OAuth gebruiken om verbinding te maken met Power BI Report Server en SSRS

  • Artikel

U kunt OAuth gebruiken om verbinding te maken met Power BI Report Server en Reporting Services om mobiele rapporten of KPI's weer te geven. Informatie over het configureren van uw omgeving om OAuth-verificatie te ondersteunen met de mobiele Power BI-app om verbinding te maken met Power BI Report Server en SQL Server Reporting Services 2016 of hoger.

Notitie

Het weergeven van Power BI-rapporten die worden gehost in Power BI Report Server met behulp van WAP voor verificatie, wordt nu ondersteund voor iOS- en Android-apps.

Vereisten

Windows Server 2016 is vereist voor de ADFS-servers (Web toepassingsproxy) en Active Directory Federation Services (ADFS). U hoeft geen domein op het functionele niveau van Windows 2016 te hebben.

Als u wilt dat gebruikers een rapportserververbinding kunnen toevoegen aan hun mobiele Power BI-app, moet u hen toegang verlenen tot de basismap van de rapportserver.

DNS-configuratie (Domain Name Services)

De openbare URL is dat de mobiele Power BI-app verbinding maakt met. Het ziet er bijvoorbeeld ongeveer als volgt uit.

https://reports.contoso.com

Uw DNS-record voor rapporten naar het openbare IP-adres van de WAP-server (Web toepassingsproxy). U moet ook een openbare DNS-record configureren voor uw ADFS-server. U hebt bijvoorbeeld de ADFS-server geconfigureerd met de volgende URL.

https://fs.contoso.com

Uw DNS-record voor fs naar het openbare IP-adres van de WAP-server (Web toepassingsproxy), omdat deze wordt gepubliceerd als onderdeel van de WAP-toepassing.

Certificaten

U moet certificaten configureren voor zowel de WAP-toepassing als de ADFS-server. Beide certificaten moeten deel uitmaken van een geldige certificeringsinstantie die door uw mobiele apparaten wordt herkend.

Reporting Services-configuratie

Er is niet veel te configureren aan de zijde van Reporting Services. U hoeft alleen maar te controleren of:

Service Principal Name (SPN)

De SPN is een unieke id voor een service die gebruikmaakt van Kerberos-verificatie. U moet ervoor zorgen dat u over een juiste HTTP SPN beschikt voor uw rapportserver.

Zie Een Service Principal Name (SPN) registreren voor een rapportserver voor informatie over het configureren van de juiste SPN (Service Principal Name) voor uw rapportserver.

Onderhandelen over verificatie inschakelen

Als u wilt dat een rapportserver Kerberos-verificatie gebruikt, moet u het verificatietype van de rapportserver configureren als RSWindowsNegotiate. U doet dit in het bestand rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Zie Een Reporting Services-configuratiebestand wijzigen en Windows-verificatie configureren op een rapportserver voor meer informatie.

ADFS-configuratie (Active Directory Federation Services)

U moet ADFS configureren op een Windows 2016-server in uw omgeving. De configuratie kan worden uitgevoerd via het Serverbeheer en het selecteren van Functies en onderdelen toevoegen onder Beheren. Zie Active Directory Federation Services voor meer informatie.

Een toepassingsgroep maken

In het ad FS-beheerscherm wilt u een toepassingsgroep maken voor Reporting Services, die informatie bevat voor de Power BI - Mobiel-apps.

U kunt de toepassingsgroep maken met de volgende stappen.

  1. Klik in de AD FS-beheer-app met de rechtermuisknop op Toepassingsgroepen en selecteer Toepassingsgroep toevoegen...

    ADFS Add Application

  2. Geef in de wizard Toepassingsgroep toevoegen een naam op voor de toepassingsgroep en selecteer Systeemeigen toepassing die toegang heeft tot een web-API.

    ADFS Application Group Wizard 01

  3. Selecteer Volgende.

  4. Geef een naam op voor de toepassing die u toevoegt.

  5. Terwijl de client-id automatisch wordt gegenereerd voor uw, voert u in 484d54fc-b481-4eee-9505-0258a1913020 in voor zowel iOS als Android.

  6. U wilt de volgende omleidings-URL's toevoegen:

    Vermeldingen voor Power BI - Mobiel – iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Android-apps hebben alleen de volgende stappen nodig:
    urn:ietf:wg:oauth:2.0:oob

    ADFS Application Group Wizard 02

  7. Selecteer Volgende.

  8. Geef de URL voor uw rapportserver op. De URL is de externe URL die uw web-toepassingsproxy bereikt. Deze moet de volgende indeling hebben.

    Notitie

    Deze URL is hoofdlettergevoelig.

    https://<report server url>/reports

    ADFS Application Group Wizard 03

  9. Selecteer Volgende.

  10. Kies het toegangsbeheerbeleid dat past bij de behoeften van uw organisatie.

    ADFS Application Group Wizard 04

  11. Selecteer Volgende.

  12. Selecteer Volgende.

  13. Selecteer Volgende.

  14. Selecteer Sluiten.

Wanneer dit is voltooid, ziet u de eigenschappen van uw toepassingsgroep er ongeveer als volgt uit.

