Configurare il Single Sign-On basato su Kerberos dal servizio Power BI alle origini dati localiConfigure Kerberos-based SSO from Power BI service to on-premises data sources

L'abilitazione di SSO rende più semplice per i report e i dashboard di Power BI aggiornare i dati delle origini locali pur rispettando le autorizzazioni a livello di utente configurate per tali origini.Enabling SSO makes it easy for Power BI reports and dashboards to refresh data from on-premises sources while respecting user-level permissions configured on those sources. Usare la delega vincolata Kerberos per abilitare una connettività SSO ottimale.Use Kerberos constrained delegation to enable seamless SSO connectivity.

PrerequisitiPrerequisites

Per il corretto funzionamento della delega vincolata Kerberos è necessario configurare diversi elementi, ad esempio i nomi delle entità servizio e le impostazioni di delega per gli account del servizio.Several items must be configured for Kerberos constrained delegation to work properly, including Service Principal Names (SPN) and delegation settings on service accounts.

installare e configurare il gateway dati localeInstall and configure the Microsoft on-premises data gateway

Il gateway dati locale supporta un aggiornamento sul posto nonché l'acquisizione della proprietà delle impostazioni dei gateway esistenti.The on-premises data gateway supports an in-place upgrade, and settings takeover of existing gateways.

eseguire il servizio di Windows gateway come account di dominioRun the gateway Windows service as a domain account

In un'installazione standard, il gateway viene eseguito come account del servizio locale del computer, ovvero NT Service\PBIEgwService.In a standard installation, the gateway runs as the machine-local service account, NT Service\PBIEgwService.

Account del servizio locale del computer

Per abilitare la delega vincolata Kerberos, il gateway deve essere eseguito come account di dominio, a meno che l'istanza di Azure Active Directory (Azure AD) non sia già sincronizzata con l'istanza di Active Directory locale tramite Azure AD DirSync/Connect.To enable Kerberos constrained delegation, the gateway must run as a domain account, unless your Azure Active Directory (Azure AD) instance is already synchronized with your local Active Directory instance (by using Azure AD DirSync/Connect). Per passare a un account di dominio, vedere Modificare l'account del servizio gateway.To switch to a domain account, see change the gateway service account.

Nota

Se Azure AD Connect è configurato e gli account utente sono sincronizzati, il servizio gateway non dovrà eseguire ricerche locali in Azure AD in fase di esecuzione.If Azure AD Connect is configured and user accounts are synchronized, the gateway service doesn't need to perform local Azure AD lookups at runtime. Per completare la configurazione necessaria in Azure AD, è invece possibile usare semplicemente l'ID di sicurezza (SID) del servizio locale per il servizio gateway.Instead, you can simply use the local service SID for the gateway service to complete all required configuration in Azure AD. La procedura di configurazione della delega vincolata Kerberos descritta in questo articolo è uguale a quella necessaria nel contesto di Azure AD.The Kerberos constrained delegation configuration steps outlined in this article are the same as the configuration steps required in the Azure AD context. Viene applicata all'oggetto computer del gateway, identificato dall'ID di sicurezza (SID) del servizio locale, in Azure AD anziché all'account di dominio.They are applied to the gateway's computer object (as identified by the local service SID) in Azure AD instead of the domain account.

Ottenere i diritti di amministratore di dominio per configurare i nomi delle entità servizio (SetSPN) e le impostazioni di delega vincolata KerberosObtain domain admin rights to configure SPNs (SetSPN) and Kerberos constrained delegation settings

Per configurare i nomi delle entità servizio e le impostazioni di delega Kerberos, un amministratore di dominio deve evitare di concedere diritti a un utente che non ha i diritti di amministratore di dominio.To configure SPNs and Kerberos delegation settings, a domain administrator should avoid granting rights to someone that doesn't have domain admin rights. Nella sezione seguente viene illustrata in modo più dettagliato la procedura di configurazione consigliata.In the following section, we cover the recommended configuration steps in more detail.

Configurare la delega vincolata Kerberos per il gateway e l'origine datiConfigure Kerberos constrained delegation for the gateway and data source

Se necessario, configurare un nome dell'entità servizio (SPN) per l'account di dominio del servizio gateway come amministratore di dominio e configurare le impostazioni di delega nell'account di dominio del servizio gateway.If necessary, configure an SPN for the gateway service domain account as a domain administrator and configure delegation settings on the gateway service domain account.

Configurare un nome dell'entità servizio per l'account del servizio gatewayConfigure an SPN for the gateway service account

Determinare prima se è già stato creato un nome dell'entità servizio per l'account di dominio usato come account del servizio gateway:First, determine whether an SPN was already created for the domain account used as the gateway service account:

  1. Come amministratore di dominio avviare lo snap-in Microsoft Management Console (MMC) Utenti e computer di Active Directory.As a domain administrator, launch the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in.

  2. Nel riquadro sinistro fare clic con il pulsante destro del mouse sul nome del dominio, scegliere Trova e quindi immettere il nome dell'account del servizio gateway.In the left pane, right-click the domain name, select Find, and then enter the account name of the gateway service account.

  3. Nei risultati della ricerca fare clic con il pulsante destro del mouse sull'account del servizio gateway e scegliere Proprietà.In the search result, right-click the gateway service account and select Properties.

  4. Se la scheda Delega è visibile nella finestra di dialogo Proprietà, un nome dell'entità servizio è già stato creato ed è possibile passare a Decidere il tipo di delega vincolata Kerberos da usare.If the Delegation tab is visible on the Properties dialog, then an SPN was already created and you can skip to Decide on the type of Kerberos constrained delegation to use.

  5. Se la scheda Delega non è presente nella finestra di dialogo Proprietà, è possibile creare manualmente un nome dell'entità servizio nell'account per abilitarla.If there isn't a Delegation tab on the Properties dialog box, you can manually create an SPN on the account to enable it. Usare lo strumento setspn incluso in Windows. Per creare il nome SPN sono necessari diritti di amministratore di dominio.Use the setspn tool that comes with Windows (you need domain admin rights to create the SPN).

    Si supponga, ad esempio, che l'account del servizio gateway sia Contoso\GatewaySvc e che il servizio gateway sia in esecuzione in un computer denominato MyGatewayMachine.For example, suppose the gateway service account is Contoso\GatewaySvc and the gateway service is running on the machine named MyGatewayMachine. Per impostare il nome dell'entità servizio per l'account del servizio gateway, eseguire il comando seguente:To set the SPN for the gateway service account, run the following command:

    setspn -a gateway/MyGatewayMachine Contoso\GatewaySvc

    Per impostare il nome dell'entità servizio, è anche possibile usare lo snap-in MMC Utenti e computer di Active Directory.You can also set the SPN by using the Active Directory Users and Computers MMC snap-in.

Aggiungere l'account del servizio gateway al Gruppo di accesso e autorizzazioni Windows se necessarioAdd gateway service account to Windows Authorization and Access Group if required

In alcuni scenari è necessario aggiungere l'account del servizio gateway al Gruppo di accesso e autorizzazioni Windows.In certain scenarios the gateway service account must be added to the Windows Authorization and Access Group. Questi scenari includono la protezione avanzata dell'ambiente Active Directory e il caso in cui l'account del servizio gateway e gli account utente che il gateway rappresenterà si trovino in domini o foreste distinti.These scenarios include security hardening of the Active Directory environment, and when the gateway service account and the user accounts that the gateway will impersonate are in separate domains or forests. È anche possibile aggiungere l'account del servizio gateway al Gruppo di accesso e autorizzazioni Windows in situazioni in cui la finalizzazione di dominio o foresta non sia stata eseguita, ma non sia necessaria.You can also add the gateway service account to Windows Authorization and Access Group in situations where the domain / forest has not been hardened, but it isn't required.

Per altre informazioni, vedere Gruppo di accesso e autorizzazioni Windows.For more information, see Windows Authorization and Access Group.

