Power BI sisällön upottaminen palvelun päänimeen ja sovelluksen salauskoodiin

Onko tästä sivusta apua?

Haluatko antaa lisää palautetta?

Palaute lähetetään Microsoftille: Kun painat Lähetä-painiketta, palautettasi käytetään Microsoftin tuotteiden ja palvelujen parantamiseen. Tietosuojakäytäntö.

Palvelun päänimi todentamismenetelmä, jonka avulla Azure AD -sovellus voi käyttää Power BI -palvelun sisältöä ja ohjelmointi rajapintoja.

Kun luot Azure Active Directory (Azure AD) -sovelluksen, luodaan palvelun pääobjekti. Palvelun pääobjekti, jota kutsutaan myös palvelun päänimeksi, antaa Azure AD:lle oikeuden sovelluksesi todentamiseen. Kun sovellus on todennettu, se voi käyttää Azure AD:n vuokraajaresursseja.

Todentamisessa palvelun päänimi käyttää Azure AD -sovelluksen sovellustunnusta ja jotakin seuraavista:

• Varmenne
• Sovellussalaisuus

Tässä artikkelissa kuvataan todentaminen palvelun päänimellä sovellustunnuksen ja sovelluksen salauskoodin avulla.

Huomautus

Azure AD suosittelee, että suojaat taustapalvelusi varmenteiden avulla salaisten avainten sijaan.

• Lue lisätietoja käyttöoikeustietueiden hankkimisesta Azure AD:stä salaisten avainten tai varmenteiden avulla.
• Jos haluat suojata ratkaisusi varmenteen avulla, toimi tässä artikkelissa olevien ohjeiden mukaisesti ja noudata sitten Power BI -sisällön upottaminen palvelun päänimeen ja varmenteeseen -kohdassa kuvattuja vaiheita.

Menetelmä

Jos haluat käyttää palvelun päänimeä ja sovellustunnusta upotetussa analyysissa, toimi seuraavasti:

1. Luo Azure AD -sovellus.

   1. Luo Azure AD -sovellus.
   2. Hanki sovelluksen sovellustunnus ja sovelluksen salauskoodi.

   Huomautus

   Nämä vaiheet on kuvattu vaiheessa 1. Lisätietoja Azure AD -sovelluksen luomisesta on kohdassa Azure AD -sovelluksen luominen.

2. Luo Azure AD:n käyttöoikeusryhmä.

3. Ota Power BI -palvelun järjestelmänvalvojan asetukset käyttöön.

4. Lisää palvelun päänimi työtilaasi.

5. Upota sisältö.

Tärkeä

Kun otat palvelun päänimen käyttöön käytettäväksi Power BI:n kanssa, sovelluksen AD-käyttöoikeudet eivät ole enää voimassa. Sovelluksen käyttöoikeuksia hallitaan tässä tapauksessa Power BI -hallintaportaalissa.

Vaihe 1 – Luo Azure AD -sovellus

Luo Azure AD -sovellus seuraavasti:

• Luo sovellus Microsoft Azure -portaalissa

• Luo sovellus käyttämällä PowerShelliä

Sovelluksen luominen Microsoft Azure -portaalissa

1. Kirjaudu Microsoft Azureen.

2. Etsi Sovelluksen rekisteröinnit ja napsauta Sovelluksen rekisteröinnit -linkkiä.

   

3. Napsauta Uusi rekisteröinti.

   

4. Täytä tarvittavat tiedot:

   • Nimi – Anna nimi sovelluksellesi
   • Tuetut tilityypit – Valitse tuetut tilityypit
   • (Valinnainen) Uudelleenohjauksen URI – Anna URI tarvittaessa

5. Valitse Rekisteröi.

6. Rekisteröinnin jälkeen Sovellustunnus on käytettävissä Yleiskatsaus-välilehdessä. Kopioi ja tallenna sovellustunnus myöhempää käyttöä varten.

   

7. Napsauta Varmenteet salaiset koodit & -välilehteä.

   

8. Napsauta Uusi asiakasohjelman salasana

   

9. Kirjoita Lisää asiakasohjelman salasana -ikkunaan kuvaus, määritä asiakasohjelman salasanan vanhenemisajankohta ja napsauta Lisää.

10. Kopioi ja tallenna Asiakasohjelman salasana -arvo.

    

    Huomautus

    Kun poistut tästä ikkunasta, asiakasohjelman salasanan arvo piilotetaan etkä pysty lukemaan etkä kopioimaan sitä uudelleen.

Azure AD -sovelluksen luominen PowerShellin avulla

Tässä osiossa on mallikomentosarja, jolla voit luoda uuden Azure AD -sovelluksen PowerShellin avulla.

# The app ID - $app.appid
# The service principal object ID - $sp.objectId
# The app key - $key.value

# Sign in as a user that's allowed to create an app
Connect-AzureAD

# Create a new Azure AD web application
$app = New-AzureADApplication -DisplayName "testApp1" -Homepage "https://localhost:44322" -ReplyUrls "https://localhost:44322"

# Creates a service principal
$sp = New-AzureADServicePrincipal -AppId $app.AppId

# Get the service principal key
$key = New-AzureADServicePrincipalPasswordCredential -ObjectId $sp.ObjectId

Vaihe 2 – Luo Azure AD:n käyttöoikeusryhmä

Palvelun päänimellä ei ole käyttöoikeutta mihinkään Power BI -sisältöihisi eikä ohjelmointirajapintoihisi. Kun haluat antaa palvelun päänimelle käyttöoikeuden, luo käyttöoikeusryhmä Azure AD:ssä ja lisää luomasi palvelun päänimi kyseiseen käyttöoikeusryhmään.

Azure AD -käyttöoikeusryhmän luomiseen on kaksi tapaa:

• Manuaalinen (Azuressa)
• PowerShellin käyttäminen

Käyttöoikeusryhmän luominen manuaalisesti

Jos haluat luoda Azure-käyttöoikeusryhmän manuaalisesti, noudata ohjeita artikkelissa Perusryhmän luominen ja jäsenten lisääminen.

Käyttöoikeusryhmän luominen PowerShellin avulla

Alla on esimerkkikomentosarja, jolla luodaan uusi käyttöoikeusryhmä ja lisätään sovellus tähän käyttöoikeusryhmään.

Huomautus

Jos haluat ottaa käyttöön täydelliset käyttöoikeudet koko organisaation tasolla, ohita tämä vaihe.

# Required to sign in as admin
Connect-AzureAD

# Create an Azure AD security group
$group = New-AzureADGroup -DisplayName <Group display name> -SecurityEnabled $true -MailEnabled $false -MailNickName notSet

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId $($group.ObjectId) -RefObjectId $($sp.ObjectId)

Vaihe 3 – Ota Power BI -palvelun järjestelmänvalvojan asetukset käyttöön

Jotta Azure AD -sovellus voi käyttää Power BI sisältöä ja ohjelmointirajapintoja, Power BI järjestelmänvalvojan on otettava palvelun päänimen käyttöoikeus käyttöön Power BI hallintaportaalissa.

Siirry hallintaportaalinvuokraaja-asetuksiin ja lisää Azure AD:ssä luomasi käyttöoikeusryhmä Kehittäjäasetukset-kohdan tiettyyn käyttöoikeusryhmään.

Tärkeä

Palvelun päänimillä on käyttöoikeus kaikkiin asetuksiin, jotka niille on otettu käyttöön. Järjestelmänvalvojan asetusten mukaan tämä sisältää tietyt käyttöoikeusryhmät tai koko organisaation.

Jos haluat rajoittaa palvelun päänimen käyttöoikeuksia tiettyihin vuokraajan asetuksiin, salli käyttö vain tietyille käyttöoikeusryhmille. Vaihtoehtoisesti voit luoda erityisen käyttöoikeusryhmän palvelun päänimiä varten ja jättää sen pois halutuista vuokraajan asetuksista.

Vaihe 4 – Lisää palvelun päänimi työtilaasi

Jos haluat Azure AD -sovelluksesi voivan käyttää Power BI -palvelussa artefakteja, kuten raportteja, koontinäyttöjä ja tietojoukkoja, lisää palvelun pääentiteetti tai käyttöoikeusryhmä, joka sisältää palvelun päänimen, jäseneksi tai järjestelmänvalvojaksi työtilaasi.

Huomautus

Tässä osiossa on käyttöliittymän ohjeet. Voit lisätä palvelun päänimen tai käyttöoikeusryhmän työtilaan myös valitsemalla Ryhmät – Lisää ryhmän käyttäjän ohjelmointirajapinta.

1. Siirry sen työtilan kohdalle, jonka käyttöoikeuden haluat ottaa käyttöön, ja valitse Lisää-valikosta Työtilan käyttöoikeus.

   

2. Lisää käyttöoikeusruudun tekstiosaan jokin seuraavista:

   • Palvelun päänimi. Palvelun päänimi on Azure AD -sovelluksen näyttönimi sellaisena kuin se näkyy Azure AD -sovelluksesi Yleiskatsaus-välilehdellä.

   • Käyttöoikeusryhmä, joka sisältää palvelun päänimen.

3. Valitse avattavasta valikosta Jäsen tai Järjestelmänvalvoja.

4. Valitse Lisää.

Palvelun päänimen lisääminen työtilan jäseneksi PowerShellin avulla

Tässä osiossa on mallikomentosarja, jolla voit lisätä palvelun päänimen työtilan jäseneksi PowerShellin avulla.

Login-PowerBI

# Service Principal Object ID for the created Service Principal
$SPObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType App -Identifier $SPObjectId 

Käyttöoikeusryhmän päänimen lisääminen työtilan jäseneksi PowerShellin avulla

Tässä osiossa on mallikomentosarja, jolla voit lisätä käyttöoikeusryhmän työtilan jäseneksi PowerShellin avulla.

Login-PowerBI

# Security Group Object ID for the created Security Group
$SGObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType Group -Identifier $SGObjectId 

Vaihe 5 – Upota sisältö

Voit upottaa sisältösi mallisovellukseen tai omaan sovellukseesi.

Kun sisältösi on upotettu, olet valmis siirtymään tuotantoon.

Huomautus

Jos haluat suojata ratkaisusi varmenteen avulla, noudata Power BI -sisällön upottaminen palvelun päänimeen ja varmenteeseen -kohdassa kuvattuja vaiheita.

Huomioitavat asiat ja rajoitukset

• Palvelun päänimi toimii vain uusien työtilojen kanssa.
• Omaa työtilaa ei tueta, kun käytät palvelun päänimeä.
• Tarvitset kapasiteettia, kun siirryt tuotantoon.
• Et voi kirjautua Power BI -portaaliin palvelun päänimellä.
• Power BI -järjestelmänvalvojan oikeuksia edellytetään, kun otat palvelun päänimen käyttöön Power BI -hallintaportaalin kehittäjäasetuksissa.
• Organisaatiosi upotetut sovellukset eivät voi käyttää palvelun päänimeä.
• Tietovoiden hallintaa ei tueta.
• Palvelun päänimi tukee vain joitakin vain luku -tilassa olevat järjestelmänvalvojan ohjelmointirajapinnat. Jos haluat ottaa käyttöön palvelun päänimen tuen vain luku -tilassaisille järjestelmänvalvojan ohjelmointirajapinnoille, sinun on otettava Power BI -palvelu järjestelmänvalvojan asetukset käyttöön vuokraajassasi. Lisätietoja on artikkelissa Palvelun päänimi -todennuksen ottaminen käyttöön vain luku -tilassa oleville järjestelmänvalvojan ohjelmointirajapinnoille.
• Kun palvelun päänimeä käytetään Azure Analysis Services ‑tietolähteen avulla, palvelun päänimellä on itsellään oltava käyttöoikeudet Azure Analysis Services ‑esiintymään. Tähän ei riitä käyttöoikeusryhmä, joka sisältää palvelun päänimen.

Seuraavat vaiheet

Sovelluksen rekisteröiminen

Power BI Embedded asiakkaillesi

Upottaminen palvelun päänimen ja varmenteen avulla

Sovellusobjektit ja palvelun päänimen objektit Azure Active Directoryssa

Paikallista tietoyhdyskäytävää ja palvelun päänimeä käyttävä rivitason suojaus