Χρήση του OAuth για σύνδεση στον Power BI Report Server και τις SSRS

Μπορείτε να χρησιμοποιήσετε OAuth για να συνδεθείτε στον Power BI Report Server και τις Υπηρεσίες αναφοράς για να εμφανίσετε αναφορές για κινητές συσκευές ή KPI. Μάθετε πώς μπορείτε να ρυθμίσετε τις παραμέτρους του περιβάλλοντός σας ώστε να υποστηρίζει τον έλεγχο ταυτότητας OAuth με την εφαρμογή Power BI για κινητές συσκευές, για σύνδεση στον Power BI Report Server και Υπηρεσίες αναφοράς του SQL Server 2016 ή νεότερη έκδοση.

Σημείωμα

Η προβολή αναφορών Power BI στο Power BI Report Server με χρήση του WAP για τον έλεγχο ταυτότητας υποστηρίζεται τώρα για εφαρμογές iOS και Android.

Απαιτήσεις

Απαιτείται Windows Server 2016 για τους διακομιστές Web μεσολάβηση εφαρμογής (WAP) και Υπηρεσίες Active Directory Federation Services (ADFS). Δεν χρειάζεται να έχετε έναν τομέα λειτουργικού επιπέδου Windows 2016.

Προκειμένου οι χρήστες να μπορούν να προσθέσουν μια σύνδεση διακομιστή αναφορών στην εφαρμογή τους Power BI για κινητές συσκευές, πρέπει να τους εκχωρήσετε πρόσβαση στον κεντρικό φάκελο του διακομιστή αναφορών.

Ρύθμιση παραμέτρων υπηρεσιών ονόματος τομέα (DNS)

Η δημόσια διεύθυνση URL θα είναι εκείνη στην οποία θα συνδέεται η εφαρμογή Power BI για κινητές συσκευές. Για παράδειγμα, μπορεί να μοιάζει με το ακόλουθο.

https://reports.contoso.com

Η εγγραφή DNS σας για αναφορές στη δημόσια διεύθυνση IP του διακομιστή Web μεσολάβηση εφαρμογής (WAP). Πρέπει επίσης να ρυθμίσετε μια δημόσια εγγραφή DNS για τον διακομιστή ADFS σας. Για παράδειγμα, μπορεί να έχετε ρυθμίσει τον διακομιστή ADFS με την ακόλουθη διεύθυνση URL.

https://fs.contoso.com

Η εγγραφή DNS σας για fs στη δημόσια διεύθυνση IP του διακομιστή Web μεσολάβηση εφαρμογής (WAP), καθώς θα δημοσιεύεται ως μέρος της εφαρμογής WAP.

Πιστοποιητικά

Πρέπει να ρυθμίσετε πιστοποιητικά για την εφαρμογή WAP και για τον διακομιστή ADFS. Και τα δύο αυτά πιστοποιητικά πρέπει να είναι μέρος μιας έγκυρης αρχής πιστοποιητικών που αναγνωρίζεται από τις κινητές συσκευές σας.

Ρύθμιση παραμέτρων των Υπηρεσιών αναφοράς

Δεν υπάρχουν πολλά στοιχεία για ρύθμιση παραμέτρων στην πλευρά των Υπηρεσιών αναφοράς. Πρέπει απλώς να βεβαιωθείτε ότι:

• Υπάρχει ένα έγκυρο κύριο όνομα υπηρεσίας (SPN) για να ενεργοποιήσετε τον κατάλληλο έλεγχο ταυτότητας Kerberos.
• Ο διακομιστής Υπηρεσιών αναφοράς είναι ενεργοποιημένος για τη διαπραγμάτευση του ελέγχου ταυτότητας.
• Οι χρήστες έχουν πρόσβαση στον κεντρικό φάκελο του διακομιστή αναφορών.

Κύριο όνομα υπηρεσίας (SPN)

Το SPN είναι ένα μοναδικό αναγνωριστικό για μια υπηρεσία που χρησιμοποιεί έλεγχο ταυτότητας Kerberos. Πρέπει να βεβαιωθείτε ότι έχετε ένα κατάλληλο HTTP SPN για τον διακομιστή αναφορών σας.

Για πληροφορίες σχετικά με τον τρόπο ρύθμισης του κατάλληλου κύριου ονόματος υπηρεσίας (SPN) για τον διακομιστή αναφορών, ανατρέξτε στο θέμα Καταχώρηση κύριου ονόματος υπηρεσίας (SPN) για έναν διακομιστή αναφορών.

Ενεργοποίηση ελέγχου ταυτότητας με διαπραγμάτευση

Για να ενεργοποιήσετε έναν διακομιστή αναφορών για χρήση του ελέγχου ταυτότητας Kerberos, πρέπει να ρυθμίσετε τον τύπο ελέγχου ταυτότητας του διακομιστή αναφορών σε RSWindowsNegotiate. Το κάνετε στο αρχείο rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Για περισσότερες πληροφορίες, ανατρέξτε στα θέματα Τροποποίηση αρχείου ρύθμισης παραμέτρων των Υπηρεσιών αναφοράς και Ρύθμιση παραμέτρων του ελέγχου ταυτότητας των Windows σε έναν διακομιστή αναφορών.

Ρύθμιση παραμέτρων του Υπηρεσίες Active Directory Federation Services (ADFS)

Πρέπει να ρυθμίσετε τις παραμέτρους των ADFS σε έναν διακομιστή Windows 2016 μέσα στο περιβάλλον σας. Η ρύθμιση παραμέτρων μπορεί να γίνει μέσω της Διαχείρισης διακομιστή και της επιλογής Προσθήκη ρόλων και δυνατοτήτων στην περιοχή Διαχείριση. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Υπηρεσίες Active Directory Federation Services.

Δημιουργία ομάδας εφαρμογών

Στην οθόνη "Διαχείριση AD FS", δημιουργήστε μια ομάδα εφαρμογών για τις Υπηρεσίες αναφοράς, η οποία θα περιλαμβάνει πληροφορίες για τις εφαρμογές Power BI για κινητές συσκευές.

Μπορείτε να δημιουργήσετε την ομάδα εφαρμογών με τα παρακάτω βήματα.

1. Στην εφαρμογή "Διαχείριση AD FS", κάντε δεξί κλικ στις Ομάδες εφαρμογών και επιλέξτε Προσθήκη ομάδας εφαρμογών...

   

2. Στον Οδηγό προσθήκης ομάδας εφαρμογών, δώστε ένα όνομα για την ομάδα εφαρμογών και επιλέξτε Εγγενής εφαρμογή με πρόσβαση σε ένα API Web.

   

3. Επιλέξτε Επόμενο.

4. Δώστε ένα όνομα για την εφαρμογή που θέλετε να προσθέσετε.

5. Ενώ το Αναγνωριστικό προγράμματος-πελάτη θα δημιουργηθεί αυτόματα για το δικό σας, πληκτρολογήστε 484d54fc-b481-4eee-9505-0258a1913020 για iOS και Android.

6. Προσθέστε τις παρακάτω διευθύνσεις URL ανακατεύθυνσης:

   Καταχωρήσεις για Power BI για κινητές συσκευές – iOS:
   msauth://code/mspbi-adal://com.microsoft.powerbimobile
   msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
   mspbi-adal://com.microsoft.powerbimobile
   mspbi-adalms://com.microsoft.powerbimobilems

   Οι εφαρμογές Android χρειάζονται μόνο τα παρακάτω βήματα:
   urn:ietf:wg:oauth:2.0:oob

   

7. Επιλέξτε Επόμενο.

8. Καταχωρήστε τη διεύθυνση URL για τον διακομιστή αναφορών σας. Η διεύθυνση URL είναι η εξωτερική διεύθυνση URL που θα κατευθύνει στο Web μεσολάβηση εφαρμογής σας. Θα πρέπει να είναι στην ακόλουθη μορφή.

   Σημείωμα

   Αυτή η διεύθυνση URL κάνει διάκριση πεζών-κεφαλαίων!

   https://<report server url>/reports

   

9. Επιλέξτε Επόμενο.

10. Επιλέξτε την πολιτική Έλεγχος πρόσβασης που ταιριάζει στις ανάγκες του οργανισμού σας.

    

11. Επιλέξτε Επόμενο.

12. Επιλέξτε Επόμενο.

13. Επιλέξτε Επόμενο.

14. Επιλέξτε Κλείσιμο.

Όταν ολοκληρωθεί η διαδικασία, οι ιδιότητες της ομάδας εφαρμογών σας θα πρέπει να μοιάζουν με τις παρακάτω.

Ρύθμιση παραμέτρων Web μεσολάβηση εφαρμογής (WAP)

Ενεργοποιήστε τον ρόλο Web μεσολάβηση εφαρμογής (Ρόλος) των Windows σε έναν διακομιστή στο περιβάλλον σας. Πρέπει να βρίσκεται σε έναν Windows Server 2016. Για περισσότερες πληροφορίες, ανατρέξτε στα θέματα Web μεσολάβηση εφαρμογής στον Windows Server 2016 και Δημοσίευση εφαρμογών με χρήση του προκαταρκτικού ελέγχου ταυτότητας των AD FS.

Ρύθμιση παραμέτρων περιορισμένης ανάθεσης

Για τη μετάβαση από τον έλεγχο ταυτότητας OAuth στον έλεγχο ταυτότητας των Windows, πρέπει να χρησιμοποιήσετε περιορισμένη ανάθεση με μετάβαση πρωτοκόλλου. Αυτό είναι μέρος της ρύθμισης παραμέτρων του Kerberos. Έχουμε ήδη καθορίσει το SPN των Υπηρεσιών αναφοράς κατά τη ρύθμιση των παραμέτρων των Υπηρεσιών αναφοράς.

Πρέπει να ρυθμίσουμε τις παραμέτρους της περιορισμένης ανάθεσης στον λογαριασμό υπολογιστή του WAP Server εντός της υπηρεσίας καταλόγου Active Directory. Ίσως χρειαστεί να συνεργαστείτε με έναν διαχειριστή τομέα εάν δεν έχετε δικαιώματα για την υπηρεσία καταλόγου Active Directory.

Για να ρυθμίσετε τις παραμέτρους της περιορισμένης ανάθεσης, κάντε τα παρακάτω βήματα.

1. Σε έναν υπολογιστή στον οποίο είναι εγκατεστημένα τα εργαλεία της υπηρεσίας καταλόγου Active Directory, εκκινήστε Χρήστες και Υπολογιστές της υπηρεσίας καταλόγου Active Directory.

2. Βρείτε τον λογαριασμό υπολογιστή για τον διακομιστή WAP. Από προεπιλογή, θα είναι στο κοντέινερ υπολογιστών.

3. Κάντε δεξί κλικ στον διακομιστή WAP και επιλέξτε Ιδιότητες.

4. Επιλέξτε την καρτέλα Ανάθεση .

5. Επιλέξτε Να θεωρείται αξιόπιστος αυτός ο υπολογιστής για αντιπροσώπευση μόνο σε καθορισμένες υπηρεσίες και, στη συνέχεια , επιλέξτε Χρήση οποιουδήποτε πρωτοκόλλου ελέγχου ταυτότητας.

   

   Αυτό ρυθμίζει την περιορισμένη ανάθεση για αυτόν τον λογαριασμό υπολογιστή του WAP Server. Στη συνέχεια, πρέπει να καθορίσουμε τις υπηρεσίες που επιτρέπεται να ανατίθενται σε αυτόν τον υπολογιστή.

6. Επιλέξτε Προσθήκη... στο πλαίσιο των υπηρεσιών.

   

7. Επιλέξτε Χρήστες ή υπολογιστές...

8. Εισαγάγετε τον λογαριασμό υπηρεσίας που χρησιμοποιείτε για τις Υπηρεσίες αναφοράς. Αυτός είναι ο λογαριασμός στον οποίο προσθέσατε το SPN κατά τη ρύθμιση των παραμέτρων των Υπηρεσιών αναφοράς.

9. Επιλέξτε το SPN για τις Υπηρεσίες αναφοράς και, στη συνέχεια, επιλέξτε OK.

   Σημείωμα

   Ενδέχεται να βλέπετε μόνο το NetBIOS SPN. Στην πραγματικότητα θα επιλέξει τόσο το NetBIOS όσο και το FQDN SPN εάν υπάρχουν και τα δύο.

   

10. Το αποτέλεσμα θα πρέπει να μοιάζει με το ακόλουθο, όταν είναι επιλεγμένο το πλαίσιο ελέγχου Αναπτυγμένο .

    

11. Επιλέξτε OK.

Προσθήκη εφαρμογής WAP

Παρόλο που μπορείτε να δημοσιεύσετε εφαρμογές μέσα από την κονσόλα διαχείρισης πρόσβασης αναφορών, θέλουμε να δημιουργήσουμε την εφαρμογή μέσω του PowerShell. Αυτή είναι η εντολή για να προσθέσετε την εφαρμογή.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication

Παράμετρος	Σχόλια
ADFSRelyingPartyName	Το όνομα του Web API που δημιουργήσατε ως μέρος της ομάδας εφαρμογών εντός των ADFS.
ExternalCertificateThumbprint	Το πιστοποιητικό που θα χρησιμοποιηθεί για τους εξωτερικούς χρήστες. Είναι σημαντικό το πιστοποιητικό να είναι έγκυρο σε κινητές συσκευές και να προέρχεται από μια αξιόπιστη αρχή έκδοσης πιστοποιητικών.
BackendServerUrl	Η διεύθυνση URL προς τον διακομιστή αναφορών από τον διακομιστή WAP. Εάν ο διακομιστής WAP βρίσκεται σε μια DMZ, ίσως χρειαστεί να χρησιμοποιήσετε ένα πλήρως προσδιορισμένο όνομα τομέα. Βεβαιωθείτε ότι μπορείτε να χρησιμοποιήσετε αυτή τη διεύθυνση URL από το πρόγραμμα περιήγησης web στον διακομιστή WAP.
BackendServerAuthenticationSPN	Το SPN που δημιουργήσατε ως μέρος της ρύθμισης παραμέτρων των Υπηρεσιών αναφοράς.

Ρύθμιση ενσωματωμένου ελέγχου ταυτότητας για την εφαρμογή WAP

Αφού προσθέσετε την εφαρμογή WAP, πρέπει να ορίσετε το BackendServerAuthenticationMode ώστε να χρησιμοποιεί το IntegratedWindowsAuthentication. Χρειάζεστε το αναγνωριστικό από την εφαρμογή WAP για να το ορίσετε.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Εκτελέστε την ακόλουθη εντολή για να ορίσετε το BackendServerAuthenticationMode χρησιμοποιώντας το αναγνωριστικό της εφαρμογής WAP.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Σύνδεση με την εφαρμογή Power BI για κινητές συσκευές

Μέσα από την εφαρμογή Power BI για κινητές συσκευές, θέλετε να συνδεθείτε στην παρουσία των Υπηρεσιών αναφοράς σας. Για να το κάνετε αυτό, καταχωρήστε την Εξωτερική διεύθυνση URL για την εφαρμογή WAP σας.

Όταν επιλέξετε Σύνδεση, θα οδηγηθείτε στη σελίδα εισόδου των ADFS. Εισαγάγετε έγκυρα διαπιστευτήρια για τον τομέα σας.

Αφού επιλέξετε Είσοδος, θα δείτε τα στοιχεία από τον διακομιστή των Υπηρεσιών αναφοράς σας.

Έλεγχος ταυτότητας πολλών παραγόντων

Μπορείτε να ενεργοποιήσετε έλεγχο ταυτότητας πολλών παραγόντων για να ενεργοποιήσετε πρόσθετη ασφάλεια για το περιβάλλον σας. Για να μάθετε περισσότερα, ανατρέξτε στο θέμα Ρύθμιση παραμέτρων του Azure MFA ως υπηρεσίας παροχής ελέγχου ταυτότητας με AD FS.

Αντιμετώπιση προβλημάτων

Λαμβάνετε το σφάλμα "Αποτυχία σύνδεσης με τον διακομιστή SSRS"

Μπορείτε να ρυθμίσετε το Fiddler ώστε να λειτουργεί ως διακομιστής μεσολάβησης για τις κινητές συσκευές σας για να δείτε μέχρι που έφτασε η αίτησή σας. Για να ενεργοποιήσετε έναν διακομιστή μεσολάβησης Fiddler για την τηλεφωνική συσκευή σας, πρέπει να ρυθμίσετε το CertMaker για iOS και Android στον υπολογιστή όπου εκτελείται το Fiddler. Το πρόσθετο είναι από την Telerik για το Fiddler.

Εάν η είσοδος λειτουργεί με επιτυχία όταν χρησιμοποιείτε το Fiddler, ενδέχεται να έχετε πρόβλημα πιστοποιητικού με την εφαρμογή WAP ή τον διακομιστή ADFS.

Σχετικό περιεχόμενο

• Καταχώρηση κύριου ονόματος υπηρεσίας (SPN) για έναν διακομιστή αναφορών
• Τροποποίηση αρχείου ρύθμισης παραμέτρων των Υπηρεσιών αναφοράς
• Ρύθμιση παραμέτρων του ελέγχου ταυτότητας των Windows σε έναν διακομιστή αναφορών
• Υπηρεσίες Active Directory Federation Services
• Μεσολάβηση εφαρμογής Web στον Windows Server 2016
• Δημοσίευση εφαρμογών με χρήση του προκαταρκτικού ελέγχου ταυτότητας των AD FS
• Ρύθμιση παραμέτρων AD FS 2016 και Azure MFA
  Περισσότερες ερωτήσεις; Δοκιμάστε το Κοινότητα Power BI