Toegangstokens voor ingesloten analyses

VAN TOEPASSING OP: App is eigenaar van gegevens die gebruiker eigenaar is van gegevens

Voor het gebruik van Power BI-inhoud (zoals rapporten, dashboards en tegels) is een toegangstoken vereist. Afhankelijk van uw oplossing kan dit token een Microsoft Entra-token, een insluittoken of beide zijn.

In de insluitoplossing voor uw klanten genereert de toepassing een insluittoken waarmee uw webgebruikers toegang krijgen tot Power BI-inhoud.

Notitie

Wanneer u de insluiting voor uw klantenoplossing gebruikt, kunt u elke verificatiemethode gebruiken om toegang tot uw web-app toe te staan.

In het insluiten voor uw organisatieoplossing verifiëren uw web-app-gebruikers zich met behulp van hun eigen referenties bij Microsoft Entra ID . Uw klanten hebben toegang tot de Power BI-inhoud waartoe ze toegang hebben op de Power BI-service.

Microsoft Entra-token

Voor zowel insluiten als insluiten voor uw organisatieoplossingen hebt u een Microsoft Entra-token nodig. Het Microsoft Entra-token is vereist voor alle REST API-bewerkingen en verloopt na een uur.

• In de insluiting voor uw klantenoplossing wordt het Microsoft Entra-token gebruikt om het insluittoken te genereren.

• In het insluiten voor uw organisatieoplossing wordt het Microsoft Entra-token gebruikt voor toegang tot Power BI.

U kunt een Microsoft Entra-token op een van de volgende manieren verkrijgen:

• Gebruik het externe Postman-hulpprogramma om een token te verkrijgen. Zie deze Power BI-community thread voor meer informatie. De aanvraag-URL voor een service-principal moet zijn https://login.microsoftonline.com/{tenantID}/oauth2/v2.0/token, maar voor een hoofdgebruiker kan https://login.microsoftonline.com/{tenantID}/oauth2/v2.0/token dit of https://login.microsoftonline.com/common/oauth2/token.

• Volg de voorbeeldoplossingen in PowerBI-Developer-Samples. Voorbeeld:

  • Zie dit AadService.cs-bestand voor Insluiten voor uw klanten. Zoek de authorityUrl en scopeBase op AppOwnsData/Web.config.

  • Zie dit OwinOpenId Verbinding maken.cs-bestand voor Insluiten voor uw organisatie. Zoek authorityUrl op UserOwnsData/Web.config.

  Notitie

  U kunt de authorityUrl en scopeBase waarden voor sommige onafhankelijke clouds vinden in Inhoud insluiten in uw app voor overheids- en nationale/regionale clouds.

Token insluiten

Wanneer u de insluiting voor uw klantenoplossing gebruikt, moet uw web-app weten tot welke Power BI-inhoud een gebruiker toegang heeft. Gebruik de REST API's van het insluittoken om een insluittoken te genereren, waarmee de volgende informatie wordt opgegeven:

• De inhoud die de gebruiker van uw web-app kan openen

• Het toegangsniveau van de gebruiker van de web-app (weergeven, maken of bewerken)

Zie Overwegingen bij het genereren van een insluittoken voor meer informatie.

Verificatiestromen

In deze sectie worden de verschillende verificatiestromen beschreven voor het insluiten van de klanten het insluiten voor uw organisatieoplossingen .

Insluiten voor uw klanten

De insluiting voor uw klantenoplossing maakt gebruik van een niet-interactieve verificatiestroom. In een insluiting voor uw klantenoplossing melden gebruikers zich niet aan bij Microsoft Entra ID om toegang te krijgen tot Power BI. In plaats daarvan maakt uw web-app gebruik van een gereserveerde Microsoft Entra-identiteit om te verifiëren bij Microsoft Entra ID en het insluittoken te genereren. De gereserveerde identiteit kan een service-principal of een hoofdgebruiker zijn:

• Service-principal Uw web-app maakt gebruik van het Microsoft Entra-service-principal-object om te verifiëren bij Microsoft Entra ID en om een Microsoft Entra-token op te halen dat alleen voor apps geldt. Deze verificatiemethode voor alleen-apps wordt aanbevolen door Microsoft Entra ID.

  Wanneer u een service-principal gebruikt, moet u API van Power BI s toegang inschakelen in de Power BI-service-beheerinstellingen. Als u toegang inschakelt, heeft uw web-app toegang tot de Power BI REST API's. Als u API-bewerkingen in een werkruimte wilt gebruiken, moet de service-principal lid of beheerder van de werkruimte zijn.

• Hoofdgebruiker Uw web-app maakt gebruik van een gebruikersaccount om te verifiëren bij Microsoft Entra ID en het Microsoft Entra-token op te halen. Het hoofdgebruikersaccount moet een PPU-licentie (Power BI Pro of Premium Per User) hebben.

  Wanneer u een hoofdgebruikersaccount gebruikt, moet u de gedelegeerde machtigingen van uw app definiëren (ook wel bereiken genoemd). De hoofdgebruiker of tenantbeheerder moet toestemming geven om deze machtigingen te gebruiken bij het gebruik van de Power BI REST API's.

Nadat de verificatie met Microsoft Entra ID is geslaagd, genereert uw web-app een insluittoken zodat de gebruikers toegang hebben tot specifieke Power BI-inhoud.

Notitie

• Als u wilt insluiten met behulp van de insluiting voor uw klantenoplossing , hebt u een capaciteit met een A-, EM- of P-SKU nodig.
• Als u naar productie wilt gaan, hebt u een capaciteit nodig.

In het volgende diagram ziet u de verificatiestroom voor het insluiten van uw klantenoplossing .

1. De gebruiker van de web-app verifieert zich bij uw web-app met uw verificatiemethode.

2. Uw web-app maakt gebruik van een service-principal of hoofdgebruiker om zich te verifiëren bij Microsoft Entra ID.

3. Uw web-app haalt een Microsoft Entra-token op van Microsoft Entra ID en gebruikt deze om toegang te krijgen tot Power BI REST API's. De verificatiemethode die u kiest, geeft toegang tot de Power BI REST APIS, afhankelijk van of de verificatiemethode een service-principal of een hoofdgebruiker is.

4. Uw web-app roept een REST API-bewerking voor insluittoken aan en vraagt het insluittoken aan. Het insluittoken geeft aan welke Power BI-inhoud kan worden ingesloten.

5. De REST API retourneert het insluittoken naar uw web-app.

6. De web-app geeft het insluittoken door aan de webbrowser van de gebruiker.

7. De gebruiker van de web-app gebruikt het insluittoken om toegang te krijgen tot Power BI.

Insluiten voor uw organisatie

De insluiting voor uw organisatieoplossing maakt gebruik van een interactieve verificatiestroom. De web-app-gebruikers verifiëren zich bij Microsoft Entra ID met behulp van hun eigen Power BI-referenties. Ze moeten toestemming geven voor de API-machtigingen die zijn ingesteld toen de app werd geregistreerd bij Microsoft Entra-id. In een dialoogvenster microsoft-machtigingen dat is aangevraagd, wordt gebruikers gevraagd om deze machtigingen te verlenen. Nadat toestemming is verleend, kan de gebruiker de Power BI-inhoud insluiten waartoe de gebruiker toegang heeft.

Notitie

• Het insluiten voor uw organisatieoplossing biedt geen ondersteuning voor A-SKU's.

• Als u naar productie wilt gaan, hebt u een van de volgende configuraties nodig:

  • Alle gebruikers met Pro-licenties.
  • Alle gebruikers met PPU-licenties.
  • Een capaciteit of Fabric F64 of een grotere capaciteit. Met deze configuratie kunnen alle gebruikers gratis licenties hebben.

In dit diagram ziet u een voorbeeld van de verificatiestroom voor het insluiten van uw organisatieoplossing .

1. De gebruiker van de web-app heeft toegang tot de web-app.

2. De web-app leidt de web-app-gebruiker om naar Microsoft Entra-id.

3. De gebruiker van de web-app verifieert zich bij Microsoft Entra ID met behulp van hun Power BI-referenties.

4. Microsoft Entra ID leidt de web-app-gebruiker terug naar de web-app met het Microsoft Entra-token. In een impliciet toekenningsscenario wordt het toegangstoken geretourneerd naar de browser van de gebruiker.

5. De web-app geeft het Microsoft Entra-token door aan de webbrowser van de gebruiker.

6. Uw Power BI-web-app maakt gebruik van het Microsoft Entra-token om Power BI-inhoud in te sluiten, zoals rapporten en dashboards, waartoe de gebruiker van de web-app toegang heeft.

Gerelateerde inhoud

• Overwegingen bij het genereren van een insluittoken
• Capaciteit en SKU's in ingesloten analyses in Power BI

Meer vragen? Vraag het Power BI-community