Power BI의 게이트웨이 SSO(Single Sign-On) 개요Overview of single sign-on (SSO) for gateways in Power BI

온-프레미스 데이터 게이트웨이를 구성하면 원활한 Single Sign-On 연결을 통해 Power BI 보고서 및 대시보드가 온-프레미스 데이터에서 실시간으로 업데이트되도록 할 수 있습니다.You can get seamless single sign-on connectivity, enabling Power BI reports and dashboards to update in real time from on-premises data, by configuring your on-premises data gateway. Kerberos 제한 위임 또는 SAML(Security Assertion Markup Language)을 사용하여 게이트웨이를 구성할 수 있습니다.You have the option of configuring your gateway with either Kerberos constrained delegation or Security Assertion Markup Language (SAML). 온-프레미스 데이터 게이트웨이는 온-프레미스 데이터 원본에 연결되는 새로 고침을 위해 또는 DirectQuery를 사용하여 SSO를 지원합니다.The on-premises data gateway supports SSO by using DirectQuery or for Refresh, which connects to on-premises data sources.

Power BI는 다음과 같은 데이터 원본을 지원합니다.Power BI supports the following data sources:

  • SQL Server(Kerberos)SQL Server (Kerberos)
  • SAP HANA(Kerberos 및 SAML)SAP HANA (Kerberos and SAML)
  • SAP BW 애플리케이션 서버(Kerberos)SAP BW Application Server (Kerberos)
  • SAP BW 메시지 서버(Kerberos)SAP BW Message Server (Kerberos)
  • Oracle(Kerberos)Oracle (Kerberos)
  • Teradata(Kerberos)Teradata (Kerberos)
  • Spark(Kerberos)Spark (Kerberos)
  • Impala(Kerberos)Impala (Kerberos)

현재 M 확장에서는 SSO가 지원되지 않습니다.We don't currently support SSO for M-extensions.

사용자가 Power BI 서비스에서 DirectQuery 보고서를 조작하는 경우 각 교차 필터, 조각, 정렬 및 보고서 편집 작업으로 인해 기본 온-프레미스 데이터 원본에서 라이브로 실행되는 쿼리가 생성될 수 있습니다.When a user interacts with a DirectQuery report in the Power BI Service, each cross-filter, slice, sort, and report editing operation can result in queries that execute live against the underlying on-premises data source. 데이터 원본에 대해 SSO가 구성된 경우, 웹 환경이나 Power BI 모바일 앱을 통해 Power BI를 조작하는 사용자의 ID로 쿼리가 실행됩니다.When you configure SSO for the data source, queries execute under the identity of the user that interacts with Power BI (that is, through the web experience or Power BI mobile apps). 따라서 각 사용자는 기본 데이터 원본에서 정확히 사용 권한이 있는 데이터만 볼 수 있습니다.Therefore, each user sees precisely the data for which they have permissions in the underlying data source.

Power BI Service에서 새로 고침을 위해 설정되는 보고서에서 SSO를 사용하도록 구성할 수도 있습니다.You can also configure a report which is set up for refresh in the Power BI Service to use SSO. 이 데이터 원본에 대해 SSO를 구성하면 Power BI 내에서 데이터 세트 소유자의 ID로 쿼리가 실행됩니다.When you configure SSO for this data source, queries execute under the identity of the dataset owner within Power BI. 따라서 기본 데이터 원본에 대한 데이터 세트 소유자의 권한에 따라 새로 고침이 수행됩니다.Therefore, the refresh happens based on the dataset owner's permissions on the underlying data source. 현재 SSO를 사용한 새로 고침은 Kerberos 제한된 위임을 사용하는 데이터 원본에만 사용할 수 있습니다.Refresh using SSO is currently enabled only for data sources using Kerberos constrained delegation

SSO를 실행하는 경우 쿼리 단계Query steps when running SSO

SSO로 실행하는 쿼리는 다음 다이어그램에 나와 있는 것처럼 세 단계로 구성됩니다.A query that runs with SSO consists of three steps, as shown in the following diagram.

SSO 쿼리 단계

각 단계에 대한 자세한 내용은 다음과 같습니다.Here are additional details about each step:

  1. ‘Power BI 서비스’에는 구성된 게이트웨이로 쿼리 요청을 보낼 때 현재 Power BI 서비스에 로그인한 사용자의 정규화된 사용자 이름인 ‘UPN(사용자 계정 이름)’을 각 쿼리에 대해 포함합니다. For each query, the Power BI service includes the user principal name (UPN), which is the fully qualified username of the user currently signed in to the Power BI service, when it sends a query request to the configured gateway.

  2. 게이트웨이는 Azure Active Directory UPN을 로컬 Active Directory ID에 매핑해야 합니다.The gateway must map the Azure Active Directory UPN to a local Active Directory identity:

    a.a. Azure AD DirSync(Azure AD Connect라고도 함)가 구성된 경우 매핑이 게이트웨이에서 자동으로 적용됩니다.If Azure AD DirSync (also known as Azure AD Connect) is configured, then the mapping works automatically in the gateway.

    b.b. 구성되지 않은 경우 게이트웨이가 로컬 Active Directory 도메인을 조회하여 Azure AD UPN을 조회 후 로컬 AD 사용자에게 매핑합니다.Otherwise, the gateway can look up and map the Azure AD UPN to a local AD user by performing a lookup against the local Active Directory domain.

  3. 게이트웨이 서비스 프로세스는 매핑된 로컬 사용자를 가장하고, 기본 데이터베이스에 대한 연결을 연 다음, 쿼리를 보냅니다.The gateway service process impersonates the mapped local user, opens the connection to the underlying database, and then sends the query. 데이터베이스와 동일한 머신에는 게이트웨이를 설치할 필요가 없습니다.You don't need to install the gateway on the same machine as the database.

다음 단계Next steps

게이트웨이를 통해 SSO를 사용하는 방법의 기본 사항을 이해했으면, 이제 Kerberos 및 SAML에 대한 자세한 내용을 알아보세요.Now that you understand the basics of enabling SSO through the gateway, read more detailed information about Kerberos and SAML: