Ingesloten analytics-toepassingstokens
Als u Power BI inhoud wilt gebruiken, hebt u een toegangs token nodig. Afhankelijk van uw oplossing kan dit token een Azure AD-token of een insluit token zijn.
Als u de oplossing insluiten voor uw klanten gebruikt, krijgen uw web-app-gebruikers toegang tot Power BI-inhoud (zoals rapporten, dashboards en tegels), op basis van het insluit token dat door uw toepassing is gegenereerd.
Notitie
Wanneer u de oplossing insluiten voor uw klanten gebruikt, kunt u elke verificatiemethode gebruiken om toegang tot uw web-app toe te staan.
Als u de oplossing insluiten voor uw organisatie gebruikt, worden uw web-app-gebruikers met hun eigen referenties bij Azure AD authenticeerd. Uw app-gebruikers hebben toegang tot de inhoud Power BI ze toegang hebben tot Power BI service.
Azure AD-token
Voor zowel insluiten voor uw klanten als insluiten voor uw organisatie-oplossingen hebt u een Azure AD-token nodig. Dit token is vereist voor alle REST API bewerkingen en verloopt na een uur.
In het insluiten voor uw klanten wordt het Azure AD-token gebruikt om het insluit token te genereren.
In het insluiten voor uw organisatie wordt het Azure AD-token gebruikt voor toegang tot Power BI.
Token insluiten
Wanneer u de oplossing insluiten voor uw klanten gebruikt, moet uw web-app weten tot welke inhoud Power BI de gebruiker toegang heeft. Gebruik de REST API's voor het insluitken om een insluit-token te genereren, waarmee het volgende wordt opgegeven:
Tot welke inhoud uw web-app-gebruiker toegang heeft.
Het toegangsniveau van de web-app-gebruiker (weergeven, maken of bewerken).
Zie Overwegingen bij het genereren van een insluit token voor meer informatie.
Verificatiestromen
In deze sectie worden de verificatiestromen voor het insluiten voor uw klanten en insluiten voor insluitoplossingen van uw organisatie beschreven.
Insluiten voor uw klanten
De oplossing Insluiten voor uw klanten maakt gebruik van een niet-interactieve verificatiestroom. Gebruikers hoeven zich niet aan te melden bij Azure AD om toegang te krijgen tot Power BI. In plaats daarvan gebruikt uw web-app een gereserveerde Azure AD-identiteit om te verifiëren bij Azure AD en het insluit token te genereren. De gereserveerde identiteit kan een van de volgende zijn:
-
Uw web-app gebruikt het service-principal-object van Azure AD om te verifiëren bij Azure AD en om een Azure AD-token voor alleen apps op te halen. Dit is een alleen-app-verificatiemethode, die wordt aanbevolen door Azure AD.
Wanneer u een service-principal gebruikt, moet u toegang Power BI API's inschakelen in Power BI instellingen van de servicebeheerder. Hierdoor heeft uw web-app toegang tot de Power BI REST API's. Als u API-bewerkingen wilt gebruiken in een werkruimte, moet de service-principal lid of beheerder van de werkruimte zijn.
Hoofdgebruiker
Uw web-app gebruikt een gebruikersaccount om te verifiëren bij Azure AD en het Azure AD-token op te halen. De hoofdgebruiker moet een Power BI Pro of een Premium PPU-licentie (per gebruiker).
Wanneer u een hoofdgebruiker gebruikt, moet u de gedelegeerde machtigingen van uw app definiëren (ook wel scopes genoemd). De hoofdgebruiker of tenantbeheerder moet toestemming geven voor het gebruik van deze machtigingen met behulp van Power BI REST API's.
Nadat de verificatie met Azure AD is geslaagd, genereert uw web-app een insluit token zodat de gebruikers toegang hebben tot specifieke Power BI inhoud.
Notitie
- Als u wilt insluiten met behulp van de oplossing insluiten voor uw klanten, hebt u een capaciteit met een A-, EM- of P-SKU nodig.
- Als u naar productie wilt gaan, hebt u een capaciteit nodig.
In het volgende diagram ziet u de verificatiestroom voor de oplossing insluiten voor uw klanten.
De gebruiker van de web-app wordt geverifieerd aan de hand van uw web-app (met uw verificatiemethode).
Uw web-app gebruikt een service-principal of een hoofdgebruiker om te verifiëren bij Azure AD.
Uw web-app haalt een Azure AD-token op uit Azure AD en gebruikt dit om toegang te krijgen tot Power BI REST API's. Toegang tot de Power BI REST API's wordt gegeven volgens uw verificatiemethode. Dit is een service-principal of hoofdgebruiker.
Uw web-app roept een insluit-token aan REST API bewerking, die het insluit token aanvraagt. Het insluit token geeft aan welke Power BI inhoud kan worden ingesloten.
De REST API retourneert het insluit token naar uw web-app.
De web-app geeft het insluit token door aan de webbrowser van de gebruiker.
De web-app-gebruiker gebruikt het insluit token voor toegang tot Power BI.
Insluiten voor uw organisatie
De oplossing Insluiten voor uw organisatie maakt gebruik van een interactieve verificatiestroom. Uw gebruikers verifiëren bij Azure AD met hun Power BI referenties. Gebruikers moeten toestemming verlenen voor de API-machtigingen die zijn ingesteld bij het registreren van de app bij Azure AD. Toestemming wordt verleend in het pop-upvenster Aangevraagde Microsoft-machtigingen. Nadat toestemming is verleend, Power BI inhoud, zoals rapporten en dashboards waar de web-app-gebruiker toegang toe heeft, worden ingesloten.
Notitie
- De oplossing voor insluiten voor uw organisatie biedt geen ondersteuning voor A-SKU's.
- Als u wilt over stappen naar productie, hebt u een van de volgende configuraties nodig:
- Alle gebruikers met Pro licenties.
- Alle gebruikers met PPU-licenties.
- Een capaciteit. Met deze configuratie kunnen alle gebruikers gratis licenties hebben.
In dit diagram ziet u een voorbeeld van de verificatiestroom voor het insluiten voor uw organisatieoplossing.
De web-app-gebruiker heeft toegang tot de web-app.
De web-app leidt de web-app-gebruiker om naar Azure AD.
De gebruiker van de web-app wordt geverifieerd bij Azure AD met behulp van Power BI referenties.
Azure AD leidt de web-app-gebruiker terug naar de web-app met het Azure AD-token (in een impliciet toekenningsscenario wordt het toegangsteken geretourneerd naar de browser van de gebruiker).
De web-app geeft het Azure AD-token door aan de webbrowser van de gebruiker.
Uw Power BI-web-app gebruikt het Azure AD-token voor het insluiten van Power BI-inhoud, zoals rapporten en dashboards, die de web-app-gebruiker toegangsrechten heeft.