Tokens de aplicación de análisis insertados

Para consumir contenido de Power BI, se necesita un token de acceso. En función de la solución, este puede ser un token de Azure AD o un token de inserción.

Si utiliza una solución de tipo Inserción para los clientes, los usuarios de su aplicación web tendrán acceso a contenido de Power BI (como informes, paneles e iconos) de acuerdo con el token de inserción que la aplicación haya generado.

Si utiliza una solución de tipo Inserción para los clientes, los usuarios de su aplicación web se autenticarán en Azure AD con sus propias credenciales. Los usuarios de su aplicación tendrán acceso al contenido de Power BI al que puedan acceder en el servicio Power BI.

Token de Azure AD

Tanto en el caso de la solución de tipo Inserción para los clientes como en el de Inserción para la organización, se necesita un token de Azure AD. Este token es necesario para todas las operaciones de API REST y expira al cabo de una hora.

• En lo que respecta a Inserción para los clientes, el token de Azure AD se usa para generar el token de inserción.

• En el caso del tipo Inserción para la organización, el token de Azure AD se utiliza para acceder a Power BI.

Token de inserción

Al utilizar la solución de tipo Inserción para los clientes, la aplicación web deberá saber a qué contenido de Power BI puede acceder el usuario. Use las API REST de token de inserción para generar un token de inserción, el cual deberá especificar lo siguiente:

• Contenido al que el usuario de la aplicación web puede acceder

• Nivel de acceso del usuario de la aplicación web (visualización, creación o edición)

Para obtener más información, consulte Consideraciones para generar un token de inserción.

Flujos de autenticación

En esta sección se describen los flujos de autenticación para las soluciones de inserción de tipo Inserción para los clientes e Inserción para la organización.

Inserción para los clientes

La solución de tipo Inserción para los clientes emplea un flujo de autenticación no interactivo. Para acceder a Power BI, los usuarios no tienen que iniciar sesión en Azure AD. En su lugar, la aplicación web utiliza una identidad de Azure AD reservada para realizar la autenticación en Azure AD y generar el token de inserción. La identidad reservada puede ser una de las siguientes:

• Entidad de servicio

  La aplicación web utiliza el objeto de entidad de servicio de Azure AD para efectuar la autenticación en Azure AD y obtener un token de Azure AD exclusivo para la aplicación. Este es un método de autenticación solo para aplicaciones, algo que Azure AD recomienda.

  Al utilizar una entidad de servicio, es necesario habilitar el acceso a las API de Power BI en la configuración de administración del servicio Power BI. Esto permite a la aplicación web acceder a las API REST de Power BI. Para utilizar las operaciones de API en un área de trabajo, la entidad de servicio debe ser miembro o administrador del área de trabajo en cuestión.

• Usuario maestro

  La aplicación web emplea una cuenta de usuario para realizar la autenticación en Azure AD y obtener el token de Azure AD. El usuario maestro debe tener una licencia de Power BI Pro o Premium por usuario (PPU).

  Al emplear un usuario maestro, deberá definir los permisos delegados de la aplicación (también denominados "ámbitos"). El usuario maestro o administrador de inquilinos deberán consentir el uso de dichos permisos mediante las API REST de Power BI.

Una vez realizada la autenticación en Azure AD correctamente, la aplicación web generará un token de inserción para permitir a los usuarios acceder a contenido de Power BI específico.

En el diagrama siguiente se muestra el flujo de autenticación para la solución de tipo Inserción para los clientes.

1. El usuario de la aplicación web se autentica en ella con el método de autenticación que se ha establecido.

2. La aplicación web emplea una entidad de servicio o un usuario maestro para realizar la autenticación en Azure AD.

3. La aplicación web obtiene de Azure AD un token de Azure AD y lo usa para acceder a las API REST de Power BI. El acceso a las API REST de Power BI se facilita de acuerdo con el método de autenticación establecido: entidad de servicio o usuario maestro.

4. La aplicación web llama a una operación de API REST de token de inserción y solicita un token de inserción. El token de inserción especifica el contenido de Power BI que se puede insertar.

5. La API REST devuelve el token de inserción a la aplicación web.

6. La aplicación web pasa el token de inserción al explorador web del usuario.

7. El usuario de la aplicación web emplea el token de inserción para acceder a Power BI.

Inserción para la organización

La solución de tipo Inserción para la organización emplea un flujo de autenticación interactivo. Los usuarios se autentican en Azure AD con sus credenciales de Power BI. Asimismo, deben conceder los permisos de API que se establecieron al registrar la aplicación en Azure AD. El consentimiento se da en la ventana del cuadro de diálogo Permisos solicitados de Microsoft. Una vez concedidos los permisos, se podrá insertar el contenido de Power BI al que el usuario de la aplicación web tenga acceso, como informes y paneles.

En este diagrama se muestra un ejemplo del flujo de autenticación de la solución de tipo Inserción para la organización.

1. El usuario de la aplicación web accede a ella.

2. La aplicación web redirige al usuario a Azure AD.

3. El usuario de la aplicación web se autentica en Azure AD con sus credenciales de Power BI.

4. Azure AD redirige al usuario de la aplicación de vuelta a esta con el token de Azure AD (en un escenario de concesión implícita, el token de acceso se devuelve al explorador del usuario).

5. La aplicación web pasa el token de Azure AD al explorador web del usuario.

6. La aplicación web de Power BI emplea el token de Azure AD para insertar contenido de Power BI al que el usuario de la aplicación web tiene permiso para acceder, como informes y paneles.

Pasos siguientes