Ενσωμάτωση περιεχομένου Power BI με κύρια υπηρεσία και μυστικό κωδικό εφαρμογήςEmbed Power BI content with service principal and an application secret

Η κύρια υπηρεσία είναι μια μέθοδος ελέγχου ταυτότητας που μπορεί να χρησιμοποιηθεί για να επιτρέψει σε μια εφαρμογή Azure AD πρόσβαση σε περιεχόμενο υπηρεσίας Power BI και API.Service principal is an authentication method that can be used to let an Azure AD application access Power BI service content and APIs.

Όταν δημιουργείτε μια εφαρμογή Azure Active Directory (Azure AD), δημιουργείται ένα αντικείμενο κύριας υπηρεσίας.When you create an Azure Active Directory (Azure AD) app, a service principal object is created. Το αντικείμενο κύριας υπηρεσίας, γνωστό επίσης ως κύρια υπηρεσία, επιτρέπει στο Azure AD να ελέγξει την ταυτότητα της εφαρμογής σας.The service principal object, also known simply as service principal, allows Azure AD to authenticate your app. Μετά τον έλεγχο ταυτότητας, η εφαρμογή μπορεί να αποκτήσει πρόσβαση σε πόρους μισθωτή Azure AD.Once authenticated, the app can access Azure AD tenant resources.

Για τον έλεγχο ταυτότητας, η κύρια υπηρεσία χρησιμοποιεί το Αναγνωριστικό εφαρμογής της εφαρμογής Azure AD και ένα από τα παρακάτω:To authenticate, the service principal uses the Azure AD app's Application ID, and one of the following:

  • ΠιστοποιητικόCertificate
  • Μυστικός κωδικός εφαρμογήςApplication secret

Αυτό το άρθρο περιγράφει τον έλεγχο ταυτότητας κύριας υπηρεσίας με χρήση του Αναγνωριστικού εφαρμογής και του Μυστικού κωδικού εφαρμογής.This article describes service principal authentication using Application ID and Application secret.

Σημείωση

Το Azure AD συνιστά να προστατεύετε τις υπηρεσίες παρασκηνίου με χρήση πιστοποιητικών αντί για κρυφά κλειδιά.Azure AD recommends that you secure your backend services using certificates, rather than secret keys.

ΜέθοδοςMethod

Για να χρησιμοποιήσετε την οντότητα υπηρεσίας και ένα αναγνωριστικό εφαρμογής στην ενσωματωμένη ανάλυση, ακολουθήστε τα εξής βήματα:To use service principal and an application ID embedded analytics, follow these steps:

  1. Δημιουργήστε μια εφαρμογή Azure AD.Create an Azure AD app.

    1. Δημιουργήστε τον μυστικό κωδικό της εφαρμογής Azure AD.Create the Azure AD app's secret.

    2. Αποκτήστε το Αναγνωριστικό εφαρμογής και τον Μυστικό κωδικό εφαρμογής.Get the app's Application ID and Application secret.

    Σημείωση

    Αυτά τα βήματα περιγράφονται στο βήμα 1.These steps are described in step 1. Για περισσότερες πληροφορίες σχετικά με τη δημιουργία μιας εφαρμογής Azure AD, ανατρέξτε στο άρθρο Δημιουργήστε μια εφαρμογή Azure AD.For more information about creating an Azure AD app, see the create an Azure AD app article.

  2. Δημιουργήστε μια ομάδα ασφαλείας Azure AD.Create an Azure AD security group.

  3. Ενεργοποιήστε τις ρυθμίσεις διαχειριστή υπηρεσίας Power BI.Enable the Power BI service admin settings.

  4. Προσθέστε την κύρια υπηρεσία στον χώρο εργασίας σας.Add the service principal to your workspace.

  5. Ενσωματώστε το περιεχόμενό σας.Embed your content.

Σημαντικό

Μόλις ενεργοποιήσετε την κύρια υπηρεσία που θα χρησιμοποιηθεί με το Power BI, τα δικαιώματα AD της εφαρμογής θα πάψουν να ισχύουν.Once you enable service principal to be used with Power BI, the application's AD permissions don't take effect anymore. Η διαχείριση των δικαιωμάτων πραγματοποιείται, στη συνέχεια, μέσω της πύλης διαχείρισης του Power BI.The application's permissions are then managed through the Power BI admin portal.

Βήμα 1 - Δημιουργία εφαρμογής Azure ADStep 1 - Create an Azure AD app

Δημιουργήστε μια εφαρμογή Azure AD χρησιμοποιώντας μία από αυτές τις μεθόδους:Create an Azure AD app using one of these methods:

Δημιουργία μιας εφαρμογής Azure AD στην πύλη Microsoft AzureCreating an Azure AD app in the Microsoft Azure portal

  1. Συνδεθείτε στο Microsoft Azure.Log into Microsoft Azure.

  2. Πραγματοποιήστε αναζήτηση για τις Καταχωρήσεις εφαρμογών και κάντε κλικ στη σύνδεση Καταχωρήσεις εφαρμογών.Search for App registrations and click the App registrations link.

    καταχώρηση εφαρμογής azure

  3. Κάντε κλικ στη Νέα καταχώρηση.Click New registration.

    νέα καταχώρηση

  4. Συμπληρώστε τις υποχρεωτικές πληροφορίες:Fill in the required information:

    • Όνομα - Εισαγάγετε ένα όνομα για την εφαρμογή σαςName - Enter a name for your application
    • Υποστηριζόμενοι τύποι λογαριασμού - Επιλέξτε υποστηριζόμενους τύπους λογαριασμούSupported account types - Select supported account types
    • (Προαιρετικό) URI ανακατεύθυνσης - Εισαγάγετε ένα URI, εάν χρειάζεται(Optional) Redirect URI - Enter a URI if needed
  5. Επιλέξτε Καταχώρηση.Click Register.

  6. Μετά την καταχώρηση, το Αναγνωριστικό εφαρμογής είναι διαθέσιμο από την καρτέλα Επισκόπηση. Αντιγράψτε και αποθηκεύστε το Αναγνωριστικό εφαρμογής για μελλοντική χρήση.After registering, the Application ID is available from the Overview tab. Copy and save the Application ID for later use.

    Στιγμιότυπο οθόνης εμφανίζει πού μπορείτε να αποκτήσετε ένα αναγνωριστικό εφαρμογής στην καρτέλα "Επισκόπηση".

  7. Κάντε κλικ στην καρτέλα Πιστοποιητικά και μυστικοί κωδικοί.Click the Certificates & secrets tab.

    Στιγμιότυπο οθόνης που εμφανίζει το τμήμα παραθύρου "Πιστοποιητικά και μυστικοί κωδικοί" για μια εφαρμογή στην πύλη Microsoft Azure.

  8. Κάντε κλικ στο Νέος μυστικός κωδικόςClick New client secret

    Ένα στιγμιότυπο οθόνης που εμφανίζει το νέο μυστικό κουμπί προγράμματος-πελάτη στο παράθυρο "Πιστοποιητικά και μυστικοί κωδικοί".

  9. Στο παράθυρο Προσθήκη μυστικού κωδικού προγράμματος-πελάτη, εισαγάγετε μια περιγραφή, καθορίστε πότε θέλετε να λήξει ο μυστικός κωδικός και κάντε κλικ στην Προσθήκη.In the Add a client secret window, enter a description, specify when you want the client secret to expire, and click Add.

  10. Αντιγράψτε και αποθηκεύστε την τιμή Μυστικός κωδικός προγράμματος-πελάτη.Copy and save the Client secret value.

    Ένα στιγμιότυπο οθόνης που εμφανίζει μια θολή κρυφή τιμή στο παράθυρο "Πιστοποιητικά και μυστικοί κωδικοί".

    Σημείωση

    Αφού αποχωρήσετε από αυτό το παράθυρο, η τιμή μυστικού κωδικού προγράμματος-πελάτη θα κρυφτεί και δεν θα μπορείτε να τη δείτε ή αντιγράψετε πάλι.After you leave this window, the client secret value will be hidden, and you'll not be able to view or copy it again.

Δημιουργία μιας εφαρμογής Azure AD χρησιμοποιώντας το PowerShellCreating an Azure AD app using PowerShell

Αυτή η ενότητα περιλαμβάνει ένα δείγμα δέσμης ενεργειών για να δημιουργήσετε μια νέα εφαρμογή Azure AD χρησιμοποιώντας το PowerShell.This section includes a sample script to create a new Azure AD app using PowerShell.

# The app ID - $app.appid
# The service principal object ID - $sp.objectId
# The app key - $key.value

# Sign in as a user that's allowed to create an app
Connect-AzureAD

# Create a new Azure AD web application
$app = New-AzureADApplication -DisplayName "testApp1" -Homepage "https://localhost:44322" -ReplyUrls "https://localhost:44322"

# Creates a service principal
$sp = New-AzureADServicePrincipal -AppId $app.AppId

# Get the service principal key
$key = New-AzureADServicePrincipalPasswordCredential -ObjectId $sp.ObjectId

Βήμα 2 - Δημιουργία ομάδας ασφαλείας Azure ADStep 2 - Create an Azure AD security group

Η κύρια υπηρεσία σας δεν έχει πρόσβαση σε οποιοδήποτε περιεχόμενο Power BI και API σας.Your service principal doesn't have access to any of your Power BI content and APIs. Για την παροχή πρόσβασης στην κύρια υπηρεσία, δημιουργήστε μια ομάδα στο Azure AD και προσθέστε την κύρια υπηρεσία που δημιουργήσατε σε αυτήν την ομάδα ασφαλείας.To give the service principal access, create a security group in Azure AD, and add the service principal you created to that security group.

Υπάρχουν δύο τρόποι για να δημιουργήσετε μια ομάδα ασφαλείας Azure AD:There are two ways to create an Azure AD security group:

Μη αυτόματη δημιουργία ομάδας ασφαλείαςCreate a security group manually

Για να δημιουργήσετε μια ομάδα ασφαλείας Azure μη αυτόματα, ακολουθήστε τις οδηγίες στο άρθρο Δημιουργήστε μια βασική ομάδα και προσθέστε μέλη χρησιμοποιώντας το Azure Active Directory.To create an Azure security group manually, follow the instructions in the Create a basic group and add members using Azure Active Directory article.

Δημιουργία ομάδας ασφαλείας χρησιμοποιώντας το PowerShellCreate a security group using PowerShell

Παρακάτω βρίσκεται ένα δείγμα δέσμης ενεργειών για τη δημιουργία μιας νέας ομάδας ασφαλείας και την προσθήκη μιας εφαρμογής σε αυτήν την ομάδα ασφαλείας.Below is a sample script for creating a new security group, and adding an app to that security group.

Σημείωση

Εάν θέλετε να επιτρέψετε την πρόσβαση κύριας υπηρεσίας για ολόκληρο τον οργανισμό, πρέπει να παραλείψετε αυτό το βήμα.If you want to enable service principal access for the entire organization, skip this step.

# Required to sign in as admin
Connect-AzureAD

# Create an Azure AD security group
$group = New-AzureADGroup -DisplayName <Group display name> -SecurityEnabled $true -MailEnabled $false -MailNickName notSet

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId $($group.ObjectId) -RefObjectId $($sp.ObjectId)

Βήμα 3 - Ενεργοποίηση των ρυθμίσεων διαχειριστή υπηρεσίας Power BIStep 3 - Enable the Power BI service admin settings

Για να μπορεί μια εφαρμογή Azure AD να έχει πρόσβαση στο περιεχόμενο Power BI και τα API, ένας διαχειριστής Power BI χρειάζεται να επιτρέψει την πρόσβαση κύριας υπηρεσίας στην πύλη διαχειριστή Power BI.For an Azure AD app to be able to access the Power BI content and APIs, a Power BI admin needs to enable service principal access in the Power BI admin portal.

Προσθέστε την ομάδα ασφαλείας που δημιουργήσατε στο Azure AD στην ενότητα συγκεκριμένης ομάδας ασφαλείας στις Ρυθμίσεις προγραμματιστή.Add the security group you created in Azure AD, to the specific security group section in the Developer settings.

Σημαντικό

Οι κύριες υπηρεσίες έχουν πρόσβαση σε οποιεσδήποτε ρυθμίσεις μισθωτή για τις οποίες έχουν επιτραπεί.Service principals have access to any tenant settings they're enabled for. Ανάλογα με τις ρυθμίσεις διαχειριστή σας, αυτό περιλαμβάνει συγκεκριμένες ομάδες ασφαλείας ή ολόκληρο τον οργανισμό.Depending on your admin settings, this includes specific security groups or the entire organization.

Για να περιορίσετε την πρόσβαση κύριας υπηρεσίας σε συγκεκριμένες ρυθμίσεις μισθωτή, επιτρέψτε την πρόσβαση μόνο σε συγκεκριμένες ομάδες ασφαλείας.To restrict service principal access to specific tenant settings, allow access only to specific security groups. Εναλλακτικά, μπορείτε να δημιουργήσετε μια αποκλειστική ομάδα ασφαλείας για κύριες υπηρεσίες και εξαιρέστε τη από τις επιθυμητές ρυθμίσεις μισθωτή.Alternatively, you can create a dedicated security group for service principals, and exclude it from the desired tenant settings.

Στιγμιότυπο οθόνης που εμφανίζει τις ρυθμίσεις προγραμματιστή στις επιλογές διαχειριστή στην υπηρεσία Power BI.

Βήμα 4 - Προσθήκη της κύριας υπηρεσίας στον χώρο εργασίας σαςStep 4 - Add the service principal to your workspace

Για να επιτρέψετε στην εφαρμογή σας Azure AD πρόσβαση σε τεχνουργήματα όπως αναφορές, πίνακες εργαλείων και σύνολα δεδομένων στην υπηρεσία Power BI, προσθέστε την οντότητα κύριας υπηρεσίας ή την ομάδα ασφαλείας που περιλαμβάνει την οντότητα υπηρεσίας σας, ως μέλος ή διαχειριστή στον χώρο εργασίας σας.To enable your Azure AD app access artifacts such as reports, dashboards and datasets in the Power BI service, add the service principal entity, or the security group that includes your service principal, as a member or admin to your workspace.

Σημείωση

Αυτή η ενότητα παρέχει οδηγίες για το περιβάλλον εργασίας χρήστη.This section provides UI instructions. Μπορείτε, επίσης, να προσθέσετε μια οντότητα υπηρεσίας ή μια ομάδα ασφαλείας σε έναν χώρο εργασίας χρησιμοποιώντας το άρθρο Ομάδες - προσθήκη API χρήστη ομάδας.You can also add a service principal or a security group to a workspace, using the Groups - add group user API.

  1. Μεταβείτε στον χώρο εργασίας για τον οποίο θέλετε να επιτρέψετε την πρόσβαση και από το μενού Περισσότερα, επιλέξτε Πρόσβαση σε χώρο εργασίας.Scroll to the workspace you want to enable access for, and from the More menu, select Workspace access.

    Στιγμιότυπο οθόνης που εμφανίζει το κουμπί πρόσβασης χώρου εργασίας στο μενού &quot;Περισσότερα&quot; ενός χώρου εργασίας Power BI.

  2. Στο τμήμα παραθύρου Πρόσβαση, στο πλαίσιο κειμένου, προσθέστε ένα από τα εξής:In the Access pane, text box, add one of the following:

    • Η οντότητα υπηρεσίας σας.Your service principal. Το όνομα της οντότητας υπηρεσίας είναι το Εμφανιζόμενο όνομα της εφαρμογής σας Azure AD, όπως εμφανίζεται στην καρτέλα επισκόπησης της εφαρμογής σας Azure AD.The name of your service principal is the Display name of your Azure AD app, as it appears in your Azure AD app's overview tab.

    • Η ομάδα ασφαλείας που περιλαμβάνει την οντότητα υπηρεσίας.The security group that includes your service principal.

  3. Από το αναπτυσσόμενο μενού, επιλέξτε Μέλος ή Διαχειριστής.From the drop-down menu, select Member or Admin.

  4. Επιλέξτε Προσθήκη.Select Add.

Προσθήκη μιας κύριας υπηρεσίας ως μέλος χώρου εργασίας με το PowerShellAdd a service principal as a workspace member using PowerShell

Αυτή η ενότητα περιλαμβάνει ένα δείγμα δέσμης ενεργειών για την προσθήκη μιας κύριας υπηρεσίας ως μέλος χώρου εργασίας με το PowerShell.This section includes a sample script to add a service principal as a workspace member using PowerShell.

