Configurar o SSO baseado em Kerberos do serviço do Power BI para fontes de dados locaisConfigure Kerberos-based SSO from Power BI service to on-premises data sources

A habilitação do SSO facilita a atualização de dados de fontes locais em relatórios e dashboards do Power BI, respeitando as permissões no nível de usuário configuradas nessas fontes.Enabling SSO makes it easy for Power BI reports and dashboards to refresh data from on-premises sources while respecting user-level permissions configured on those sources. Use a delegação restrita de Kerberos para habilitar a conectividade ininterrupta de SSO.Use Kerberos constrained delegation to enable seamless SSO connectivity.

Pré-requisitosPrerequisites

Vários itens devem ser configurados para que a delegação restrita de Kerberos funcione corretamente, incluindo os SPNs (nomes das entidades de serviço) e as configurações de delegação nas contas de serviço.Several items must be configured for Kerberos constrained delegation to work properly, including Service Principal Names (SPN) and delegation settings on service accounts.

Observação

Não há suporte para o uso de alias de DNS com SSO.Using DNS aliasing with SSO is not supported.

Instalar e configurar o gateway de dados local da MicrosoftInstall and configure the Microsoft on-premises data gateway

O gateway de dados local é compatível com atualização in-loco e com o controle das configurações de gateway existentes.The on-premises data gateway supports an in-place upgrade, and settings takeover of existing gateways.

executar o serviço Windows do gateway como uma conta de domínioRun the gateway Windows service as a domain account

Em uma instalação padrão, o gateway é executado como uma conta de serviço local do computador, NT Service\PBIEgwService.In a standard installation, the gateway runs as the machine-local service account, NT Service\PBIEgwService.

Conta de serviço local do computador

Para habilitar a delegação restrita de Kerberos, o gateway precisa ser executado como uma conta de domínio, a menos que a instância do Azure AD (Azure Active Directory) já esteja sincronizada com a instância do Active Directory local (usando o Azure AD DirSync/Connect).To enable Kerberos constrained delegation, the gateway must run as a domain account, unless your Azure Active Directory (Azure AD) instance is already synchronized with your local Active Directory instance (by using Azure AD DirSync/Connect). Para alternar para uma conta de domínio, confira Mudar a conta de serviço de gateway.To switch to a domain account, see change the gateway service account.

Observação

Se o Microsoft Azure Active Directory Connect está configurado e as contas de usuário estão sincronizadas, o serviço do gateway não precisa executar pesquisas no Microsoft Azure Active Directory local no runtime.If Azure AD Connect is configured and user accounts are synchronized, the gateway service doesn't need to perform local Azure AD lookups at runtime. Em vez disso, basta usar o SID do serviço local para que o serviço de gateway conclua toda a configuração necessária no Azure AD.Instead, you can simply use the local service SID for the gateway service to complete all required configuration in Azure AD. As etapas de configuração da delegação restrita de Kerberos descritas neste artigo são as mesmas exigidas no contexto do Azure AD.The Kerberos constrained delegation configuration steps outlined in this article are the same as the configuration steps required in the Azure AD context. Elas são aplicadas ao objeto de computador do gateway (conforme identificado pelo SID do serviço local) no Azure AD em vez da conta de domínio.They are applied to the gateway's computer object (as identified by the local service SID) in Azure AD instead of the domain account.

Ter direitos de administrador de domínio para definir configurações de SPNs (SetSPN) e da delegação restrita do KerberosObtain domain admin rights to configure SPNs (SetSPN) and Kerberos constrained delegation settings

Para definir configurações de SPNs e delegação de Kerberos, o administrador do domínio precisa evitar conceder direitos a pessoas que não têm direitos de administrador de domínio.To configure SPNs and Kerberos delegation settings, a domain administrator should avoid granting rights to someone that doesn't have domain admin rights. Na seção a seguir, abordaremos as etapas de configuração recomendadas mais detalhadamente.In the following section, we cover the recommended configuration steps in more detail.

Configurar a delegação restrita de Kerberos para o gateway e a fonte de dadosConfigure Kerberos constrained delegation for the gateway and data source

Se necessário, configure um SPN para a conta de domínio do serviço do gateway como administrador do domínio e defina configurações de delegação na conta de domínio do serviço do gateway.If necessary, configure an SPN for the gateway service domain account as a domain administrator and configure delegation settings on the gateway service domain account.

Configurar um SPN para a conta de serviço do gatewayConfigure an SPN for the gateway service account

Primeiro, determine se um SPN já foi criado para a conta de domínio usada como a conta de serviço do gateway:First, determine whether an SPN was already created for the domain account used as the gateway service account:

  1. Como administrador do domínio, inicie o snap-in Usuários e Computadores do Active Directory do MMC (Console de Gerenciamento Microsoft).As a domain administrator, launch the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in.

  2. No painel esquerdo, clique com o botão direito do mouse no nome de domínio, selecione Localizar e insira o nome da conta de serviço do gateway.In the left pane, right-click the domain name, select Find, and then enter the account name of the gateway service account.

  3. No resultado da pesquisa, clique com o botão direito do mouse na conta de serviço do gateway e selecione Propriedades.In the search result, right-click the gateway service account and select Properties.

  4. Se a guia Delegação estiver visível na caixa de diálogo Propriedades, isso indica que já foi criado um SPN e é possível pular para Decidir o tipo de delegação restrita de Kerberos a ser usado.If the Delegation tab is visible on the Properties dialog, then an SPN was already created and you can skip to Decide on the type of Kerberos constrained delegation to use.

  5. Se não houver uma guia Delegação na caixa de diálogo Propriedades, crie manualmente um SPN na conta para habilitá-la.If there isn't a Delegation tab on the Properties dialog box, you can manually create an SPN on the account to enable it. Use a ferramenta setspn fornecida com o Windows (é necessário ter direitos de administrador de domínio para criar o SPN).Use the setspn tool that comes with Windows (you need domain admin rights to create the SPN).

    Por exemplo, imagine que a conta de serviço do gateway é Contoso\GatewaySvc e que o serviço de gateway está em execução em um computador chamado MyGatewayMachine.For example, suppose the gateway service account is Contoso\GatewaySvc and the gateway service is running on the machine named MyGatewayMachine. Para definir o SPN da conta de serviço do gateway, execute o seguinte comando:To set the SPN for the gateway service account, run the following command:

    setspn -a gateway/MyGatewayMachine Contoso\GatewaySvc

    Também é possível definir o SPN usando o snap-in Usuários e Computadores do Active Directory do MMC.You can also set the SPN by using the Active Directory Users and Computers MMC snap-in.

Se for preciso, adicione uma conta de serviço do gateway ao Grupo de Acesso e Autorização do WindowsAdd gateway service account to Windows Authorization and Access Group if required

Em alguns cenários, a conta de serviço do gateway deve ser adicionada ao Grupo de Acesso e Autorização do Windows.In certain scenarios the gateway service account must be added to the Windows Authorization and Access Group. Esses cenários incluem a proteção de segurança do ambiente do Active Directory e quando a conta de serviço do gateway e as contas de usuário que o gateway representará estiverem em domínios ou florestas separados.These scenarios include security hardening of the Active Directory environment, and when the gateway service account and the user accounts that the gateway will impersonate are in separate domains or forests. Apesar de não ser obrigatório, também é possível adicionar a conta de serviço do gateway ao Grupo de Acesso e Autorização do Windows em situações em que o domínio/floresta não tiver sido protegido.You can also add the gateway service account to Windows Authorization and Access Group in situations where the domain / forest has not been hardened, but it isn't required.

Confira mais informações em Grupo de Acesso e Autorização do Windows.For more information, see Windows Authorization and Access Group.

Para concluir esta etapa da configuração, para todo domínio que contiver usuários do Active Directory que você desejar que a conta de serviço do gateway possa representar:To complete this configuration step, for each domain that contains Active Directory users you want the gateway service account to be able to impersonate:

  1. Conecte-se a um computador no domínio e inicie o snap-in do MMC chamado Usuários e Computadores do Active Directory.Sign in to a computer in the domain, and launch the Active Directory Users and Computers MMC snap-in.
  2. Localize o grupo Grupo de Acesso e Autorização do Windows, geralmente localizado no contêiner Builtin.Locate the group Windows Authorization and Access Group, which is typically found in the Builtin container.
  3. Clique duas vezes no grupo e clique na guia Membros.Double click on the group, and click on the Members tab.
  4. Clique em Adicionar e altere o local do domínio para o domínio em que a conta de serviço do gateway reside.Click Add, and change the domain location to the domain that the gateway service account resides in.
  5. Digite o nome da conta de serviço do gateway e clique em Verificar Nomes para verificar se a conta de serviço de gateway está acessível.Type in the gateway service account name and click Check Names to verify that the gateway service account is accessible.
  6. Clique em OK.Click OK.
  7. Clique em Aplicar.Click Apply.
  8. Reinicie o serviço do gateway.Restart the gateway service.

Decida o tipo de delegação restrita de Kerberos a ser usadoDecide on the type of Kerberos constrained delegation to use

É possível definir as configurações de delegação para a delegação restrita de Kerberos padrão ou baseada em recursos.You can configure delegation settings for either standard Kerberos constrained delegation or resource-based Kerberos constrained delegation. Use a delegação baseada em recursos (que exige o Windows Server 2012 ou versões posteriores) se a fonte de dados pertencer a um domínio diferente daquele do gateway.Use resource-based delegation (requires Windows Server 2012 or later) if your data source belongs to a different domain than your gateway. Para saber mais sobre as diferenças entre as duas abordagens de delegação, confira Visão geral da delegação restrita de Kerberos.For more information on the differences between the two approaches to delegation, see Kerberos constrained delegation overview.

De acordo com a abordagem que você quer usar, acesse uma das seguintes seções.Depending on which approach you want to use, proceed to one of the following sections. Não conclua ambas as seções:Don't complete both sections:

Configurar a conta de serviço do gateway para delegação restrita de Kerberos padrãoConfigure the gateway service account for standard Kerberos constrained delegation

Observação

Conclua as etapas nesta seção se quiser habilitar a delegação restrita de Kerberos padrão.Complete the steps in this section if you want to enable standard Kerberos constrained delegation. Caso contrário, se quiser habilitar a delegação restrita de Kerberos baseada em recursos, conclua as etapas em Configurar a conta de serviço do gateway para a delegação restrita de Kerberos baseada em recursos.Otherwise, if you want to enable resource-based Kerberos constrained delegation, complete the steps in Configure the gateway service account for resource-based Kerberos constrained delegation.

Agora, defina as configurações de delegação para a conta de serviço do gateway.We'll now set the delegation settings for the gateway service account. Há diversas ferramentas que podem ser usadas para realizar essas etapas.There are multiple tools you can use to perform these steps. Aqui, usaremos Usuários e Computadores do Active Directory, que é um snap-in do MMC para administrar e publicar informações no diretório.Here, we'll use the Active Directory Users and Computers MMC snap-in to administer and publish information in the directory. Ele está disponível nos controladores de domínio por padrão, mas também pode ser habilitado pela configuração de recursos do Windows.It's available on domain controllers by default; on other machines, you can enable it through Windows feature configuration.

Precisamos configurar a delegação restrita de Kerberos com o trânsito de protocolos.We need to configure Kerberos constrained delegation with protocol transiting. Com a delegação restrita, é preciso ser explícito sobre para quais serviços você permite que o gateway apresente credenciais delegadas.With constrained delegation, you must be explicit about which services you allow the gateway to present delegated credentials to. Por exemplo, somente o SQL Server ou o servidor SAP HANA aceita chamadas de delegação da conta de serviço do gateway.For example, only SQL Server or your SAP HANA server accepts delegation calls from the gateway service account.

Esta seção pressupõe que você já tenha configurado SPNs para as fontes de dados subjacentes (como SQL Server, SAP HANA, SAP BW, Teradata ou Spark).This section assumes you have already configured SPNs for your underlying data sources (such as SQL Server, SAP HANA, SAP BW, Teradata, or Spark). Para saber como configurar esses SPNs do servidor de fonte de dados, consulte a documentação técnica do respectivo servidor de banco de dados e confira a seção Qual é o SPN do seu aplicativo? na postagem no blog Minha lista de verificação do Kerberos.To learn how to configure those data source server SPNs, refer to the technical documentation for the respective database server and see the section What SPN does your app require? in the My Kerberos Checklist blog post.

Nas etapas a seguir, suponhamos que haja um ambiente local com dois computadores no mesmo domínio: um computador do gateway e um servidor de banco de dados que executa o SQL Server já configurado para SSO baseado em Kerberos.In the following steps, we assume an on-premises environment with two machines in the same domain: a gateway machine and a database server running SQL Server that has already been configured for Kerberos-based SSO. As etapas podem ser adotadas para uma das demais fontes de dados compatíveis, desde que a fonte de dados já tenha sido configurada para logon único baseado em Kerberos.The steps can be adopted for one of the other supported data sources, so long as the data source has already been configured for Kerberos-based single sign-on. Neste exemplo, vamos usar as seguintes configurações:For this example, we'll use the following settings:

  • Domínio do Active Directory (Netbios): ContosoActive Directory Domain (Netbios): Contoso
  • Nome do computador de gateway: MyGatewayMachineGateway machine name: MyGatewayMachine
  • Conta de serviço do gateway: Contoso\GatewaySvcGateway service account: Contoso\GatewaySvc
  • Nome do computador da fonte de dados do SQL Server: TestSQLServerSQL Server data source machine name: TestSQLServer
  • Conta de serviço da fonte de dados do SQL Server: Contoso\SQLServiceSQL Server data source service account: Contoso\SQLService

Defina as configurações de delegação da seguinte maneira:Here's how to configure the delegation settings:

  1. Com direitos de administrador de domínio, abra o snap-in do MMC Usuários e Computadores do Active Directory.With domain administrator rights, open the Active Directory Users and Computers MMC snap-in.

  2. Clique com o botão direito do mouse na conta de serviço do gateway (Contoso\GatewaySvc) e escolha Propriedades.Right-click the gateway service account (Contoso\GatewaySvc), and select Properties.

  3. Selecione a guia Delegação.Select the Delegation tab.

  4. Selecione Confiar neste computador para delegação apenas a serviços especificados > Usar qualquer protocolo de autenticação.Select Trust this computer for delegation to specified services only > Use any authentication protocol.

  5. Em Serviços aos quais esta conta pode apresentar credenciais delegadas, selecione Adicionar.Under Services to which this account can present delegated credentials, select Add.

  6. Na nova caixa de diálogo, selecione Usuários ou Computadores.In the new dialog box, select Users or Computers.

  7. Insira a conta de serviço da fonte de dados e selecione OK.Enter the service account for the data source, and then select OK.

    Por exemplo, uma fonte de dados do SQL Server pode ter uma conta de serviço como Contoso\SQLService.For example, a SQL Server data source can have a service account like Contoso\SQLService. Um SPN apropriado para a fonte de dados já deve ter sido definido nessa conta.An appropriate SPN for the data source should have already been set on this account.

  8. Selecione o SPN que você criou para o servidor de banco de dados.Select the SPN that you created for the database server.

    Em nosso exemplo, o SPN começa com MSSQLSvc.In our example, the SPN begins with MSSQLSvc. Se você tiver adicionado o SPN NetBIOS e o FQDN para o serviço de banco de dados, selecione ambos.If you added both the FQDN and the NetBIOS SPN for your database service, select both. Talvez você veja somente um.You might see only one.

  9. Selecione OK.Select OK.

    Agora você deverá ver o SPN na lista de serviços para os quais a conta de serviço do gateway pode apresentar credenciais delegadas.You should now see the SPN in the list of services to which the gateway service account can present delegated credentials.

    Caixa de diálogo "Propriedades" do Conector de Gateway

  10. Para continuar o processo de configuração, vá para Conceder direitos de política local da conta de serviço do gateway no computador do gateway.To continue the setup process, proceed to Grant the gateway service account local policy rights on the gateway machine.

Configurar a conta de serviço do gateway para delegação restrita de Kerberos baseada em recursosConfigure the gateway service account for resource-based Kerberos constrained delegation

Observação

Conclua as etapas nesta seção se quiser habilitar a delegação restrita de Kerberos baseada em recursos.Complete the steps in this section if you want to enable resource-based Kerberos constrained delegation. Caso contrário, se quiser habilitar a delegação restrita de Kerberos padrão, conclua as etapas em Configurar a conta de serviço do gateway para a delegação restrita de Kerberos padrão.Otherwise, if you want to enable standard Kerberos constrained delegation, complete the steps in Configure the gateway service account for standard Kerberos constrained delegation.

Use a delegação restrita de Kerberos baseada em recursos para habilitar a conectividade de logon único no Windows Server 2012 e versões posteriores.You use resource-based Kerberos constrained delegation to enable single sign-on connectivity for Windows Server 2012 and later versions. Assim, você permite que os serviços de front-end e back-end estejam em domínios diferentes.This type of delegation permits front-end and back-end services to be in different domains. Para que isso funcione, o domínio de serviço de back-end precisa confiar no domínio do serviço de front-end.For it to work, the back-end service domain needs to trust the front-end service domain.

Nas etapas a seguir, suponhamos que haja um ambiente local com dois computadores em diferentes domínios: um gateway e um servidor de banco de dados que executa o SQL Server que já estava configurado para logon único baseado em Kerberos.In the following steps, we assume an on-premises environment with two machines in different domains: a gateway machine and a database server running SQL Server that has already been configured for Kerberos-based SSO. As etapas podem ser adotadas para uma das demais fontes de dados compatíveis, desde que a fonte de dados já tenha sido configurada para logon único baseado em Kerberos.These steps can be adopted for one of the other supported data sources, so long as the data source has already been configured for Kerberos-based single sign-on. Neste exemplo, vamos usar as seguintes configurações:For this example, we'll use the following settings:

  • Domínio de front-end do Active Directory (NetBIOS): ContosoFrontEndActive Directory frontend Domain (Netbios): ContosoFrontEnd
  • Domínio de back-end do Active Directory (NetBIOS): ContosoBackEndActive Directory backend Domain (Netbios): ContosoBackEnd
  • Nome do computador de gateway: MyGatewayMachineGateway machine name: MyGatewayMachine
  • Conta de serviço do gateway: ContosoFrontEnd\GatewaySvcGateway service account: ContosoFrontEnd\GatewaySvc
  • Nome do computador da fonte de dados do SQL Server: TestSQLServerSQL Server data source machine name: TestSQLServer
  • Conta de serviço da fonte de dados do SQL Server: ContosoBackEnd\SQLServiceSQL Server data source service account: ContosoBackEnd\SQLService

Conclua as seguintes etapas de configuração:Complete the following configuration steps:

  1. Use o snap-in do MMC Usuários e Computadores do Active Directory no controlador do domínio ContosoFrontEnd e verifique se não há configurações de delegação aplicadas à conta de serviço do gateway.Use the Active Directory Users and Computers MMC snap-in on the domain controller for the ContosoFrontEnd domain and verify no delegation settings are applied for the gateway service account.

    Propriedades do conector de gateway

  2. Use Usuários e Computadores do Active Directory no controlador do domínio ContosoBackEnd e verifique se não há configurações de delegação aplicadas à conta de serviço do back-end.Use Active Directory Users and Computers on the domain controller for the ContosoBackEnd domain and verify no delegation settings are applied for the back-end service account.

    Propriedades do serviço do SQL

  3. Na guia Editor de Atributos das propriedades da conta, verifique se o atributo msDS-AllowedToActOnBehalfOfOtherIdentity não está definido.In the Attribute Editor tab of the account properties, verify that the msDS-AllowedToActOnBehalfOfOtherIdentity attribute isn't set.

    Atributos do serviço SQL

  4. Em Usuários e Computadores do Active Directory, crie um grupo no controlador do domínio ContosoBackEnd.In Active Directory Users and Computers, create a group on the domain controller for the ContosoBackEnd domain. Adicione a conta de serviço do gateway GatewaySvc ao grupo ResourceDelGroup.Add the GatewaySvc gateway service account to the ResourceDelGroup group.

    Propriedades do grupo

  5. Abra um prompt de comando e execute os seguintes comandos no controlador do domínio ContosoBackEnd para atualizar o atributo msDS-AllowedToActOnBehalfOfOtherIdentity da conta de serviço do back-end:Open a command prompt and run the following commands in the domain controller for the ContosoBackEnd domain to update the msDS-AllowedToActOnBehalfOfOtherIdentity attribute of the back-end service account:

    $c = Get-ADGroup ResourceDelGroup
    Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c
    
  6. Em Usuários e Computadores do Active Directory, verifique se a atualização será refletida na guia Editor de Atributos nas propriedades da conta de serviço de back-end.In Active Directory Users and Computers, verify that the update is reflected in the Attribute Editor tab in the properties for the back-end service account.

Conceder direitos de política local da conta de serviço do gateway no computador do gatewayGrant the gateway service account local policy rights on the gateway machine

Por fim, no computador que executa o serviço do gateway (MyGatewayMachine em nosso exemplo), conceda à conta de serviço do gateway as políticas locais Representar um cliente após autenticação e Atuar como parte do sistema operacional (SeTcbPrivilege).Finally, on the machine running the gateway service (MyGatewayMachine in our example), grant the gateway service account the local policies Impersonate a client after authentication and Act as part of the operating system (SeTcbPrivilege). Execute essa configuração com o Editor de Política de Grupo Local (gpedit.msc).Perform this configuration with the Local Group Policy Editor (gpedit.msc).

  1. No computador do gateway, execute: gpedit.msc.On the gateway machine, run gpedit.msc.

  2. Vá até Política de Computador Local > Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Atribuição de Direitos de Usuário.Go to Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.

    Estrutura de pastas da Política do Computador Local

  3. Em Atribuição de Direitos de Usuário, na lista de políticas, selecione Representar um cliente após a autenticação.Under User Rights Assignment, from the list of policies, select Impersonate a client after authentication.

    Representar uma política de cliente

  4. Clique com o botão direito do mouse na política, abra Propriedades e exiba a lista de contas.Right-click the policy, open Properties, and then view the list of accounts.

    A lista precisa incluir a conta de serviço do gateway (Contoso\GatewaySvc ou ContosoFrontEnd\GatewaySvc, dependendo do tipo de delegação restrita).The list must include the gateway service account (Contoso\GatewaySvc or ContosoFrontEnd\GatewaySvc depending on the type of constrained delegation).

  5. Em Atribuição de Direitos de Usuário, selecione Atuar como parte do sistema operacional (SeTcbPrivilege) na lista de políticas.Under User Rights Assignment, select Act as part of the operating system (SeTcbPrivilege) from the list of policies. Verifique se a conta de serviço do gateway está incluída na lista de contas.Ensure that the gateway service account is included in the list of accounts.

  6. Reinicie o processo do serviço do gateway de dados local.Restart the On-premises data gateway service process.

Definir parâmetros de configuração do mapeamento de usuário no computador do gateway (se necessário)Set user-mapping configuration parameters on the gateway machine (if necessary)

Se você não tem o Microsoft Azure Active Directory Connect configurado, siga estas etapas para mapear um usuário do serviço do Power BI para um usuário local do Active Directory.If you don't have Azure AD Connect configured, follow these steps to map a Power BI service user to a local Active Directory user. Cada usuário do Active Directory mapeado dessa maneira precisa ter permissões de logon único para sua fonte de dados.Each Active Directory user mapped in this way needs to have SSO permissions for your data source. Para saber mais, confira o vídeo do Guy in a Cube.For more information, see Guy in a Cube video.

  1. Abra o arquivo de configuração de gateway principal, Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.Open the main gateway configuration file, Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll. Por padrão, esse arquivo é armazenado em C:\Arquivos de Programas\On-premises data gateway.By default, this file is stored at C:\Program Files\On-premises data gateway.

  2. Defina ADUserNameLookupProperty como um atributo do Active Directory não utilizado.Set ADUserNameLookupProperty to an unused Active Directory attribute. Use o msDS-cloudExtensionAttribute1 nas etapas a seguir.We'll use msDS-cloudExtensionAttribute1 in the steps that follow. Esse atributo só está disponível no Windows Server 2012 e versões posteriores.This attribute is available only in Windows Server 2012 and later.

  3. Defina ADUserNameReplacementProperty como SAMAccountName e, em seguida, salve o arquivo de configuração.Set ADUserNameReplacementProperty to SAMAccountName and then save the configuration file.

  4. Na guia Serviços do Gerenciador de Tarefas, clique com o botão direito do mouse no serviço do gateway e selecione Reiniciar.From the Services tab of Task Manager, right-click the gateway service and select Restart.

    Captura de tela da guia Serviços do Gerenciador de Tarefas

  5. Para cada usuário do serviço do Power BI em que você deseja habilitar o SSO de Kerberos, defina a propriedade msDS-cloudExtensionAttribute1 de um usuário local do Active Directory (com permissão de SSO na fonte de dados) como o nome de usuário completo (UPN) do usuário do serviço do Power BI.For each Power BI service user you want to enable Kerberos SSO for, set the msDS-cloudExtensionAttribute1 property of a local Active Directory user (with SSO permission to your data source) to the full username (UPN) of the Power BI service user. Por exemplo, se você entrar no serviço do Power BI como test@contoso.com e deseja mapear esse usuário para um usuário local do Active Directory com permissões de SSO, como test@LOCALDOMAIN.COM, defina o atributo msDS-cloudExtensionAttribute1 desse usuário como test@contoso.com.For example, if you sign in to Power BI service as test@contoso.com and you want to map this user to a local Active Directory user with SSO permissions, say, test@LOCALDOMAIN.COM, set this user's msDS-cloudExtensionAttribute1 attribute to test@contoso.com.

    Defina a propriedade msDS-cloudExtensionAttribute1 com o snap-in do MMC "Usuários e Computadores do Active Directory":You can set the msDS-cloudExtensionAttribute1 property with the Active Directory Users and Computers MMC snap-in:

    1. Como administrador de domínio, inicialize Usuários e Computadores do Active Directory.As a domain administrator, launch Active Directory Users and Computers.

    2. Clique com o botão direito do mouse no nome de domínio, selecione Localizar e digite o nome da conta do usuário local do Active Directory que você deseja mapear.Right-click the domain name, select Find, and then enter the account name of the local Active Directory user to map.

    3. Selecione a guia Editor de Atributo.Select the Attribute Editor tab.

      Localize a propriedade msDS-cloudExtensionAttribute1 e clique duas vezes nela.Locate the msDS-cloudExtensionAttribute1 property, and double-click it. Defina o valor como o nome de usuário completo (UPN) do usuário que você usou para entrar no serviço do Power BI.Set the value to the full username (UPN) of the user you use to sign in to the Power BI service.

    4. Selecione OK.Select OK.

      Janela do Editor de Atributo de Cadeia de Caracteres

    5. Escolha Aplicar.Select Apply. Verifique se o valor correto foi definido na coluna Valor.Verify that the correct value has been set in the Value column.

Concluir as etapas de configuração específicas da fonte de dadosComplete data source-specific configuration steps

O SAP HANA e o SAP BW têm requisitos e pré-requisitos de configuração adicionais específicos para cada fonte de dados e eles precisam ser atendidos antes de ser possível estabelecer uma conexão de SSO por meio do gateway com essas fontes de dados.SAP HANA and SAP BW have additional data-source specific configuration requirements and prerequisites that you need to meet before you can establish an SSO connection through the gateway to these data sources. Para saber mais, confira Configuração do SAP HANA e a página de configurações do SAP BW – CommonCryptoLib (sapcrypto.dll).For more information, see SAP HANA configuration and the SAP BW - CommonCryptoLib (sapcrypto.dll) configuration page. Embora seja possível configurar o SAP BW para uso com a biblioteca SNC gx64krb5, essa biblioteca não é recomendada porque já não é mais compatível com o SAP.Although it's possible to configure SAP BW for use with the gx64krb5 SNC library, this library isn't recommended because it's no longer supported by SAP. Você deve usar CommonCryptoLib ou gx64krb5 como sua biblioteca SNC.You should use CommonCryptoLib or gx64krb5 as your SNC library. Não conclua as etapas de configuração para as duas bibliotecas.Don't complete the configuration steps for both libraries.

Observação

Embora outras bibliotecas SNC também possam funcionar no SSO do BW, mas não têm mais suporte oficial da Microsoft.Although other SNC libraries might also work for BW SSO, they aren't officially supported by Microsoft.

Executar um relatório do Power BIRun a Power BI report

Depois de concluir todas as etapas de configuração, use a página Gerenciar Gateway no Power BI para configurar a fonte de dados que será usada para SSO.After you complete all the configuration steps, use the Manage Gateway page in Power BI to configure the data source to use for SSO. Se há vários gateways, escolha o gateway configurado para o SSO do Kerberos.If you have multiple gateways, ensure that you select the gateway you've configured for Kerberos SSO. Em seguida, em Configurações avançadas para a fonte de dados, confira se a opção Usar SSO via Kerberos para consultas do DirectQuery ou Usar SSO via Kerberos para consultas do DirectQuery e de Importação está marcada para relatórios baseados em DirectQuery e se Usar SSO via Kerberos para consultas do DirectQuery e de Importação está marcada para relatórios baseados em Importação.Then, under Advanced Settings for the data source, ensure Use SSO via Kerberos for DirectQuery queries or Use SSO via Kerberos for DirectQuery And Import queries is checked for DirectQuery based Reports and Use SSO via Kerberos for DirectQuery And Import queries is checked for Import based Reports.

Opções Configurações avançadas

As configurações Usar SSO via Kerberos para consultas do DirectQuery e Usar SSO via Kerberos para consultas do DirectQuery e de Importação fornecem um comportamento diferente para relatórios baseados em DirectQuery e relatórios baseados em Importação.The settings Use SSO via Kerberos for DirectQuery queries and Use SSO via Kerberos for DirectQuery And Import queries give a different behaviour for DirectQuery based reports and Import based reports.

Usar SSO via Kerberos para consultas do DirectQuery:Use SSO via Kerberos for DirectQuery queries:

  • Para o relatório baseado em DirectQuery, as credenciais de SSO do usuário são usadas.For DirectQuery based report, SSO credentials of the user are used.
  • Para o relatório baseado em Importação, as credenciais de SSO não são usadas, mas as credenciais inseridas na página de fonte de dados são utilizadas.For Import based report, SSO credentials are not used, but the credentials entered in data source page are used.

Usar SSO via Kerberos para consultas do DirectQuery e de Importação:Use SSO via Kerberos for DirectQuery And Import queries:

  • Para o relatório baseado em DirectQuery, as credenciais de SSO do usuário são usadas.Fore DirecyQuery based report, SSO credentials of the user are used.
  • Para o relatório baseado em Importação, as credenciais de SSO do proprietário do conjunto de dados serão usadas, independentemente do usuário que está disparando a Importação.For Import based report, the SSO credentials of the dataset owner are used, regardless of the user triggering the Import.

Ao publicar, escolha o gateway configurado para SSO caso haja vários gateways.When you publish, select the gateway you've configured for SSO if you have multiple gateways.

Essa configuração funciona na maioria dos casos.This configuration works in most cases. No entanto, dependendo do ambiente, pode haver configurações diferentes com o Kerberos.However, with Kerberos there can be different configurations depending on your environment. Se o relatório ainda não for carregado, fale com o administrador de domínio para investigar o caso.If the report won't load, contact your domain administrator to investigate further. Se a fonte de dados for o SAP BW, veja as seções de solução de problemas das páginas de configuração específicas da fonte de dados para CommonCryptoLib e gx64krb5/gsskrb5, dependendo da biblioteca do SNC escolhida.If your data source is SAP BW, refer to the troubleshooting sections of the data source-specific configuration pages for CommonCryptoLib and gx64krb5/gsskrb5, depending on which SNC library you've chosen.

Próximas etapasNext steps

Para saber mais sobre o gateway de dados local e o DirectQuery, confira estes recursos:For more information about the on-premises data gateway and DirectQuery, see the following resources: