Power BI sisällön upottaminen palvelun päänimeen ja sovelluksen salauskoodiin

Palvelun päänimi todentamismenetelmä, jonka avulla Azure AD -sovellus voi käyttää Power BI -palvelun sisältöä ja ohjelmointi rajapintoja.

Kun luot Azure Active Directory (Azure AD) -sovelluksen, luodaan palvelun pääobjekti. Palvelun pääobjekti, jota kutsutaan myös palvelun päänimeksi, antaa Azure AD:lle oikeuden sovelluksesi todentamiseen. Kun sovellus on todennettu, se voi käyttää Azure AD:n vuokraajaresursseja.

Todentamisessa palvelun päänimi käyttää Azure AD -sovelluksen sovellustunnusta ja jotakin seuraavista:

  • Varmenne
  • Sovellussalaisuus

Tässä artikkelissa kuvataan todentaminen palvelun päänimellä sovellustunnuksen ja sovelluksen salauskoodin avulla.

Huomautus

Azure AD suosittelee, että suojaat taustapalvelusi varmenteiden avulla salaisten avainten sijaan.

Menetelmä

Jos haluat käyttää palvelun päänimeä ja sovellustunnusta upotetussa analyysissa, toimi seuraavasti:

  1. Luo Azure AD -sovellus.

    1. Luo Azure AD -sovellus.
    2. Hanki sovelluksen sovellustunnus ja sovelluksen salauskoodi.

    Huomautus

    Nämä vaiheet on kuvattu vaiheessa 1. Lisätietoja Azure AD -sovelluksen luomisesta on kohdassa Azure AD -sovelluksen luominen.

  2. Luo Azure AD:n käyttöoikeusryhmä.

  3. Ota Power BI -palvelun järjestelmänvalvojan asetukset käyttöön.

  4. Lisää palvelun päänimi työtilaasi.

  5. Upota sisältö.

Tärkeä

Kun otat palvelun päänimen käyttöön käytettäväksi Power BI:n kanssa, sovelluksen AD-käyttöoikeudet eivät ole enää voimassa. Sovelluksen käyttöoikeuksia hallitaan tässä tapauksessa Power BI -hallintaportaalissa.

Vaihe 1 – Luo Azure AD -sovellus

Luo Azure AD -sovellus seuraavasti:

Sovelluksen luominen Microsoft Azure -portaalissa

  1. Kirjaudu Microsoft Azureen.

  2. Etsi Sovelluksen rekisteröinnit ja napsauta Sovelluksen rekisteröinnit -linkkiä.

    azure app registration

  3. Napsauta Uusi rekisteröinti.

    new registration

  4. Täytä tarvittavat tiedot:

    • Nimi – Anna nimi sovelluksellesi
    • Tuetut tilityypit – Valitse tuetut tilityypit
    • (Valinnainen) Uudelleenohjauksen URI – Anna URI tarvittaessa
  5. Valitse Rekisteröi.

  6. Rekisteröinnin jälkeen Sovellustunnus on käytettävissä Yleiskatsaus-välilehdessä. Kopioi ja tallenna sovellustunnus myöhempää käyttöä varten.

    Screenshot shows where to obtain an Application I D in the Overview tab.

  7. Napsauta Varmenteet salaiset koodit & -välilehteä.

    A screenshot that shows the certificates and secrets pane for an app in the Azure portal.

  8. Napsauta Uusi asiakasohjelman salasana

    A screenshot that shows the new client secret button in the certificates and secrets pane.

  9. Kirjoita Lisää asiakasohjelman salasana -ikkunaan kuvaus, määritä asiakasohjelman salasanan vanhenemisajankohta ja napsauta Lisää.

  10. Kopioi ja tallenna Asiakasohjelman salasana -arvo.

    A screenshots that shows a blurred out secret value in the certificates and secrets pane.

    Huomautus

    Kun poistut tästä ikkunasta, asiakasohjelman salasanan arvo piilotetaan etkä pysty lukemaan etkä kopioimaan sitä uudelleen.

Azure AD -sovelluksen luominen PowerShellin avulla

Tässä osiossa on mallikomentosarja, jolla voit luoda uuden Azure AD -sovelluksen PowerShellin avulla.

# The app ID - $app.appid
# The service principal object ID - $sp.objectId
# The app key - $key.value

# Sign in as a user that's allowed to create an app
Connect-AzureAD

# Create a new Azure AD web application
$app = New-AzureADApplication -DisplayName "testApp1" -Homepage "https://localhost:44322" -ReplyUrls "https://localhost:44322"

# Creates a service principal
$sp = New-AzureADServicePrincipal -AppId $app.AppId

# Get the service principal key
$key = New-AzureADServicePrincipalPasswordCredential -ObjectId $sp.ObjectId

Vaihe 2 – Luo Azure AD:n käyttöoikeusryhmä

Palvelun päänimellä ei ole käyttöoikeutta mihinkään Power BI -sisältöihisi eikä ohjelmointirajapintoihisi. Kun haluat antaa palvelun päänimelle käyttöoikeuden, luo käyttöoikeusryhmä Azure AD:ssä ja lisää luomasi palvelun päänimi kyseiseen käyttöoikeusryhmään.

Azure AD -käyttöoikeusryhmän luomiseen on kaksi tapaa:

Käyttöoikeusryhmän luominen manuaalisesti

Jos haluat luoda Azure-käyttöoikeusryhmän manuaalisesti, noudata ohjeita artikkelissa Perusryhmän luominen ja jäsenten lisääminen.

Käyttöoikeusryhmän luominen PowerShellin avulla

Alla on esimerkkikomentosarja, jolla luodaan uusi käyttöoikeusryhmä ja lisätään sovellus tähän käyttöoikeusryhmään.

Huomautus

Jos haluat ottaa käyttöön täydelliset käyttöoikeudet koko organisaation tasolla, ohita tämä vaihe.

# Required to sign in as admin
Connect-AzureAD

# Create an Azure AD security group
$group = New-AzureADGroup -DisplayName <Group display name> -SecurityEnabled $true -MailEnabled $false -MailNickName notSet

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId $($group.ObjectId) -RefObjectId $($sp.ObjectId)

Vaihe 3 – Ota Power BI -palvelun järjestelmänvalvojan asetukset käyttöön

Jotta Azure AD -sovellus voi käyttää Power BI sisältöä ja ohjelmointirajapintoja, Power BI järjestelmänvalvojan on otettava palvelun päänimen käyttöoikeus käyttöön Power BI hallintaportaalissa.

Siirry hallintaportaalinvuokraaja-asetuksiin ja lisää Azure AD:ssä luomasi käyttöoikeusryhmä Kehittäjäasetukset-kohdan tiettyyn käyttöoikeusryhmään.

Tärkeä

Palvelun päänimillä on käyttöoikeus kaikkiin asetuksiin, jotka niille on otettu käyttöön. Järjestelmänvalvojan asetusten mukaan tämä sisältää tietyt käyttöoikeusryhmät tai koko organisaation.

Jos haluat rajoittaa palvelun päänimen käyttöoikeuksia tiettyihin vuokraajan asetuksiin, salli käyttö vain tietyille käyttöoikeusryhmille. Vaihtoehtoisesti voit luoda erityisen käyttöoikeusryhmän palvelun päänimiä varten ja jättää sen pois halutuista vuokraajan asetuksista.

Screenshot showing the developer settings in the admin options in Power B I service.

Vaihe 4 – Lisää palvelun päänimi työtilaasi

Jos haluat Azure AD -sovelluksesi voivan käyttää Power BI -palvelussa artefakteja, kuten raportteja, koontinäyttöjä ja tietojoukkoja, lisää palvelun pääentiteetti tai käyttöoikeusryhmä, joka sisältää palvelun päänimen, jäseneksi tai järjestelmänvalvojaksi työtilaasi.

Huomautus

Tässä osiossa on käyttöliittymän ohjeet. Voit lisätä palvelun päänimen tai käyttöoikeusryhmän työtilaan myös valitsemalla Ryhmät – Lisää ryhmän käyttäjän ohjelmointirajapinta.

  1. Siirry sen työtilan kohdalle, jonka käyttöoikeuden haluat ottaa käyttöön, ja valitse Lisää-valikosta Työtilan käyttöoikeus.

    Screenshot showing the workspace access button in the more menu of a Power BI workspace.

  2. Lisää käyttöoikeusruudun tekstiosaan jokin seuraavista:

    • Palvelun päänimi. Palvelun päänimi on Azure AD -sovelluksen näyttönimi sellaisena kuin se näkyy Azure AD -sovelluksesi Yleiskatsaus-välilehdellä.

    • Käyttöoikeusryhmä, joka sisältää palvelun päänimen.

  3. Valitse avattavasta valikosta Jäsen tai Järjestelmänvalvoja.

  4. Valitse Lisää.

Palvelun päänimen lisääminen työtilan jäseneksi PowerShellin avulla

Tässä osiossa on mallikomentosarja, jolla voit lisätä palvelun päänimen työtilan jäseneksi PowerShellin avulla.

Login-PowerBI

# Service Principal Object ID for the created Service Principal
$SPObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType App -Identifier $SPObjectId 

Käyttöoikeusryhmän päänimen lisääminen työtilan jäseneksi PowerShellin avulla

Tässä osiossa on mallikomentosarja, jolla voit lisätä käyttöoikeusryhmän työtilan jäseneksi PowerShellin avulla.

Login-PowerBI

# Security Group Object ID for the created Security Group
$SGObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType Group -Identifier $SGObjectId 

Vaihe 5 – Upota sisältö

Voit upottaa sisältösi mallisovellukseen tai omaan sovellukseesi.

Kun sisältösi on upotettu, olet valmis siirtymään tuotantoon.

Huomautus

Jos haluat suojata ratkaisusi varmenteen avulla, noudata Power BI -sisällön upottaminen palvelun päänimeen ja varmenteeseen -kohdassa kuvattuja vaiheita.

Huomioitavat asiat ja rajoitukset

  • Palvelun päänimi toimii vain uusien työtilojen kanssa.
  • Omaa työtilaa ei tueta, kun käytät palvelun päänimeä.
  • Tarvitset kapasiteettia, kun siirryt tuotantoon.
  • Et voi kirjautua Power BI -portaaliin palvelun päänimellä.
  • Power BI -järjestelmänvalvojan oikeuksia edellytetään, kun otat palvelun päänimen käyttöön Power BI -hallintaportaalin kehittäjäasetuksissa.
  • Organisaatiosi upotetut sovellukset eivät voi käyttää palvelun päänimeä.
  • Tietovoiden hallintaa ei tueta.
  • Palvelun päänimi tukee vain joitakin vain luku -tilassa olevat järjestelmänvalvojan ohjelmointirajapinnat. Jos haluat ottaa käyttöön palvelun päänimen tuen vain luku -tilassaisille järjestelmänvalvojan ohjelmointirajapinnoille, sinun on otettava Power BI -palvelu järjestelmänvalvojan asetukset käyttöön vuokraajassasi. Lisätietoja on artikkelissa Palvelun päänimi -todennuksen ottaminen käyttöön vain luku -tilassa oleville järjestelmänvalvojan ohjelmointirajapinnoille.
  • Kun palvelun päänimeä käytetään Azure Analysis Services ‑tietolähteen avulla, palvelun päänimellä on itsellään oltava käyttöoikeudet Azure Analysis Services ‑esiintymään. Tähän ei riitä käyttöoikeusryhmä, joka sisältää palvelun päänimen.

Seuraavat vaiheet