Panoramica dell'accesso Single Sign-On (SSO) per i gateway in Power BIOverview of single sign-on (SSO) for gateways in Power BI

Per usufruire di un'esperienza di connettività Single Sign-On ottimale che abilita l'aggiornamento di report e dashboard di Power BI in tempo reale dai dati locali, è possibile configurare il gateway dati locale.You can get seamless single sign-on connectivity, enabling Power BI reports and dashboards to update in real time from on-premises data, by configuring your on-premises data gateway. È possibile configurare il gateway scegliendo tra la delega vincolata Kerberos e Security Assertion Markup Language (SAML).You have the option of configuring your gateway with either Kerberos constrained delegation or Security Assertion Markup Language (SAML). Il gateway dati locale supporta l'accesso SSO tramite DirectQuery o per Aggiornamento, che consente la connessione alle origini dati locali.The on-premises data gateway supports SSO by using DirectQuery or for Refresh, which connects to on-premises data sources.

Power BI supporta le origini dati seguenti:Power BI supports the following data sources:

  • SQL Server (Kerberos)SQL Server (Kerberos)
  • SAP HANA (Kerberos e SAML)SAP HANA (Kerberos and SAML)
  • Server applicazioni SAP BW (Kerberos)SAP BW Application Server (Kerberos)
  • Server messaggi SAP BW (Kerberos)SAP BW Message Server (Kerberos)
  • Oracle (Kerberos)Oracle (Kerberos)
  • Teradata (Kerberos)Teradata (Kerberos)
  • Spark (Kerberos)Spark (Kerberos)
  • Impala (Kerberos)Impala (Kerberos)

L'accesso Single Sign-On non è attualmente supportato per le estensioni M.We don't currently support SSO for M-extensions.

Quando un utente interagisce con un report DirectQuery nel servizio Power BI, ogni operazione di filtro incrociato, sezione, ordinamento e modifica di report può comportare l'esecuzione di query in tempo reale sull'origine dati locale sottostante.When a user interacts with a DirectQuery report in the Power BI Service, each cross-filter, slice, sort, and report editing operation can result in queries that execute live against the underlying on-premises data source. Quando si configura l'accesso Single Sign-On per l'origine dati, le query vengono eseguite in base all'identità dell'utente che interagisce con Power BI, ovvero tramite l'esperienza Web o le app Power BI per dispositivi mobili.When you configure SSO for the data source, queries execute under the identity of the user that interacts with Power BI (that is, through the web experience or Power BI mobile apps). Ogni utente, quindi, visualizza con precisione i dati a cui è autorizzato ad accedere nell'origine dati sottostante.Therefore, each user sees precisely the data for which they have permissions in the underlying data source.

È inoltre possibile configurare un report configurato per l'aggiornamento nel servizio Power BI per l'uso di SSO.You can also configure a report which is set up for refresh in the Power BI Service to use SSO. Quando si configura SSO per questa origine dati, le query vengono eseguite con l'identità del proprietario del set di dati all'interno di Power BI.When you configure SSO for this data source, queries execute under the identity of the dataset owner within Power BI. Pertanto, l'aggiornamento viene eseguito in base alle autorizzazioni del proprietario del set di dati per l'origine dati sottostante.Therefore, the refresh happens based on the dataset owner's permissions on the underlying data source. L'aggiornamento tramite SSO è attualmente abilitato solo per le origini dati che usano la delega vincolata KerberosRefresh using SSO is currently enabled only for data sources using Kerberos constrained delegation

Passi di query durante l'esecuzione di SSOQuery steps when running SSO

I passaggi per l'esecuzione di una query con accesso Single Sign-On sono tre, come illustrato nel diagramma seguente.A query that runs with SSO consists of three steps, as shown in the following diagram.

Passi di query SSO

Ecco alcuni dettagli aggiuntivi su ogni passaggio:Here are additional details about each step:

  1. Per ogni query, il servizio Power BI include il nome dell'entità utente (UPN, User Principal Name) , ovvero il nome utente completo dell'utente connesso al servizio Power BI quando il servizio invia una richiesta di query al gateway configurato.For each query, the Power BI service includes the user principal name (UPN), which is the fully qualified username of the user currently signed in to the Power BI service, when it sends a query request to the configured gateway.

  2. Il gateway deve eseguire il mapping del nome dell'entità utente di Azure Active Directory a un'identità di Active Directory locale:The gateway must map the Azure Active Directory UPN to a local Active Directory identity:

    a.a. Se Azure AD DirSync (chiamato anche Azure AD Connect) è configurato, il mapping funziona automaticamente nel gateway.If Azure AD DirSync (also known as Azure AD Connect) is configured, then the mapping works automatically in the gateway.

    b.b. In caso contrario, il gateway può cercare ed eseguire il mapping del nome dell'entità utente (UPN) di Azure AD a un utente di AD locale eseguendo una ricerca nel dominio di Active Directory locale.Otherwise, the gateway can look up and map the Azure AD UPN to a local AD user by performing a lookup against the local Active Directory domain.

  3. Il processo del servizio gateway rappresenta l'utente locale di cui è stato eseguito il mapping, apre la connessione con il database sottostante e quindi invia la query.The gateway service process impersonates the mapped local user, opens the connection to the underlying database, and then sends the query. Non è necessario installare il gateway nello stesso computer del database.You don't need to install the gateway on the same machine as the database.

Passaggi successiviNext steps

Dopo aver appreso le nozioni di base per l'abilitazione dell'accesso Single Sign-On tramite il gateway, leggere informazioni più dettagliate su Kerberos e SAML:Now that you understand the basics of enabling SSO through the gateway, read more detailed information about Kerberos and SAML: