Problemen oplossen met uw ingesloten toepassing

In dit artikel worden enkele veelvoorkomende problemen besproken die kunnen optreden tijdens het insluiten van inhoud vanuit Power BI.

Hulpprogramma's voor probleemoplossing

Traceren met Fiddler

Fiddler is een gratis hulpprogramma van Telerik waarmee u het HTTP-verkeer kunt controleren. U kunt hiermee het verkeer tussen de Power BI API's en de clientcomputer bekijken. Het programma kan fouten en aanverwante informatie weergeven.

F12 in de browser voor front-endfoutopsporing

Met F12 wordt het ontwikkelvenster in uw browser weergegeven. Met dit programma kunt u onder andere informatie over het netwerkverkeer bekijken.

Foutdetails extraheren uit het Power BI-antwoord

Dit codefragment laat zien hoe u de foutdetails van de HTTP-uitzondering kunt extraheren:

public static string GetExceptionText(this HttpOperationException exc)
{
    var errorText = string.Format("Request: {0}\r\nStatus: {1} ({2})\r\nResponse: {3}",
    exc.Request.Content, exc.Response.StatusCode, (int)exc.Response.StatusCode, exc.Response.Content);
    if (exc.Response.Headers.ContainsKey("RequestId"))
    {
        var requestId = exc.Response.Headers["RequestId"].FirstOrDefault();
        errorText += string.Format("\r\nRequestId: {0}", requestId);
    }

    return errorText;
}

Het is raadzaam om de aanvraag-id (en foutdetails voor probleemoplossing) in een logboek te registreren. Geef de aanvraag-id op als u contact opneemt met Microsoft Ondersteuning.

App-registratie

App-registratiefout

Er wordt in de foutberichten in de Azure-portal of op de Power BI-pagina voor het registreren van apps aangegeven dat u over onvoldoende bevoegdheden beschikt. Als u een toepassing wilt registreren, moet u een beheerder van de Azure AD-tenant zijn of moet de functie voor toepassingsregistraties voor niet-beheerders zijn ingeschakeld.

De Power BI-service wordt niet weergegeven in Azure Portal tijdens het registreren van een nieuwe app

Er moet ten minste één gebruiker zijn aangemeld voor Power BI. Als de Power BI-service niet in de API-lijst wordt vermeld, is er geen gebruiker geregistreerd voor Power BI.

Wat is het verschil tussen de object-id van de toepassing en de principal-object-id?

Wanneer u een Azure AD-app registreert, zijn er twee parameters met de naam object-id. In deze sectie wordt het doel van elke parameter uitgelegd en hoe u deze kunt verkrijgen.

REST API

De API-aanroep retourneert fout 401

Mogelijk is er een Fiddler-opname nodig om het probleem nader te onderzoeken. Het vereiste machtigingsbereik voor de geregistreerde toepassing ontbreekt mogelijk in Azure AD. Controleer of het vereiste bereik aanwezig is in de app-registratie voor Azure AD in Azure Portal.

De API-aanroep retourneert fout 403

Mogelijk is er een Fiddler-opname nodig om het probleem nader te onderzoeken. Er kunnen verschillende redenen zijn voor een 403-fout.

• De gebruiker heeft de hoeveelheid insluitingstokens overschreden die voor een gedeelde capaciteit kan worden gegenereerd. Schaf Azure-capaciteit aan als u insluitingstokens wilt genereren, en wijs de werkruimte vervolgens toe aan die capaciteit. Zie Create Power BI Embedded capacity in the Azure portal (Power BI Embedded-capaciteit maken in Azure Portal).
• Het Azure AD-verificatietoken is verlopen.
• De geverifieerde gebruiker is geen lid van de groep (werkruimte).
• De geverifieerde gebruiker is geen beheerder van de groep (werkruimte).
• De geverifieerde gebruiker heeft geen machtigingen. Machtigingen kunnen met behulp van de refreshUserPermissions-API worden bijgewerkt
• De autorisatie-header wordt mogelijk niet correct vermeld. Controleer deze op spelfouten.

De back-end van de toepassing moet het verificatietoken mogelijk vernieuwen voordat GenerateToken wordt aangeroepen. Zie Het toegangsken vernieuwen voor meer informatie.

GET https://wabi-us-north-central-redirect.analysis.windows.net/metadata/cluster HTTP/1.1
Host: wabi-us-north-central-redirect.analysis.windows.net
...
Authorization: Bearer eyJ0eXAiOi...
...

HTTP/1.1 403 Forbidden
...

{"error":{"code":"TokenExpired","message":"Access token has expired, resubmit with a new access token"}}

Time-outuitzonderingen oplossen bij het gebruik van API's voor importeren en exporteren

Wanneer u een aanvraag Power BI REST API verzenden, kan deze aankomen bij een cluster dat de gegevens van uw tenant niet bevat. In dergelijke gevallen kan het omleiden van de aanvraag mislukken vanwege een time-out.

Als u de time-outuitslag wilt oplossen, kunt u de aanvraag opnieuw indienen met de preferClientRouting parameter ingesteld op true . Als uw aanvraag bij het verkeerde cluster binnenkomt, retourneert Power BI service een 307-antwoord voor tijdelijke omleiding. In dergelijke gevallen moet u uw aanvraag omleiden naar het nieuwe adres dat is opgegeven in de https-locatieheader van het antwoord.

Verificatie

De verificatie is mislukt met AADSTS90002: Tenant 'autoriseren' niet gevonden

Als u bij het aanmelden berichten ontvangt zoals fout: invalid_request, error_description: AADSTS90002: Tenant 'autoriseren' niet gevonden, is dat omdat ADAL 4.x geen ondersteuning biedt voor 'https://login.microsoftonline.com/{Tenant}/oauth2/authorize/ ' als autoriteit-URL.

U lost dit probleem op door 'oauth2/authorize/' aan het einde van de autoriteit-URL te verwijderen; zie Voorbeelden voor Power BI-ontwikkelaars ter referentie.

Controleer Betere autoriteitsvalidatie in de releaseopmerkingen van ADAL 4.x.

De verificatie is mislukt met AADSTS70002 of AADSTS50053

(AADSTS70002: er is een fout opgetreden bij het valideren van referenties. AADSTS50053: u hebt te vaak geprobeerd u aan te melden met een onjuiste gebruikers-id of een onjuist wachtwoord)

Als u Power BI Embedded en Azure AD Direct-verificatie gebruikt en u berichten ontvangt die zich aanmelden, zoals fout:unauthorized_client, error_description:AADSTS70002: Fout bij het valideren van referenties. AADSTS50053: u hebt te vaak geprobeerd u aan te melden met een onjuiste gebruikers-id of een onjuist wachtwoord, omdat directe verificatie niet meer wordt gebruikt.

Er is een manier om dit weer in te schakelen met behulp van Azure AD-beleid waarvan het bereik wordt beperkt tot de organisatie of een service-principal.

Het wordt aanbevolen dit beleid alleen per app in te schakelen.

Als u dit beleid wilt kunnen maken, moet u een globale beheerder zijn voor de map waar u het beleid maakt en dit kunnen toewijzen. Hier volgt een voorbeeldscript voor het maken van het beleid en het toewijzen ervan aan de serviceprovider voor deze toepassing:

1. Installeer de previewversie van de Azure AD PowerShell-module.

2. Voer de volgende PowerShell-opdrachten per regel uit (zorg ervoor dat de variabele $sp niet meer dan één toepassing als resultaat heeft).

Connect-AzureAD

$sp = Get-AzureADServicePrincipal -SearchString "Name_Of_Application"

$policy = New-AzureADPolicy -Definition @("{`"HomeRealmDiscoveryPolicy`":{`"AllowCloudPasswordValidation`":true}}") -DisplayName EnableDirectAuth -Type HomeRealmDiscoveryPolicy -IsOrganizationDefault $false

Add-AzureADServicePrincipalPolicy -Id $sp.ObjectId -RefObjectId $policy.Id 

Na het toewijzen van het beleid wacht u ongeveer 15-20 seconden tot het beleid wordt doorgegeven voordat u begint met testen.

Het token wordt niet gegeneerd wanneer de effectieve identiteit wordt opgegeven

GenerateToken kan om enkele verschillende redenen mislukken wanneer de effectieve identiteit wordt opgegeven.

• De gegevensset ondersteunt de effectieve identiteit niet
• De gebruikersnaam is niet opgegeven
• De rol is niet opgegeven
• De gegevensset-id is niet opgegeven
• Gebruiker beschikt niet over de juiste machtigingen.

Voer de onderstaande stappen uit om te controleren wat de reden is.

• Voer Gegevensset ophalen uit. Staat de eigenschap IsEffectiveIdentityRequired in gesteld op true (waar)?
• Voor elke EffectiveIdentity moet een gebruikersnaam worden opgegeven.
• Staat IsEffectiveIdentityRolesRequired in gestel op true (waar) en er dus een rol is vereist.
• DatasetId is verplicht voor elke EffectiveIdentity.
• Voor Analysis Services moet de hoofdgebruiker een gatewaybeheerder zijn.

AADSTS90094: voor de toestemming zijn beheerdersmachtigingen vereist

Symptomen:
Wanneer een gebruiker die geen beheerder is zich voor de eerste keer wil aanmelden bij een toepassing en toestemming verleent, wordt een van de volgende fouten weergegeven:

• ConsentTest heeft toestemming nodig voor toegang tot bronnen in uw organisatie die alleen door een beheerder kunnen worden verleend. Vraag een beheerder om toestemming te verlenen voor deze app voordat u deze kunt gebruiken.

• AADSTS90094: Voor de toestemming zijn beheerdersmachtigingen vereist.

  

Een gebruiker met beheerdersrechten kan zich aanmelden en toestemming verlenen.

Hoofdoorzaak:
Toestemming van de gebruiker is uitgeschakeld voor de tenant.

Er zijn verschillende oplossingen mogelijk:

Toestemming inschakelen voor de gebruiker voor de gehele tenant (alle gebruikers, alle toepassingen)

1. Navigeer in Azure Portal naar Azure Active Directory = > Gebruikers en groepen = > Gebruikersinstellingen

2. Schakel de instelling Gebruikers kunnen apps namens hen toegang geven tot bedrijfsgegevens in en sla de wijzigingen op

   

Verleen machtigingen voor de toepassing (door een beheerder) voor de gehele tenant of voor een specifieke gebruiker.

De fout CS1061

Download Microsoft.IdentityModel.Clients.ActiveDirectory als u de volgende fout ervaart: 'AuthenticationContext' doesn't contain a definition for 'AcquireToken' and no accessible 'AcquireToken' accepting a first argument of type 'AuthenticationContext' could be found (are you missing a using directive or an assembly reference?) (AuthenticationContext bevat geen definitie voor AcquireToken en er is geen toegankelijk AcquireToken gevonden dat een eerste argument van het type AuthenticationContext accepteert (ontbreekt er een USING-instructie of een assemblyverwijzing?)).

Azure AD-token voor een andere tenant (gastgebruiker)

Wanneer u voor uw organisatie insluit, moet u de tenant-id opgeven in de parameter om Azure AD-gastgebruikers toegang te geven tot uw authorityUri inhoud.

• URL voor het authenticeren in de tenant van uw organisatie:

  https://login.microsoftonline.com/common/v2.0

• URL voor het authenticeren van een Azure AD-gastgebruiker:

  https://login.microsoftonline.com/<tenant ID>

Als u uw tenant-id wilt vinden, kunt u de instructies in Find the Microsoft Azure AD tenant ID and primary domain name (De tenant-iden primaire domeinnaam zoeken).

Zie How to: Sign in any Azure Active Directory using the multi-tenant application pattern(Een gebruiker aanmelden met het toepassingspatroon voor meerdere tenants) voor meer informatie.

Gegevensbronnen

De ISV wil andere referenties voor dezelfde gegevensbron hebben

Een gegevensbron kan één set referenties voor één hoofdgebruiker hebben. Als u andere referenties moet gebruiken, maakt u aanvullende hoofdgebruikers. Vervolgens wijst u de andere referenties voor elk van de hoofdgebruikers toe en sluit u ze in met het Azure AD-token van de desbetreffende gebruiker.

Problemen met uw ingesloten toepassing oplossen met het IError-object

Gebruik het IError-object dat door de foutgebeurtenis vanuit de JavaScript SDK wordt geretourneerd om fouten in uw toepassing op te sporen en de oorzaak van de fouten beter te begrijpen.

Als u het IError-object hebt verkregen, zoekt u in de tabel met bijbehorende veelvoorkomende fouten die past bij het insluitingstype dat u gebruikt. Vergelijk de IError-eigenschappen met de eigenschappen in de tabel en zoek de mogelijke reden(en) voor de fout.

Typische fouten bij het insluiten voor Power BI-gebruikers

Typische fouten bij het insluiten voor niet-Power BI-gebruikers (met behulp van een insluitingstoken)

Gegevenssets

Beheren welk deel van de gegevens uw gebruikers kunnen zien

Elke gebruiker met leesmachtigingen voor een gegevensset kan het hele schema (tabellen, kolommen en metingen) en alle gegevens zien. U kunt de weergavemachtigingen voor onbewerkte en geaggregeerde gegevens in dezelfde gegevensset niet afzonderlijk bepalen.

Gebruik een van de volgende methoden om te beheren welk deel van de gegevens uw gebruikers kunnen bekijken:

• Filteren op rijniveau met Power BI beveiliging op rijniveau (RLS).

• Beveiliging op objectniveau (OLS).

• Scheid de gegevens in verschillende gegevenssets. U kunt bijvoorbeeld een gegevensset maken die alleen geaggregeerde gegevens bevat en uw gebruikers alleen toegang geven tot die gegevensset.

Inhoud weergeven

Als u renderingproblemen in ingesloten Power BI items (zoals rapporten en dashboards) wilt oplossen, bekijkt u deze sectie.

Controleer of het Power BI wordt geladen in Power BI service

Als u problemen met uw toepassing of de API's voor insluiten wilt uitsluiten, controleert u of het item kan worden bekeken in de Power BI-service (powerbi.com).

Controleer of het Power BI-item wordt geladen in Power BI ingesloten analysesyteplaats

Als u problemen met uw toepassing wilt uitsluiten, controleert u of het Power BI-item kan worden bekeken in de Power BI ingesloten analytics-playground.

Controleer of uw toegangs token niet is verlopen

Voor beveiligingsdoeleinden hebben toegangstokens (een Azure AD-token of een insluittoken) een beperkte levensduur. U moet uw toegangs token voortdurend bewaken en zo nodig vernieuwen. Zie Het toegangsken vernieuwen voor meer informatie.

Prestaties

Om de best presterende ingesloten inhoud te krijgen, raden we u aan de best practices voor Power BI ingesloten analyse te volgen.

Installatieprogramma voor insluiten

U kunt het installatieprogramma voor insluiten doorlopen om snel een voorbeeldtoepassing te downloaden. Vervolgens kunt u uw toepassing vergelijken met het voorbeeld.

Vereisten

Verifieer dat u aan alle voorwaarden voldoet voordat u het installatieprogramma voor insluiten gebruikt. U hebt een Power BI Pro-account en een Microsoft Azure-account nodig.

• Als u zich niet hebt geregistreerd voor Power BI Pro, kunt u zich hier aanmelden voor een gratis proefversie voordat u begint.
• Als u nog geen abonnement voor Azure hebt, maakt u een gratis account voordat u begint.
• U moet beschikken over een eigen Azure Active Directory-tenant .
• Visual Studio moet zijn geïnstalleerd (versie 2013 of hoger).

Veelvoorkomende problemen

Hier volgt een lijst met veelvoorkomende problemen die kunnen optreden wanneer u testen uitvoert met het installatieprogramma voor insluiten:

De voorbeeldtoepassing Insluiten voor uw klanten gebruiken

Als u met de ervaring Insluiten voor uw klanten werkt, moet u het bestand PowerBI-Developer-Samples.zip opslaan en uitpakken. Open vervolgens de map PowerBI-Developer-Samples-master\App Owns Data en voer het bestand PowerBIEmbedded_AppOwnsData.sln uit.

Als u Machtigingen verlenen selecteert (de stap Machtigingen verlenen), krijgt u de volgende fout:

AADSTS70001: Application with identifier <client ID> wasn't found in the directory <directory ID>

U lost dit op door het pop-upvenster te sluiten, enkele seconden te wachten en het vervolgens opnieuw te proberen. Mogelijk moet u deze actie een aantal keer herhalen. Een tijdsinterval zorgt ervoor dat het registratieproces voor de toepassing door het probleem niet kan worden voltooid voordat dit beschikbaar is voor externe API's.

De volgende foutmelding wordt weergegeven wanneer u de voorbeeld-app uitvoert:

Password is empty. Please fill password of Power BI username in web.config.

Deze fout treedt op omdat de enige waarde die niet in de voorbeeldtoepassing wordt ingevoerd uw gebruikerswachtwoord is. Open het Web.config-bestand in de oplossing en vul in het veld pbiPassword het wachtwoord van uw gebruiker in.

Als u de foutmelding AADSTS50079 ziet, moet de gebruiker meervoudige verificatie gebruiken.

U moet een AAD-account gebruiken waarvoor MFA niet is ingeschakeld.

Insluiten gebruiken voor de voorbeeldtoepassing van uw organisatie

Als u met de ervaring Insluiten voor uw organisatie werkt, moet u het bestand PowerBI-Developer-Samples.zip opslaan en uitpakken. Open vervolgens de map PowerBI-Developer-Samples-master\User Owns Data\integrate-report-web-app en voer het bestand pbi-saas-embed-report.sln uit.

Wanneer u de voorbeeld-app Insluiten voor uw organisatie uitvoert, krijgt u de volgende fout:

AADSTS50011: The reply URL specified in the request doesn't match the reply URLs configured for the application: <client ID>

Deze fout treedt op omdat de omleidings-URL die is opgegeven voor de webservertoepassing afwijkt van de URL van het voorbeeld. Als u de voorbeeldtoepassing wilt registreren, gebruikt u https://localhost:13526/ als de omleidings-URL.

Als u de geregistreerde toepassing wilt bewerken, moet u leren hoe u de geregistreerde Azure AD-toepassing bijwerkt, zodat de toepassing toegang kan geven tot de web-API's.

Als u uw Power BI-gebruikersprofiel of -gegevens wilt bewerken, leert u hoe u uw Power BI-gegevens moet bewerken.

Als de volgende fout wordt weergegeven: AADSTS50079: de gebruiker dient de meervoudige verificatie te gebruiken.

U moet een AAD-account gebruiken waarvoor MFA niet is ingeschakeld.

Zie Veelgestelde vragen over Power BI Embedded voor meer informatie.

Hebt u nog vragen? Misschien dat de Power BI-community het antwoord weet

Als u meer hulp nodig hebt, neemt u contact op met de ondersteuning of maakt u een ondersteuningsticket via Azure Portal en geeft u de foutberichten op die zijn weergegeven.

Volgende stappen

Zie Veelgestelde vragen voor meer informatie.

Hebt u nog vragen? Misschien dat de Power BI-community het antwoord weet