ADFS Application Group Wizard

Wap-configuratie (Web toepassingsproxy)

U wilt de Windows-functie Web toepassingsproxy (functie) inschakelen op een server in uw omgeving. Deze moet zich op een Windows 2016-server bevinden. Zie Web toepassingsproxy in Windows Server 2016 and Publishing Applications using AD FS Preauthentication voor meer informatie.

Configuratie van beperkte delegatie

Om over te stappen van OAuth-verificatie naar Windows-verificatie, moeten we beperkte delegering gebruiken met protocolovergang. Dit maakt deel uit van de Kerberos-configuratie. We hebben de Reporting Services SPN al gedefinieerd in de Reporting Services-configuratie.

We moeten beperkte delegering configureren voor het WAP Server-computeraccount in Active Directory. Mogelijk moet u met een domeinbeheerder werken als u geen rechten hebt voor Active Directory.

Als u beperkte delegering wilt configureren, moet u de volgende stappen uitvoeren.

  1. Start Active Directory op een computer waarop de Active Directory-hulpprogramma's zijn geïnstalleerd.

  2. Zoek het computeraccount voor uw WAP-server. Deze wordt standaard in de computercontainer geplaatst.

  3. Klik met de rechtermuisknop op de WAP-server en ga naar Eigenschappen.

  4. Selecteer het tabblad Delegatie .

  5. Selecteer Deze computer alleen vertrouwen voor delegering naar opgegeven services en gebruik vervolgens een verificatieprotocol.

    WAP Constrained

    Hiermee stelt u beperkte delegering in voor dit WAP Server-computeraccount. Vervolgens moeten we de services opgeven waaraan deze computer mag delegeren.

  6. Selecteer Toevoegen... onder het vak Services.

    WAP Constrained 02

  7. Gebruikers of computers selecteren ...

  8. Voer het serviceaccount in dat u gebruikt voor Reporting Services. Dit account is het account waaraan u de SPN hebt toegevoegd binnen de Reporting Services-configuratie.

  9. Selecteer de SPN voor Reporting Services en selecteer vervolgens OK.

    Notitie

    Mogelijk ziet u alleen de NetBIOS SPN. In feite worden zowel de NetBIOS- als FQDN-SPN's geselecteerd als ze beide bestaan.

    WAP Constrained 03

  10. Het resultaat moet er ongeveer als volgt uitzien wanneer het selectievakje Uitgevouwen is ingeschakeld.

    WAP Constrained 04

  11. Selecteer OK.

WAP-toepassing toevoegen

Hoewel u toepassingen kunt publiceren in de console rapporttoegangsbeheer, willen we de toepassing maken via PowerShell. Hier volgt de opdracht om de toepassing toe te voegen.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parameter Opmerkingen
ADFSRelyingPartyName De web-API-naam die u hebt gemaakt als onderdeel van de toepassingsgroep in ADFS.
ExternalCertificateThumbprint Het certificaat dat moet worden gebruikt voor de externe gebruikers. Het is belangrijk dat het certificaat geldig is op mobiele apparaten en afkomstig is van een vertrouwde certificeringsinstantie.
BackendServerUrl De URL naar de rapportserver vanaf de WAP-server. Als de WAP-server zich in een DMZ bevindt, moet u mogelijk een volledig gekwalificeerde domeinnaam gebruiken. Zorg ervoor dat u deze URL kunt bereiken vanuit de webbrowser op de WAP-server.
BackendServerAuthenticationSPN De SPN die u hebt gemaakt als onderdeel van de Reporting Services-configuratie.

Geïntegreerde verificatie instellen voor de WAP-toepassing

Nadat u de WAP-toepassing hebt toegevoegd, moet u de BackendServerAuthenticationMode instellen om IntegratedWindowsAuthentication te gebruiken. U hebt de id van de WAP-toepassing nodig om deze in te stellen.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Add Application Group

Voer de volgende opdracht uit om de BackendServerAuthenticationMode in te stellen met behulp van de id van de WAP-toepassing.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Add Application Group wizard

Verbinding maken met de Power BI - Mobiel-app

In de mobiele Power BI-app wilt u verbinding maken met uw Reporting Services-exemplaar. Hiervoor geeft u de externe URL voor uw WAP-toepassing op.

Type the server address

Wanneer u Verbinding maken selecteert, wordt u omgeleid naar de aanmeldingspagina van ADFS. Voer geldige referenties in voor uw domein.

Sign-in to ADFS

Nadat u Aanmelden hebt geselecteerd, ziet u de elementen van uw Reporting Services-server.

Meervoudige verificatie

U kunt meervoudige verificatie inschakelen om extra beveiliging voor uw omgeving in te schakelen. Zie Azure MFA configureren als verificatieprovider met AD FS voor meer informatie.

Problemen oplossen

U ontvangt de foutmelding 'Aanmelden bij SSRS-server is mislukt'

U kunt Fiddler instellen als proxy voor uw mobiele apparaten om te zien hoe ver de aanvraag is ingediend. Als u een Fiddler-proxy voor uw telefoonapparaat wilt inschakelen, moet u de CertMaker voor iOS en Android instellen op de computer waarop Fiddler wordt uitgevoerd. De invoegtoepassing is afkomstig van Telerik voor Fiddler.

Als de aanmelding werkt bij het gebruik van Fiddler, is er mogelijk een certificaatprobleem met de WAP-toepassing of de ADFS-server.

Gerelateerde inhoud