Bygg inn Power BI-innhold med tjenestekontohaver og programhemmelighet

Tjenestekontohaver er en godkjenningmetode som kan brukes for å la et Microsoft Azure AD-program få tilgang til tjenesteinnhold i Power BI og API-er.

Når du oppretter en Azure Active Directory (Azure AD)-app, blir et tjenestekontohaver-objekt opprettet. Tjenestekontohaver-objektet, også kjent som tjenestekontohaver, gir Microsoft Azure AD tillatelse til å godkjenne appen. Når appen er godkjent, får den tilgang til ressurser fra Microsoft Azure AD-tenanten.

For å godkjenne bruker tjenestekontohaver Microsoft Azure AD-appens program-ID samt én av de følgende:

  • Sertifikat
  • Programhemmelighet

Denne artikkelen beskriver tjenestens hovedgodkjenning ved bruk av program-ID og programhemmelighet.

Obs!

Azure AD anbefaler at du sikrer servertjenestene ved hjelp av sertifikater i stedet for hemmelige nøkler.

Metode

Følg disse trinnene for å bruke tjenestekontohaver og en innebygd analyse-program-ID:

  1. Opprett en Microsoft Azure AD-app.

    1. Opprett apphemmeligheten for Microsoft Azure AD.

    2. Hent appens program-ID og programhemmelighet.

    Obs!

    Disse trinnene er beskrevet i trinn 1. Hvis du vil ha mer informasjon om hvordan du oppretter en Microsoft Azure AD-app, kan du ta en titt på artikkelen Opprett en Azure AD-app.

  2. Opprett en sikkerhetsgruppe for Microsoft Azure AD.

  3. Aktiver innstillingene for Power BI-tjenesteadministrator.

  4. Legg til tjenestekontohaveren i arbeidsområdet.

  5. Bygg inn innholdet.

Viktig!

Når du har aktivert tjenestekontohaver til å brukes med Power BI, trer ikke programmets AD-tillatelser lenger i kraft. Programmets tillatelser administreres deretter gjennom administrasjonsportalen for Power BI.

Trinn 1 – Opprett en Microsoft Azure AD-app

Opprett en Microsoft Azure AD-app ved å bruke én av disse metodene:

Opprett en Microsoft Azure AD-app i Microsoft Azure-portalen

  1. Logg på Microsoft Azure.

  2. Søk etter appregistreringer og klikk deretter på koblingen Appregistreringer.

    appregistrering for azure

  3. Klikk på Ny registrering.

    ny registrering

  4. Fyll ut den obligatoriske informasjonen:

    • Navn – Skriv inn et programnavn
    • Støttede kontotyper – Velg støttede kontotyper
    • (Valgfritt) URI for omdirigering – Angi en URI hvis nødvendig
  5. Klikk på Registrer.

  6. Etter registrering er program-ID-en tilgjengelig fra fanen Oversikt. Kopier og lagre program-ID-en for senere bruk.

    Skjermbilde som viser hvor du får en program-ID i Oversikt-fanen.

  7. Klikk på fanen Sertifikater og hemmeligheter.

    Skjermbilde som viser ruten Sertifikater og hemmeligheter for en app i Azure-portalen.

  8. Klikk på Ny klienthemmelighet

    Skjermbilde som viser den nye knappen Klienthemmeligheter i ruten Sertifikater og hemmeligheter.

  9. I vinduet for Legg til en klienthemmelighet, skriver du inn en beskrivelse som angir når du vil at klienthemmeligheten skal utløpe. Klikk deretter på Legg til.

  10. Kopier og lagre verdien for klienthemmelighet.

    Skjermbilde som viser en utvisket hemmelig verdi i ruten Sertifikater og hemmeligheter.

    Obs!

    Når du forlater dette vinduet, blir klienthemmeligheten skjult, og du kan ikke vise eller kopiere den igjen.

Å opprette en Microsoft Azure AD-app ved hjelp av PowerShell

Denne delen inneholder et eksempelskript for oppretting av en ny Microsoft Azure AD-app ved hjelp av PowerShell.

# The app ID - $app.appid
# The service principal object ID - $sp.objectId
# The app key - $key.value

# Sign in as a user that's allowed to create an app
Connect-AzureAD

# Create a new Azure AD web application
$app = New-AzureADApplication -DisplayName "testApp1" -Homepage "https://localhost:44322" -ReplyUrls "https://localhost:44322"

# Creates a service principal
$sp = New-AzureADServicePrincipal -AppId $app.AppId

# Get the service principal key
$key = New-AzureADServicePrincipalPasswordCredential -ObjectId $sp.ObjectId

Trinn 2 – Opprett en sikkerhetsgruppe for Microsoft Azure AD

Tjenestekontohaveren har ikke tilgang til Power BI-innhold og APIer. For å gi tjenestekontohaver tilgang, må du opprette en sikkerhetsgruppe i Microsoft Azure AD og legge til tjenestekontohaveren du opprettet i denne sikkerhetsgruppen.

Det finnes to måter å opprette en sikkerhetsgruppe i Microsoft Azure AD på:

Opprett en sikkerhetsgruppe manuelt

For å opprette en sikkerhetsgruppe i Azure manuelt, må du følge instruksjonene i artikkelenOpprett en standardgruppe og legg til medlemmer som bruker Microsoft Azure Active Directory.

Opprett en sikkerhetsgruppe ved hjelp av PowerShell

Nedenfor finner du et eksempelskript for å opprette en ny sikkerhetsgruppe og legge til en app i denne sikkerhetsgruppen.

Obs!

Hvis du vil aktivere tilgangen til tjenestekontohaver for hele organisasjonen, må du hoppe over dette trinnet.

# Required to sign in as admin
Connect-AzureAD

# Create an Azure AD security group
$group = New-AzureADGroup -DisplayName <Group display name> -SecurityEnabled $true -MailEnabled $false -MailNickName notSet

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId $($group.ObjectId) -RefObjectId $($sp.ObjectId)

Trinn 3 – Aktiver innstillingene for Power BI-tjenesteadministrator

For at en Microsoft Azure AD-app skal kunne få tilgang til Power BI-innhold og API-er, må en Power BI-administrator aktivere tilgang for tjenestekontohaver i administrasjonsportalen for Power BI.

Legg til sikkerhetsgruppen du opprettet i Microsoft Azure AD, i inndelingen for den angitte sikkerhetsgruppen i Innstillinger for utviklere.

Viktig!

Tjenestekontohavere har tilgang til alle tenantinnstillinger de er aktivert for. Avhenging av administrasjonsinnstillingene dine, inneholder dette også spesifikke sikkerhetsgrupper eller hele organisasjonen.

For å begrense tilgangen til tjenestekontohaver for bestemte tenantinnstillinger, må du bare gi tilgang til bestemte sikkerhetsgrupper. Alternativt kan du opprette en egen sikkerhetsgruppe for tjenestekontohavere, og utelate den fra tenatinnstillingene du vil bruke.

Skjermbilde som viser utviklerinnstillingene i administrasjonsalternativene i Power BI-tjenesten.

Trinn 4 - Legg til tjenestekontohaveren i arbeidsområdet

For å aktivere Microsoft Azure AD-appens tilgangsartefakter som rapporter, instrumentbord og datasett i Power BI-tjenesten, må du legge til tjenestekontohaver-enheten eller sikkerhetsgruppen som inkluderer tjenestekontohaveren som et medlem eller administrator i arbeidsområdet.

Obs!

Denne inndelingen gir instruksjoner for brukergrensesnittet. Du kan i tillegg legge til en tjenestekontohaver eller en sikkerhetsgruppe til et arbeidsområde ved hjelp av Grupper – legg til gruppebruker-API.

  1. Bla ned til arbeidsområdet du vil aktivere tilgang for, og velg Tilgang til arbeidsområde under menyen Mer.

    Skjermbilde som viser knappen for tilgang til arbeidsområdet på Mer-menyen i et Power BI-arbeidsområde.

  2. I tekstboksen Tilgang legger du til én av følgende:

    • Tjenestekontohaveren. Navnet på tjenestekontohaveren er Azure AD-appens Visningsnavn, slik den vises i oversiktsfanen for Azure AD-appen.

    • Sikkerhetsgruppen som inkluderer tjenestekontohaveren.

  3. Velg Medlem eller Administrator i rullegardinlisten.

  4. Velg Legg til.

Legg til en tjenestekontohaver som et arbeidsområdemedlem ved hjelp av PowerShell

Denne delen inneholder et eksempelskript for å legge til en tjenestekontohaver som et arbeidsområdemedlem ved hjelp av PowerShell.

Login-PowerBI

# Service Principal Object ID for the created Service Principal
$SPObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType App -Identifier $SPObjectId 

Legg til en sikkerhetsgruppe som et arbeidsområdemedlem ved hjelp av PowerShell

Denne delen inneholder et eksempelskript for å legge til en sikkerhetsgruppe som et arbeidsområdemedlem ved hjelp av PowerShell.

Login-PowerBI

# Security Group Object ID for the created Security Group
$SGObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType Group -Identifier $SGObjectId 

Trinn 5 – Bygg inn innholdet

Du kan bygge inn innholdet i et eksempelprogram eller i ditt eget program.

Når innholdet er innebygd, er du kar for å gå videre til produksjon.

Obs!

Følg trinnene som beskrevet i Bygg inn Power BI-innhold med tjenestekontohaveren og et sertifikat for å sikre innholdet ditt med et sertifikat.

Viktige faktorer og begrensninger

  • Tjenestekontohaver fungerer bare med nye arbeidsområder.
  • Mitt arbeidsområde støttes ikke ved bruk av tjenestekontohaver.
  • Det kreves en kapasitet for å gå videre til produksjon.
  • Du kan ikke logge deg på Power BI-portalen ved hjelp av tjenestekontohaver.
  • Power BI-administratorrettigheter kreves for å aktivere tjenestekontohaver i innstillinger for utviklere i administrasjonsportalen for Power BI.
  • Programmer for Innebygging for organisasjonen kan ikke bruke tjenestekontohavere.
  • Dataflyt-styring støttes ikke.
  • Tjenestekontohavere støtter bare noen skrivebeskyttede API-er for administratorer. Hvis du vil aktivere støtte for tjenestekontohaver for skrivebeskyttede API-er, må du aktivere Power BI administrasjonsinnstillinger for tjenesten i tenanten. Hvis du vil ha mer informasjon, kan du se Aktivere godkjenning for tjenestekontohaver for skrivebeskyttede API-er for administratorer.
  • Når du bruker tjenestekontohaver med en datakilde fra Azure Analysis Services må tjenestekontohaveren selv ha tillatelser til en forekomst av Azure Analysis Services. Å bruke en sikkerhetsgruppe som inneholder tjenestekontohaveren til dette formålet virker ikke.

Neste trinn