Per completare questo passaggio di configurazione, per ogni dominio contenente utenti Active Directory è necessario che l'account del servizio gateway possa eseguire una rappresentazione:To complete this configuration step, for each domain that contains Active Directory users you want the gateway service account to be able to impersonate:

  1. Accedere a un computer nel dominio e avviare lo snap-in MMC Utenti e computer di Active Directory.Sign in to a computer in the domain, and launch the Active Directory Users and Computers MMC snap-in.
  2. Individuare il Gruppo di accesso e autorizzazioni Windows che in genere si trova nel contenitore Builtin.Locate the group Windows Authorization and Access Group, which is typically found in the Builtin container.
  3. Fare doppio clic sul gruppo e fare clic sulla scheda Membri.Double click on the group, and click on the Members tab.
  4. Fare clic su Aggiungi e modificare il percorso del dominio nel dominio in cui si trova l'account del servizio gateway.Click Add, and change the domain location to the domain that the gateway service account resides in.
  5. Digitare il nome dell'account del servizio gateway e fare clic su Controlla nomi per verificare che l'account del servizio gateway sia accessibile.Type in the gateway service account name and click Check Names to verify that the gateway service account is accessible.
  6. Fare clic su OK.Click OK.
  7. Fare clic su Applica.Click Apply.
  8. Riavviare il servizio gateway.Restart the gateway service.

Decidere il tipo di delega vincolata Kerberos da usareDecide on the type of Kerberos constrained delegation to use

È possibile configurare le impostazioni di delega per la delega vincolata Kerberos standard o per la delega vincolata Kerberos basata sulle risorse.You can configure delegation settings for either standard Kerberos constrained delegation or resource-based Kerberos constrained delegation. Usare la delega basata sulle risorse (è richiesto Windows Server 2012 o versione successiva) se l'origine dati appartiene a un dominio diverso da quello del gateway.Use resource-based delegation (requires Windows Server 2012 or later) if your data source belongs to a different domain than your gateway. Per altre informazioni sulle differenze tra i due approcci alla delega, vedere Panoramica della delega vincolata Kerberos.For more information on the differences between the two approaches to delegation, see Kerberos constrained delegation overview.

A seconda dell'approccio che si vuole usare, passare a una delle sezioni seguenti.Depending on which approach you want to use, proceed to one of the following sections. Non completare entrambe le sezioni:Don't complete both sections:

Configurare l'account del servizio gateway per la delega vincolata Kerberos standardConfigure the gateway service account for standard Kerberos constrained delegation

Nota

Completare i passaggi descritti in questa sezione se si vuole abilitare la delega vincolata Kerberos standard.Complete the steps in this section if you want to enable standard Kerberos constrained delegation. Se si vuole invece abilitare la delega vincolata Kerberos basata sulle risorse, completare i passaggi descritti in Configurare l'account del servizio gateway per la delega vincolata Kerberos basata sulle risorse.Otherwise, if you want to enable resource-based Kerberos constrained delegation, complete the steps in Configure the gateway service account for resource-based Kerberos constrained delegation.

Verranno ora configurate le impostazioni di delega per l'account del servizio gateway.We'll now set the delegation settings for the gateway service account. Per eseguire questi passaggi sono disponibili vari strumenti.There are multiple tools you can use to perform these steps. Qui si userà lo snap-in MMC Utenti e computer di Active Directory per amministrare e pubblicare le informazioni nella directory.Here, we'll use the Active Directory Users and Computers MMC snap-in to administer and publish information in the directory. Nei controller di dominio è disponibile per impostazione predefinita. In altri computer è possibile abilitarlo tramite la configurazione delle funzionalità di Windows.It's available on domain controllers by default; on other machines, you can enable it through Windows feature configuration.

È necessario configurare la delega vincolata Kerberos con protocollo in transito.We need to configure Kerberos constrained delegation with protocol transiting. Con la delega vincolata è necessario dichiarare esplicitamente a quali servizi il gateway potrà presentare credenziali delegate.With constrained delegation, you must be explicit about which services you allow the gateway to present delegated credentials to. Ad esempio, solo SQL Server o il server SAP HANA accettano le chiamate di delega dall'account del servizio gateway.For example, only SQL Server or your SAP HANA server accepts delegation calls from the gateway service account.

Questa sezione presuppone che i nomi delle entità servizio per le origini dati sottostanti, ad esempio SQL Server, SAP HANA, SAP BW, Teradata o Spark, siano già stati configurati.This section assumes you have already configured SPNs for your underlying data sources (such as SQL Server, SAP HANA, SAP BW, Teradata, or Spark). Per informazioni su come configurare i nomi dell'entità servizio del server dell'origine dati, fare riferimento alla documentazione tecnica per il rispettivo server di database e vedere la sezione What SPN does your app require? (Quale nome dell'entità servizio è richiesto per l'app?) nel post di blog My Kerberos Checklist (Elenco di controllo per Kerberos).To learn how to configure those data source server SPNs, refer to the technical documentation for the respective database server and see the section What SPN does your app require? in the My Kerberos Checklist blog post.