Login-PowerBI

# Service Principal Object ID for the created Service Principal
$SPObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType App -Identifier $SPObjectId 

Προσθήκη μιας ομάδας ασφαλείας ως μέλος χώρου εργασίας με το PowerShellAdd a security group as a workspace member using PowerShell

Αυτή η ενότητα περιλαμβάνει ένα δείγμα δέσμης ενεργειών για την προσθήκη μιας ομάδας ασφαλείας ως μέλος χώρου εργασίας με το PowerShell.This section includes a sample script to add a security group as a workspace member using PowerShell.

Login-PowerBI

# Security Group Object ID for the created Security Group
$SGObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType Group -Identifier $SGObjectId 

Βήμα 5 - Ενσωμάτωση του περιεχομένου σαςStep 5 - Embed your content

Μπορείτε να ενσωματώσετε το περιεχόμενό σας σε ένα δείγμα εφαρμογής ή μέσα στη δική σας εφαρμογή.You can embed your content within a sample application, or within your own application.

Όταν ενσωματωθεί το περιεχόμενό σας, είστε έτοιμοι να μεταβείτε στην παραγωγή.Once your content is embedded, you're ready to move to production.

Σημείωση

Για να διασφαλίσετε το περιεχόμενό σας, ακολουθήστε τα βήματα που περιγράφονται στο άρθρο Ενσωμάτωση περιεχομένου Power BI με οντότητα υπηρεσίας και πιστοποιητικό.To secure your content using a certificate, follow the steps described in Embed Power BI content with service principal and a certificate.

Ζητήματα και περιορισμοίConsiderations and limitations

  • Η κύρια υπηρεσία λειτουργεί μόνο με τους νέους χώρους εργασίας.Service principal only works with new workspaces.
  • Ο χώρος εργασίας μου δεν υποστηρίζεται όταν χρησιμοποιείτε την κύρια υπηρεσία.My Workspace isn't supported when using service principal.
  • Για να προχωρήσετε με την παραγωγή απαιτούνται εκχωρημένοι πόροι.A capacity is required when moving to production.
  • Δεν μπορείτε να πραγματοποιήσετε είσοδο στην πύλη Power BI χρησιμοποιώντας την κύρια υπηρεσία.You can't sign into the Power BI portal using service principal.
  • Απαιτούνται δικαιώματα διαχειριστή του Power BI για την ενεργοποίηση της κύριας υπηρεσίας στις ρυθμίσεις προγραμματιστή, μέσα στην πύλη διαχείρισης του Power BI.Power BI admin rights are required to enable service principal in developer settings within the Power BI admin portal.
  • Η ενσωμάτωση για εφαρμογές στον οργανισμό σας δεν μπορεί να χρησιμοποιήσει την κύρια υπηρεσία.Embed for your organization applications can't use service principal.
  • Η διαχείριση ροών δεδομένων δεν υποστηρίζεται.Dataflows management is not supported.
  • Η αρχή υπηρεσίας υποστηρίζει μόνο ορισμένα API διαχειριστή μόνο για ανάγνωση.Service principal only supports some read-only admin APIs. Για να ενεργοποιήσετε την υποστήριξη κύριων υπηρεσιών για API διαχειριστή μόνο για ανάγνωση, πρέπει να ενεργοποιήσετε τις ρυθμίσεις Υπηρεσία Power BI διαχειριστή στον μισθωτή σας.To enable service principal support for read-only admin APIs, you have to enable the Power BI service admin settings in your tenant. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Ενεργοποίηση ελέγχου ταυτότητας κύριων υπηρεσιών για API διαχειριστή μόνο για ανάγνωση.For more information, see Enable service principal authentication for read-only admin APIs.
  • Κατά τη χρήση της κύριας υπηρεσίας με μια προέλευση δεδομένων από τις Υπηρεσίες ανάλυσης του Azure, η ίδια η κύρια υπηρεσία πρέπει να έχει δικαιώματα παρουσίας στις Υπηρεσίες ανάλυσης του Azure.When using service principal with an Azure Analysis Services data source, the service principal itself must have an Azure Analysis Services instance permissions. Η χρήση μιας ομάδας ασφαλείας που περιέχει την κύρια υπηρεσία για αυτόν το σκοπό δεν έχει αποτέλεσμα.Using a security group that contains the service principal for this purpose, doesn't work.

Επόμενα βήματαNext steps