Bruk OAuth til å koble til rapportserveren for Power BI og SQL Server Reporting Services

Du kan bruke OAuth til å koble til rapportserveren for Power BI og Reporting Services for å vise mobilrapporter eller KPI-er. Finn ut hvordan du konfigurerer miljøet til å støtte OAuth-godkjenning med Power BI-mobilappen for å koble til rapportserveren for Power BI og SQL Reporting Services 2016 eller nyere.

Obs!

Visning av Power BI-rapporter som driftes på Power BI Report Server ved hjelp av WAP for godkjenning, støttes nå på iOS- og Android-apper.

Krav

Windows Server 2016 kreves for Web Application Proxy (WAP)- og Active Directory Federation Services (ADFS)-servere. Du trenger ikke et Windows 2016-domene på funksjonsnivå.

for at brukere skal kunne legge til en rapportserver i Power BI-mobilappen, må du gi dem tilgang til hjemmemappen til rapportserveren.

Domain Name Services (DNS)-konfigurasjon

Den offentlige nettadressen er den Power BI-mobilappen kobles til. Det kan for eksempel se omtrent slik ut.

https://reports.contoso.com

DNS-posten din for rapporter til den offentlige IP-adressen for Web Application Proxy (WAP)-serveren. Du må også konfigurere en offentlig DNS-post for ADFS-serveren. Du kan for eksempel ha konfigurert ADFS-serveren med følgende nettadresse.

https://fs.contoso.com

DNS-posten din for fs til den offentlige IP-adressen for Web Application Proxy (WAP)-serveren ettersom den vil bli publisert som en del av WAP-programmet.

Sertifikater

Du må konfigurere sertifikater for både WAP-programmet og ADFS-serveren. Begge disse sertifikatene må være en del av en gyldig sertifiseringsinstans som mobilenhetene kjenner igjen.

Reporting Services-konfigurasjon

Det er ikke mye som skal konfigureres for Reporting Services. Du må bare kontrollere at:

Service Principal Name (SPN)

SPN er en unik identifikator for en tjeneste som bruker Kerberos-godkjenning. Du må sørge for at riktig HTTP-SPN er til stede for rapportserveren.

Hvis du vil ha informasjon om hvordan du konfigurerer riktig Service Principal Name (SPN) for rapportserveren, kan du se Registrere Service Principal Name (SPN) for en rapportserver.

Aktivere forhandling om godkjenning

Hvis du vil aktivere at en rapportserver skal bruke Kerberos-godkjenning, må du konfigurere at godkjenningstypen for rapportserveren er RSWindowsNegotiate. Dette gjør du i filen rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Hvis du vil ha mer informasjon, kan du se Endre en Reporting Services-konfigurasjonsfil og Konfigurere Windows-godkjenning på en rapportserver.

Active Directory Federation Services (ADFS)-konfigurasjon

Du må konfigurere ADFS på en Windows 2016-server i miljøet. Konfigurasjonen kan utføres gjennom serveradministrasjonen og ved å velge Legg til roller og funksjoner under Behandle. Hvis du vil ha mer informasjon, kan du se Active Directory Federation Services.

Opprette en programgruppe

Du må opprette en programgruppe for Reporting Services på AD FS-administrasjonsskjermen, som inkluderer informasjon for Power BI-mobilapper.

Du kan opprette gruppeprogrammet ved hjelp av følgende trinn.

  1. Høyreklikk på Programgrupper i AD FS-administrasjonsappen, og velg Legg til programgruppe...

    Legg til program i ADFS

  2. Oppgi et navn for programgruppen i veiviseren for å legge til programgruppe, og velg Opprinnelig program med tilgang til en nett-API.

    Veiviser for ADFS-programgruppe 01

  3. Velg Neste.

  4. Oppgi et navn for programmet du legger til.

  5. Selv om Klient-ID-en genereres automatisk, skriver du inn 484d54fc-b481-4eee-9505-0258a1913020 for både iOS og Android.

  6. Du må legge til følgende nettadresser for omadressering:

    Oppføringer for Power BI for mobilenheter – iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Android-apper trenger bare følgende trinn:
    urn:ietf:wg:oauth:2.0:oob

    Veiviser for ADFS-programgruppe 02

  7. Velg Neste.

  8. Oppgi nettadressen for rapportserveren. Dette er den eksterne nettadressen som treffer Web Application Proxy. Det må være i følgende format.

    Obs!

    Denne nettadressen skiller mellom små og store bokstaver.

    https://< report server url >/

    Veiviser for ADFS-programgruppe 03

  9. Velg Neste.

  10. Velg Tilgangskontroll-policyen som passer behovene til organisasjonen.

    Veiviser for ADFS-programgruppe 04

  11. Velg Neste.

  12. Velg Neste.

  13. Velg Neste.

  14. Velg Lukk.

Når du er ferdig, vil du se at egenskapene for programgruppen ser omtrent slik ut.

Veiviser for ADFS-programgruppe

Web Application Proxy (WAP)-konfigurasjon

Du må aktivere Windows-rollen Web Application Proxy (Role) på en server i miljøet. Det må være på en Windows 2016-server. Hvis du vil ha mer informasjon, kan du se Web Application Proxy i Windows Server 2016 og Publisering av programmer som bruker AD FS-forhåndsgodkjenning.

Konfigurasjon av avgrenset delegering

Vi må bruke avgrenset delegering med protokollovergang før overgangen fra OAuth-godkjenning til Windows-godkjenning. Dette er en del av Kerberos-konfigurasjonen. Vi har allerede definert Reporting Services SPN i Reporting Services-konfigurasjonen.

Vi må konfigurere avgrenset delegering på WAP-server-maskinkontoen i Active Directory. Det kan hende du må arbeide med en domeneadministrator hvis du ikke har rettigheter til Active Directory.

Du må følge disse trinnene for å konfigurere avgrenset delegering.

  1. Start Active Directory-brukere og -datamaskiner på en maskin som har installert Active Directory-verktøyene.

  2. Finn maskinkontoen for WAP-serveren. Som standard er dette i datamaskinens beholder.

  3. Høyreklikk på WAP-serveren, og gå til Egenskaper.

  4. Velg Delegering-fanen.

  5. Velg Stol på denne datamaskinen for delegering bare til angitte tjenester og deretter Bruk en hvilken som helst godkjenningsprotokoll.

    Begrenset WAP

    Dette konfigurerer avgrenset delegering for denne WAP-server-maskinkontoen. Deretter må vi angi hvilke tjenester denne maskinen har tillatelse til å delegere til.

  6. Velg Legg til... under tjenester-boksen.

    Begrenset WAP 02

  7. Velg Brukere eller datamaskiner...

  8. Angi tjenestekontoen du bruker for Reporting Services. Dette er kontoen hvor du la til SPN-en i Reporting Services-konfigurasjonen.

  9. Velg SPN for Reporting Services, og velg deretter OK.

    Obs!

    Det kan hende du bare ser NetBIOS SPN-en. Dette velger faktisk både NetBIOS og FQDN-SPN-er hvis begge finnes.

    Begrenset WAP 03

  10. Resultatet skal se omtrent slik ut når avmerkingsboksen Utvidet er merket av.

    Begrenset WAP 04

  11. Velg OK.

Legge til WAP-program

Selv om du kan publisere programmer i administrasjonskonsollen for rapporttilgang, må vi opprette programmet via PowerShell. Her er kommandoen du legger til, i programmet.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parameter Kommentarer
ADFSRelyingPartyName Web API-navnet du opprettet som en del av programgruppen i ADFS.
ExternalCertificateThumbprint Sertifikatet som skal brukes for eksterne brukere. Det er viktig at sertifikatet er gyldig på mobilenheter og kommer fra en klarert sertifiseringsinstans.
BackendServerUrl Nettadressen til rapportserveren fra WAP-serveren. Hvis WAP-serveren er i en DMZ, kan det hende du må bruke det fullstendige domenenavnet. Kontroller at du kan trykke på denne nettadressen fra nettleseren på WAP-serveren.
BackendServerAuthenticationSPN SPN-en du opprettet som en del av Reporting Services-konfigurasjonen.

Konfigurere integrert godkjenning for WAP-programmet

Når du har lagt til WAP-programmet, må du angi BackendServerAuthenticationMode for å bruke IntegratedWindowsAuthentication. Du må ha ID-en fra WAP-programmet for å konfigurere dette.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Legg til programgruppe

Kjør følgende kommando for å angi BackendServerAuthenticationMode ved hjelp av ID-en til WAP-programmet.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Legg til veiviser for programgruppe

Koble til Power BI-mobilappen

Du må koble til Reporting Services-forekomsten i Power BI-mobilappen. Du gjør dette ved å oppgi en Ekstern nettadresse for WAP-programmet.

Skriv inn serveradressen

Når du velger Koble til, sendes du til påloggingssiden for ADFS. Angi gyldig legitimasjon for domenet ditt.

Logg deg på ADFS

Når du har valgt Logg på, ser du elementene fra Reporting Services-serveren.

Godkjenning med flere faktorer

Du kan aktivere godkjenning med flere faktorer for å aktivere ekstra sikkerhet i miljøet. Hvis du vil vite mer, kan du se Konfigurere AD FS 2016 Azure MFA.

Feilsøking

Du får feilmeldingen «Kan ikke logge på SSRS-serveren»

Feilmeldingen «Kan ikke logge på SSRS-serveren»

Du kan konfigurere Fiddler til å fungere som en proxy for mobilenheter for å se hvor langt forespørselen har kommet. Hvis du vil aktivere en Fiddler-proxy for telefonenheten, må du konfigurere CertMaker for iOS og Android på maskinen som kjører Fiddler. Tillegget er fra Telerik for Fiddler.

Hvis påloggingen fungerer når du bruker Fiddler, kan det hende du har et sertifikatproblem enten med WAP-programmet eller ADFS-serveren.

Neste trinn

Registrere Service Principal Name (SPN) for en rapportserver
Endre en Reporting Services-konfigurasjonsfil
Konfigurere Windows-godkjenning på en rapportserver
Active Directory Federation Services
Web Application Proxy i Windows Server 2016
Publisere programmer som bruker AD FS-forhåndsgodkjenning
Konfigurere AD FS 2016 og Azure MFA
Har du flere spørsmål? Prøv Power BI-fellesskapet