Nei passaggi seguenti si presuppone un ambiente locale con due computer nello stesso dominio: un computer gateway e un server di database con SQL Server che è già stato configurato per SSO basato su Kerberos.In the following steps, we assume an on-premises environment with two machines in the same domain: a gateway machine and a database server running SQL Server that has already been configured for Kerberos-based SSO. È possibile adottare i passaggi per una delle altre origini dati supportate, a condizione che questa sia già stata configurata per il Single Sign-On basato su Kerberos.The steps can be adopted for one of the other supported data sources, so long as the data source has already been configured for Kerberos-based single sign-on. Per questo esempio, verranno usate le impostazioni seguenti:For this example, we'll use the following settings:

  • Dominio di Active Directory (Netbios): ContosoActive Directory Domain (Netbios): Contoso
  • Nome del computer del gateway: MyGatewayMachineGateway machine name: MyGatewayMachine
  • Account del servizio gateway: Contoso\GatewaySvcGateway service account: Contoso\GatewaySvc
  • Nome del computer dell'origine dati SQL Server: TestSQLServerSQL Server data source machine name: TestSQLServer
  • Account del servizio dell'origine dati SQL Server: Contoso\SQLServiceSQL Server data source service account: Contoso\SQLService

Ecco come configurare le impostazioni di delega:Here's how to configure the delegation settings:

  1. Aprire lo snap-in MMC Utenti e computer di Active Directory con diritti di amministratore di dominio.With domain administrator rights, open the Active Directory Users and Computers MMC snap-in.

  2. Fare clic con il pulsante destro del mouse sull'account del servizio gateway (Contoso\GatewaySvc) e selezionare Proprietà.Right-click the gateway service account (Contoso\GatewaySvc), and select Properties.

  3. Selezionare la scheda Delega.Select the Delegation tab.

  4. Selezionare Computer attendibile per la delega solo ai servizi specificati > Usa un qualsiasi protocollo di autenticazione.Select Trust this computer for delegation to specified services only > Use any authentication protocol.

  5. In Servizi ai quali l'account può presentare credenziali delegate selezionare Aggiungi.Under Services to which this account can present delegated credentials, select Add.

  6. Nella nuova finestra di dialogo selezionare Utenti o computer.In the new dialog box, select Users or Computers.

  7. Immettere l'account del servizio per l'origine dati e quindi selezionare OK.Enter the service account for the data source, and then select OK.

    Ad esempio, un'origine dati di SQL Server può avere un account del servizio come Contoso\SQLService.For example, a SQL Server data source can have a service account like Contoso\SQLService. Un nome SPN appropriato per l'origine dati deve essere già stato impostato per l'account.An appropriate SPN for the data source should have already been set on this account.

  8. Selezionare il nome dell'entità servizio creato per il server di database.Select the SPN that you created for the database server.

    In questo esempio il nome SPN inizia con MSSQLSvc.In our example, the SPN begins with MSSQLSvc. Se sono stati aggiunti sia il nome di dominio completo sia il nome dell'entità servizio NetBIOS, verranno selezionati entrambi,If you added both the FQDN and the NetBIOS SPN for your database service, select both. ma potrebbe esserne visibile solo uno.You might see only one.

  9. Selezionare OK.Select OK.

    A questo punto il nome SPN verrà visualizzato nell'elenco dei servizi a cui l'account del servizio gateway può presentare le credenziali delegate.You should now see the SPN in the list of services to which the gateway service account can present delegated credentials.

    Finestra di dialogo delle proprietà del connettore gateway

  10. Per continuare il processo di configurazione, passare a Concedere all'account del servizio gateway diritti di criteri locali nel computer gateway.To continue the setup process, proceed to Grant the gateway service account local policy rights on the gateway machine.

Configurare l'account del servizio gateway per la delega vincolata Kerberos basata sulle risorseConfigure the gateway service account for resource-based Kerberos constrained delegation

Nota

Completare i passaggi descritti in questa sezione se si vuole abilitare la delega vincolata Kerberos basata sulle risorse.Complete the steps in this section if you want to enable resource-based Kerberos constrained delegation. Se si vuole invece abilitare la delega vincolata Kerberos standard, completare i passaggi descritti in Configurare l'account del servizio gateway per la delega vincolata Kerberos standard.Otherwise, if you want to enable standard Kerberos constrained delegation, complete the steps in Configure the gateway service account for standard Kerberos constrained delegation.

Usare la delega vincolata Kerberos basata sulle risorse per abilitare la connettività Single Sign-On per Windows Server 2012 e versioni successive.You use resource-based Kerberos constrained delegation to enable single sign-on connectivity for Windows Server 2012 and later versions. Questo tipo di delega consente l'appartenenza a domini diversi per i servizi front-end e back-end.This type of delegation permits front-end and back-end services to be in different domains. Per il corretto funzionamento, il dominio del servizio back-end deve considerare attendibile il dominio del servizio front-end.For it to work, the back-end service domain needs to trust the front-end service domain.

Nei passaggi seguenti si presuppone un ambiente locale con due computer in domini diversi: un computer gateway e un server di database con SQL Server che è già stato configurato per il Single Sign-On basato su Kerberos.In the following steps, we assume an on-premises environment with two machines in different domains: a gateway machine and a database server running SQL Server that has already been configured for Kerberos-based SSO. È possibile adottare questi passaggi per una delle altre origini dati supportate, a condizione che questa sia già stata configurata per l'accesso Single Sign-On basato su Kerberos.These steps can be adopted for one of the other supported data sources, so long as the data source has already been configured for Kerberos-based single sign-on. Per questo esempio, verranno usate le impostazioni seguenti:For this example, we'll use the following settings:

  • Dominio front-end di Active Directory (Netbios): ContosoFrontEndActive Directory frontend Domain (Netbios): ContosoFrontEnd
  • Dominio back-end di Active Directory (Netbios): ContosoBackEndActive Directory backend Domain (Netbios): ContosoBackEnd
  • Nome del computer del gateway: MyGatewayMachineGateway machine name: MyGatewayMachine
  • Account del servizio gateway: ContosoFrontEnd\GatewaySvcGateway service account: ContosoFrontEnd\GatewaySvc
  • Nome del computer dell'origine dati SQL Server: TestSQLServerSQL Server data source machine name: TestSQLServer
  • Account del servizio dell'origine dati SQL Server: ContosoBackEnd\SQLServiceSQL Server data source service account: ContosoBackEnd\SQLService

Completare la procedura di configurazione seguente:Complete the following configuration steps:

  1. Usare lo snap-MMC Utenti e computer di Active Directory nel controller di dominio per il dominio ContosoFrontEnd e verificare che non siano state applicate impostazioni di delega per l'account del servizio gateway.Use the Active Directory Users and Computers MMC snap-in on the domain controller for the ContosoFrontEnd domain and verify no delegation settings are applied for the gateway service account.

    Proprietà del connettore gateway

  2. Usare Utenti e computer di Active Directory nel controller di dominio per il dominio ContosoBackEnd e verificare che per l'account del servizio back-end non siano applicate impostazioni di delega.Use Active Directory Users and Computers on the domain controller for the ContosoBackEnd domain and verify no delegation settings are applied for the back-end service account.

    Proprietà del servizio SQL

  3. Nella scheda Editor attributi delle proprietà dell'account verificare che l'attributo msDS-AllowedToActOnBehalfOfOtherIdentity non sia impostato.In the Attribute Editor tab of the account properties, verify that the msDS-AllowedToActOnBehalfOfOtherIdentity attribute isn't set.

    Attributi del servizio SQL

  4. In Utenti e computer di Active Directory creare un gruppo nel controller di dominio per il dominio ContosoBackEnd.In Active Directory Users and Computers, create a group on the domain controller for the ContosoBackEnd domain. Aggiungere l'account del servizio gateway GatewaySvc al gruppo ResourceDelGroup.Add the GatewaySvc gateway service account to the ResourceDelGroup group.

    Proprietà del gruppo

  5. Aprire un prompt dei comandi ed eseguire i comandi seguenti nel controller di dominio per il dominio ContosoBackEnd per aggiornare l'attributo msDS-AllowedToActOnBehalfOfOtherIdentity dell'account del servizio back-end:Open a command prompt and run the following commands in the domain controller for the ContosoBackEnd domain to update the msDS-AllowedToActOnBehalfOfOtherIdentity attribute of the back-end service account:

    $c = Get-ADGroup ResourceDelGroup
    Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c
    
  6. In Utenti e computer di Active Directory verificare che l'aggiornamento sia rispecchiato nella scheda Editor attributi nelle proprietà per l'account del servizio back-end.In Active Directory Users and Computers, verify that the update is reflected in the Attribute Editor tab in the properties for the back-end service account.

Concedere all'account del servizio gateway diritti di criteri locali nel computer gatewayGrant the gateway service account local policy rights on the gateway machine

Infine, nel computer in cui è in esecuzione il servizio gateway, MyGatewayMachine in questo esempio, concedere all'account del servizio gateway i criteri locali Rappresenta un client dopo l'autenticazione e Agire come parte del sistema operativo (SeTcbPrivilege) .Finally, on the machine running the gateway service (MyGatewayMachine in our example), grant the gateway service account the local policies Impersonate a client after authentication and Act as part of the operating system (SeTcbPrivilege). Eseguire questa configurazione con l'Editor Criteri di gruppo locali (gpedit.msc).Perform this configuration with the Local Group Policy Editor (gpedit.msc).

  1. Nel computer gateway eseguire gpedit.msc.On the gateway machine, run gpedit.msc.

  2. Vai a Criteri del computer locale > Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Assegnazione diritti utente.Go to Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.

    Struttura di cartelle di Criteri del computer locale

  3. Nell'elenco di criteri in Assegnazione diritti utente selezionare Rappresenta un client dopo l'autenticazione.Under User Rights Assignment, from the list of policies, select Impersonate a client after authentication.

    Criterio Rappresenta un client

  4. Fare clic con il pulsante destro del mouse sul criterio, scegliere Proprietà e quindi visualizzare l'elenco degli account.Right-click the policy, open Properties, and then view the list of accounts.

    L'elenco deve includere l'account del servizio gateway (Contoso\GatewaySvc o ContosoFrontEnd\GatewaySvc a seconda del tipo di delega vincolata).The list must include the gateway service account (Contoso\GatewaySvc or ContosoFrontEnd\GatewaySvc depending on the type of constrained delegation).

  5. In Diritti assegnazione utente selezionare Agire come parte del sistema operativo (SeTcbPrivilege) nell'elenco dei criteri.Under User Rights Assignment, select Act as part of the operating system (SeTcbPrivilege) from the list of policies. Accertarsi che l'account del servizio gateway sia incluso nell'elenco degli account.Ensure that the gateway service account is included in the list of accounts.

  6. Riavviare il processo del servizio Gateway dati locale.Restart the On-premises data gateway service process.

Impostare i parametri di configurazione del mapping utente nel computer gateway, se necessarioSet user-mapping configuration parameters on the gateway machine (if necessary)

Se Azure AD Connect non è configurato, seguire questa procedura per mappare un utente del servizio Power BI a un utente Active Directory locale.If you don't have Azure AD Connect configured, follow these steps to map a Power BI service user to a local Active Directory user. Ogni utente Active Directory mappato in questo modo deve avere le autorizzazioni SSO necessarie per l'origine dati.Each Active Directory user mapped in this way needs to have SSO permissions for your data source. Per altre informazioni, vedere il video Guy in a Cube.For more information, see Guy in a Cube video.

  1. Aprire il file di configurazione del gateway principale Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.Open the main gateway configuration file, Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll. Per impostazione predefinita, il file si trova in C:\Programmi\Gateway dati locale.By default, this file is stored at C:\Program Files\On-premises data gateway.

  2. Impostare ADUserNameLookupProperty su un attributo Active Directory non usato.Set ADUserNameLookupProperty to an unused Active Directory attribute. Nei passaggi successivi verrà usato msDS-cloudExtensionAttribute1.We'll use msDS-cloudExtensionAttribute1 in the steps that follow. Questo attributo è disponibile solo in Windows Server 2012 e versioni successive.This attribute is available only in Windows Server 2012 and later.

  3. Impostare ADUserNameReplacementProperty su SAMAccountName e quindi salvare il file di configurazione.Set ADUserNameReplacementProperty to SAMAccountName and then save the configuration file.

  4. Nella scheda Servizi di Gestione attività fare clic con il pulsante destro del mouse sul servizio gateway e selezionare Riavvia.From the Services tab of Task Manager, right-click the gateway service and select Restart.

    Screenshot della scheda Servizi di Gestione attività

  5. Per ogni utente del servizio Power BI per il quale si vuole abilitare l'accesso Single Sign-On Kerberos, impostare la proprietà msDS-cloudExtensionAttribute1 di un utente Active Directory locale (con autorizzazione SSO per l'origine dati) sul nome utente completo (UPN) dell'utente del servizio Power BI.For each Power BI service user you want to enable Kerberos SSO for, set the msDS-cloudExtensionAttribute1 property of a local Active Directory user (with SSO permission to your data source) to the full username (UPN) of the Power BI service user. Ad esempio, se si accede al servizio Power BI come test@contoso.com e si vuole mappare questo utente a un utente di Active Directory locale con autorizzazioni SSO, quale ad esempio test@LOCALDOMAIN.COM, impostare l'attributo msDS-cloudExtensionAttribute1 dell'utente su test@contoso.com.For example, if you sign in to Power BI service as test@contoso.com and you want to map this user to a local Active Directory user with SSO permissions, say, test@LOCALDOMAIN.COM, set this user's msDS-cloudExtensionAttribute1 attribute to test@contoso.com.

    È possibile impostare la proprietà msDS-cloudExtensionAttribute1 con lo snap-in MMC Utenti e computer di Active Directory:You can set the msDS-cloudExtensionAttribute1 property with the Active Directory Users and Computers MMC snap-in:

    1. Come amministratore di dominio, avviare Utenti e computer di Active Directory.As a domain administrator, launch Active Directory Users and Computers.

    2. Fare clic con il pulsante destro del mouse sul nome del dominio, scegliere Trova e quindi immettere il nome dell'account dell'utente di Active Directory locale da mappare.Right-click the domain name, select Find, and then enter the account name of the local Active Directory user to map.

    3. Selezionare la scheda Editor attributi.Select the Attribute Editor tab.

      Individuare la proprietà msDS-cloudExtensionAttribute1 e fare doppio clic su di essa.Locate the msDS-cloudExtensionAttribute1 property, and double-click it. Impostare il valore sul nome utente completo (UPN) dell'utente usato per accedere al servizio Power BI.Set the value to the full username (UPN) of the user you use to sign in to the Power BI service.

    4. Selezionare OK.Select OK.

      Finestra Editor attributo stringa

    5. Selezionare Applica.Select Apply. Verificare che sia stato impostato il valore corretto nella colonna Valore.Verify that the correct value has been set in the Value column.

Completare i passaggi di configurazione specifici dell'origine datiComplete data source-specific configuration steps

SAP HANA e SAP BW hanno requisiti di configurazione specifici dell'origine dati e prerequisiti che è necessario soddisfare prima che sia possibile stabilire una connessione SSO tramite il gateway a queste origini dati.SAP HANA and SAP BW have additional data-source specific configuration requirements and prerequisites that you need to meet before you can establish an SSO connection through the gateway to these data sources. Per altre informazioni, vedere la configurazione di SAP HANA e la pagina di configurazione di SAP BW - CommonCryptoLib (sapcrypto.dll).For more information, see SAP HANA configuration and the SAP BW - CommonCryptoLib (sapcrypto.dll) configuration page. Sebbene sia possibile configurare SAP BW per l'uso con la libreria SNC gx64krb5, questa libreria è sconsigliata perché non più supportata da SAP.Although it's possible to configure SAP BW for use with the gx64krb5 SNC library, this library isn't recommended because it's no longer supported by SAP. Come libreria SNC, è consigliabile usare CommonCryptoLib oppure gx64krb5.You should use CommonCryptoLib or gx64krb5 as your SNC library. Non completare i passaggi di configurazione per entrambe le librerie.Don't complete the configuration steps for both libraries.

Nota

Sebbene per l'accesso SSO a BW possano essere usate anche altre librerie SNC, non sono ufficialmente supportate da Microsoft.Although other SNC libraries might also work for BW SSO, they aren't officially supported by Microsoft.

Eseguire un report di Power BIRun a Power BI report

Dopo aver completato tutti i passaggi di configurazione, usare la pagina Gestisci gateway in Power BI per configurare l'origine dati da usare per SSO.After you complete all the configuration steps, use the Manage Gateway page in Power BI to configure the data source to use for SSO. In presenza di più gateway, assicurarsi di selezionare il gateway configurato per il Single Sign-On Kerberos.If you have multiple gateways, ensure that you select the gateway you've configured for Kerberos SSO. In Impostazioni avanzate per l'origine dati verificare quindi che l'opzione Usa SSO tramite Kerberos per le query DirectQuery o Usa SSO tramite Kerberos per le query DirectQuery e di importazione sia selezionata per i report basati su DirectQuery e che Usa SSO tramite Kerberos per le query DirectQuery e di importazione sia selezionata per i report basati sull'aggiornamento.Then, under Advanced Settings for the data source, ensure Use SSO via Kerberos for DirectQuery queries or Use SSO via Kerberos for DirectQuery And Import queries is checked for DirectQuery based Reports and Use SSO via Kerberos for DirectQuery And Import queries is checked for Refresh based Reports.

Opzione Impostazioni avanzate

Se si pubblica un report basato su DirectQuery da Power BI Desktop e si esegue il mapping del report a un'origine dati con l'opzione Usa SSO tramite Kerberos per le query DirectQuery o Usa SSO tramite Kerberos per le query DirectQuery e di importazione selezionata, il report userà i dati accessibili all'utente mappato all'utente di (Azure) Active Directory che accede al servizio Power BI.If you publish a DirectQuery-based report from Power BI Desktop and map it to a data source having the Use SSO via Kerberos for DirectQuery queries or the Use SSO via Kerberos for DirectQuery And Import queries checked, this report would use data that is accessible to the user that's mapped to the (Azure) Active Directory user that signs in to the Power BI service.

Analogamente, se si pubblica un report basato sull'aggiornamento da Power BI Desktop e si esegue il mapping del report a un'origine dati con l'opzione Usa SSO tramite Kerberos per le query DirectQuery e di importazione selezionata, non è necessario fornire alcuna credenziale.Similarly if you publish a Refresh-based report from Power BI desktop and map it to a data source having the Use SSO via Kerberos for DirectQuery And Import queries checked, you do not need to provide any credentials. L'aggiornamento viene eseguito nel contesto di Active Directory del proprietario del set di dati.The refresh is executed under the the dataset owner's active directory context.

Se tuttavia si esegue il mapping a un'origine dati in cui l'opzione Usa SSO tramite Kerberos per le query DirectQuery e di importazione non è selezionata, l'aggiornamento usa le credenziali immesse nei campi Nome utente e Password quando è stata creata l'origine dati.If however, you map it to a data source where Use SSO via Kerberos for DirectQuery And Import queries isn't checked, the refresh uses the credentials that you entered in the Username and Password fields when you created the data source. In altre parole, non viene usato l'accesso SSO Kerberos.In other words, Kerberos SSO is not used.

Quando si esegue la pubblicazione, selezionare il gateway configurato per SSO se sono presenti più gateway.When you publish, select the gateway you've configured for SSO if you have multiple gateways.

Questa configurazione funziona nella maggior parte dei casi.This configuration works in most cases. Con Kerberos, tuttavia, potrebbero essere necessarie configurazioni diverse a seconda dell'ambiente in uso.However, with Kerberos there can be different configurations depending on your environment. Se il report non viene caricato, contattare l'amministratore di dominio per indagini più approfondite.If the report won't load, contact your domain administrator to investigate further. Se l'origine dati è SAP BW, fare riferimento alle sezioni relative alla risoluzione dei problemi delle pagine di configurazione specifiche dell'origine dati per CommonCryptoLib e gx64krb5/gsskrb5, a seconda della libreria SNC scelta.If your data source is SAP BW, refer to the troubleshooting sections of the data source-specific configuration pages for CommonCryptoLib and gx64krb5/gsskrb5, depending on which SNC library you've chosen.

Passaggi successiviNext steps

Per altre informazioni sul gateway dati locale e su DirectQuery, vedere le risorse seguenti:For more information about the on-premises data gateway and DirectQuery, see the following resources: