. Beispiel: https://contoso.crm.dynamics.com/api/data/v8.2.

  1. Geben Sie die URL in die Erfahrung „Daten abrufen“ mit dem OData-Connector ein.

    Screenshot des OData-Feeds zum Abrufen von Daten, wobei die CRM-Adresse als URL eingegeben wurde.

  2. Wählen Sie Organisationskonto und dann Anmelden aus, um fortzufahren und eine Verbindung mit OAuth herzustellen.

    Screenshot des Authentifizierungsdialogfelds mit ausgewähltem Organisationskonto. Die Anmeldung kann erfolgen.

  3. Die Anforderung ist erfolgreich und der OAuth-Flow ermöglicht Ihnen weiterhin eine erfolgreiche Authentifizierung.

    Screenshot des Authentifizierungsdialogfelds mit ausgewähltem Organisationskonto und erfolgreich angemeldetem Benutzer.

Wenn Sie oben in Schritt 2 Anmelden auswählen, sendet Power Query eine Anforderung an den bereitgestellten URL-Endpunkt mit einem Autorisierungsheader mit einem leeren Bearertoken.

GET https://contoso.crm.dynamics.com/api/data/v8.2 HTTP/1.1
Authorization: Bearer
User-Agent: Microsoft.Data.Mashup (https://go.microsoft.com/fwlink/?LinkID=304225)
Host: pbi.crm.dynamics.com
Connection: Keep-Alive

Anschließend wird erwartet, dass der Dienst mit einer 401-Antwort mit einem WWW-Authenticate-Header antwortet, der den zu verwendenden Microsoft Entra ID-Autorisierungs-URI angibt. Diese Antwort sollte den Mandanten enthalten, bei dem Sie sich anmelden möchten, oder /common/, wenn die Ressource keinem bestimmten Mandanten zugeordnet ist.

HTTP/1.1 401 Unauthorized
Cache-Control: private
Content-Type: text/html
Server: 
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/3df2eaf6-33d0-4a10-8ce8-7e596000ebe7/oauth2/authorize 
Date: Wed, 15 Aug 2018 15:02:04 GMT
Content-Length: 49

Power Query kann dann den OAuth-Flow für authorization_uri initiieren. Power Query fordert einen Microsoft Entra ID-Ressourcen- oder Zielgruppenwert an, der der Domäne der angeforderten URL entspricht. Dieser Wert würde dem Wert entsprechen, den Sie für den URL-Wert Ihrer Azure-Anwendungs-ID in Ihrer API-/Dienstregistrierung verwenden. Wenn Sie z. B. auf https://api.myservice.com/path/to/data/api zugreifen, erwartet Power Query, dass der URL-Wert Ihrer Anwendungs-ID gleich https://api.myservice.com ist.

Wenn Sie mehr Kontrolle über den OAuth-Flow benötigen (z. B. wenn Ihr Dienst mit 302 anstatt von 401) antwortet oder wenn die URL Ihrer Anwendungs-ID oder der Microsoft Entra ID-Ressourcenwert nicht mit der URL Ihres Dienstes übereinstimmt, müssen Sie einen benutzerdefinierten Connector verwenden. Weitere Informationen zur Verwendung unseres integrierten Microsoft Entra ID-Flusses erhalten Sie unter Microsoft Entra ID-Authentifizierung.

Client-IDs für Microsoft Entra ID

Die folgenden Client-IDs für Microsoft Entra ID werden von Power Query verwendet. Je nach den allgemeinen Microsoft Entra ID-Einstellungen müssen Sie möglicherweise explizit zulassen, dass diese Client-IDs auf Ihren Dienst und Ihre API zugreifen können. Wechseln Sie zu Schritt 8 von Bereich hinzufügen, um weitere Details zu erhalten.

Client-ID Titel Beschreibung
a672d62c-fc7b-4e81-a576-e60dc46e951d Power Query für Excel Öffentlicher Client, der in Power BI Desktop und im Gateway verwendet wird
b52893c8-bc2e-47fc-918b-77022b299bbc Datenaktualisierung in Power BI Vertraulicher Client, der im Power BI-Dienst verwendet wird
7ab7862c-4c57-491e-8a45-d52a7e023983 Power Apps und Power Automate Vertraulicher Client, der in Power Apps und Power Automate verwendet wird