Bygg inn Power BI-innhold med tjenestekontohaver og programhemmelighet
Tjenestekontohaver er en godkjenningmetode som kan brukes for å la et Microsoft Azure AD-program få tilgang til tjenesteinnhold i Power BI og API-er.
Når du oppretter en Azure Active Directory (Azure AD)-app, opprettes et tjenestekontohaverobjekt . Tjenestekontohaver-objektet, også kjent som tjenestekontohaver, gir Microsoft Azure AD tillatelse til å godkjenne appen. Når appen er godkjent, får den tilgang til ressurser fra Microsoft Azure AD-tenanten.
For å godkjenne bruker tjenestekontohaver Microsoft Azure AD-appens program-ID samt én av de følgende:
- Sertifikat
- Programhemmelighet
Denne artikkelen beskriver tjenestens hovedgodkjenning ved bruk av program-ID og programhemmelighet.
Obs!
Azure AD anbefaler at du sikrer servertjenestene ved hjelp av sertifikater i stedet for hemmelige nøkler.
- Finn ut mer om hvordan du får tilgang til tokener fra Microsoft Azure Active Directory ved hjelp av hemmelige nøkler eller sertifikater.
- For å sikre løsningen med et sertifikat må du fullføre instruksjonene i denne artikkelen, og deretter følge trinnene som er beskrevet i Bygg inn Power BI-innhold med tjenestekontohaver og et sertifikat.
Metode
Følg disse trinnene for å bruke tjenestekontohaver og en innebygd analyse av program-ID:
Opprett en Microsoft Azure AD-app.
- Opprett apphemmeligheten for Microsoft Azure AD.
- Hent appens program-ID og programhemmelighet.
Obs!
Disse trinnene er beskrevet i trinn 1. Hvis du vil ha mer informasjon om hvordan du oppretter en Azure AD-app, kan du se opprette en Azure AD-app.
Opprett en sikkerhetsgruppe for Microsoft Azure AD.
Aktiver innstillingene for Power BI-tjenesteadministrator.
Legg til tjenestekontohaveren i arbeidsområdet.
Bygg inn innholdet.
Viktig
Når du har aktivert tjenestekontohaver til å brukes med Power BI, trer ikke programmets AD-tillatelser lenger i kraft. Programmets tillatelser administreres deretter gjennom administrasjonsportalen for Power BI.
Trinn 1 – Opprett en Microsoft Azure AD-app
Opprett en Microsoft Azure AD-app ved å bruke én av disse metodene:
Opprett en Microsoft Azure AD-app i Microsoft Azure-portalen
Logg på Microsoft Azure.
Søk etter appregistreringer og klikk deretter på koblingen Appregistreringer.
Klikk på Ny registrering.
Fyll ut den obligatoriske informasjonen:
- Navn – Skriv inn et programnavn
- Støttede kontotyper – Velg støttede kontotyper
- (Valgfritt) URI for omdirigering – Angi en URI hvis nødvendig
Klikk på Registrer.
Etter registrering er program-ID-en tilgjengelig fra fanen Oversikt. Kopier og lagre program-ID-en for senere bruk.
Klikk fanen Sertifikathemmeligheter&.
Klikk på Ny klienthemmelighet
I vinduet for Legg til en klienthemmelighet, skriver du inn en beskrivelse som angir når du vil at klienthemmeligheten skal utløpe. Klikk deretter på Legg til.
Kopier og lagre verdien for klienthemmelighet.
Obs!
Når du forlater dette vinduet, blir klienthemmeligheten skjult, og du kan ikke vise eller kopiere den igjen.
Å opprette en Microsoft Azure AD-app ved hjelp av PowerShell
Denne delen inneholder et eksempelskript for oppretting av en ny Microsoft Azure AD-app ved hjelp av PowerShell.
# The app ID - $app.appid
# The service principal object ID - $sp.objectId
# The app key - $key.value
# Sign in as a user that's allowed to create an app
Connect-AzureAD
# Create a new Azure AD web application
$app = New-AzureADApplication -DisplayName "testApp1" -Homepage "https://localhost:44322" -ReplyUrls "https://localhost:44322"
# Creates a service principal
$sp = New-AzureADServicePrincipal -AppId $app.AppId
# Get the service principal key
$key = New-AzureADServicePrincipalPasswordCredential -ObjectId $sp.ObjectId
Trinn 2 – Opprett en sikkerhetsgruppe for Microsoft Azure AD
Tjenestekontohaveren har ikke tilgang til Power BI-innhold og APIer. For å gi tjenestekontohaver tilgang, må du opprette en sikkerhetsgruppe i Microsoft Azure AD og legge til tjenestekontohaveren du opprettet i denne sikkerhetsgruppen.
Det finnes to måter å opprette en sikkerhetsgruppe i Microsoft Azure AD på:
Opprett en sikkerhetsgruppe manuelt
Hvis du vil opprette en Azure-sikkerhetsgruppe manuelt, følger du instruksjonene i opprettingen av en grunnleggende gruppe og legger til medlemmer.
Opprett en sikkerhetsgruppe ved hjelp av PowerShell
Nedenfor finner du et eksempelskript for å opprette en ny sikkerhetsgruppe og legge til en app i denne sikkerhetsgruppen.
Obs!
Hvis du vil aktivere tilgangen til tjenestekontohaver for hele organisasjonen, må du hoppe over dette trinnet.
# Required to sign in as admin
Connect-AzureAD
# Create an Azure AD security group
$group = New-AzureADGroup -DisplayName <Group display name> -SecurityEnabled $true -MailEnabled $false -MailNickName notSet
# Add the service principal to the group
Add-AzureADGroupMember -ObjectId $($group.ObjectId) -RefObjectId $($sp.ObjectId)
Trinn 3 – Aktiver innstillingene for Power BI-tjenesteadministrator
For at en Azure AD-app skal kunne få tilgang til Power BI-innhold og API-er, må en Power BI-administrator aktivere følgende innstilling:
- Bygge inn innhold i apper
- Tillat tjenestekontohavere å bruke Power BI API-er.
Gå til leierinnstillingene i administrasjonsportalen, og rull ned til Utviklerinnstillinger.
Aktiver til Bygg inn innhold i apper-bryteren for hele organisasjonen eller for den bestemte sikkerhetsgruppen du opprettet i Azure AD.
Aktiver Tillat tjenestekontohavere å bruke Power BI-API-er enten for hele organisasjonen eller for den bestemte sikkerhetsgruppen du opprettet i Azure AD.
Viktig
Tjenestekontohavere har tilgang til alle tenantinnstillinger de er aktivert for. Avhenging av administrasjonsinnstillingene dine, inneholder dette også spesifikke sikkerhetsgrupper eller hele organisasjonen.
For å begrense tilgangen til tjenestekontohaver for bestemte tenantinnstillinger, må du bare gi tilgang til bestemte sikkerhetsgrupper. Alternativt kan du opprette en egen sikkerhetsgruppe for tjenestekontohavere, og utelate den fra tenatinnstillingene du vil bruke.
Trinn 4 - Legg til tjenestekontohaveren i arbeidsområdet
Hvis du vil at Azure AD-appen skal få tilgang til elementer som rapporter, instrumentbord og datasett i Power BI-tjenesten, kan du legge til enheten for tjenestekontohaver eller sikkerhetsgruppen som inkluderer tjenestekontohaveren, som medlem eller administrator i arbeidsområdet.
Obs!
Denne inndelingen gir instruksjoner for brukergrensesnittet. Du kan i tillegg legge til en tjenestekontohaver eller en sikkerhetsgruppe til et arbeidsområde ved hjelp av Grupper – legg til gruppebruker-API.
Bla ned til arbeidsområdet du vil aktivere tilgang for, og velg Tilgang til arbeidsområde under menyen Mer.
I tekstboksen Tilgang legger du til én av følgende:
Tjenestekontohaveren. Navnet på tjenestekontohaveren er Azure AD-appens Visningsnavn, slik den vises i oversiktsfanen for Azure AD-appen.
Sikkerhetsgruppen som inkluderer tjenestekontohaveren.
Velg Medlem eller Administrator i rullegardinlisten.
Velg Legg til.
Legg til en tjenestekontohaver som et arbeidsområdemedlem ved hjelp av PowerShell
Denne delen inneholder et eksempelskript for å legge til en tjenestekontohaver som et arbeidsområdemedlem ved hjelp av PowerShell.
Login-PowerBI
# Service Principal Object ID for the created Service Principal
$SPObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'
$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"
Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType App -Identifier $SPObjectId
Legg til en sikkerhetsgruppe som et arbeidsområdemedlem ved hjelp av PowerShell
Denne delen inneholder et eksempelskript for å legge til en sikkerhetsgruppe som et arbeidsområdemedlem ved hjelp av PowerShell.
Login-PowerBI
# Security Group Object ID for the created Security Group
$SGObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'
$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"
Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType Group -Identifier $SGObjectId
Trinn 5 – Bygg inn innholdet
Du kan bygge inn innholdet i et eksempelprogram eller i ditt eget program.
Når innholdet er innebygd, er du kar for å gå videre til produksjon.
Obs!
Følg trinnene som beskrevet i Bygg inn Power BI-innhold med tjenestekontohaveren og et sertifikat for å sikre innholdet ditt med et sertifikat.
Viktige faktorer og begrensninger
- Tjenestekontohaver fungerer bare med nye arbeidsområder.
- Mitt arbeidsområde støttes ikke ved bruk av tjenestekontohaver.
- Det kreves en kapasitet for å gå videre til produksjon.
- Du kan ikke logge deg på Power BI-portalen ved hjelp av tjenestekontohaver.
- Power BI-administratorrettigheter kreves for å aktivere tjenestekontohaver i innstillinger for utviklere i administrasjonsportalen for Power BI.
- Programmer for Innebygging for organisasjonen kan ikke bruke tjenestekontohavere.
- Dataflyt-styring støttes ikke.
- Tjenestekontohaver støtter bare noen skrivebeskyttede API-er for administratorer. Hvis du vil aktivere støtte for tjenestekontohaver for skrivebeskyttede administrator-API-er, må du aktivere administratorinnstillingene for Power BI-tjenesten i leieren. Hvis du vil ha mer informasjon, kan du se Aktivere godkjenning av tjenestekontohaver for skrivebeskyttede API-er for administratorer.
- Når du bruker tjenestekontohaver med en datakilde fra Azure Analysis Services må tjenestekontohaveren selv ha tillatelser til en forekomst av Azure Analysis Services. Å bruke en sikkerhetsgruppe som inneholder tjenestekontohaveren til dette formålet virker ikke.