Configurar o SSO baseado em Kerberos do serviço do Power BI para fontes de dados locaisConfigure Kerberos-based SSO from Power BI service to on-premises data sources

Use a delegação restrita de Kerberos para habilitar a conectividade ininterrupta de SSO.Use Kerberos constrained delegation to enable seamless SSO connectivity. A habilitação do SSO facilita a atualização de dados de fontes locais em relatórios e dashboards do Power BI, respeitando as permissões no nível de usuário configuradas nessas fontes.Enabling SSO makes it easy for Power BI reports and dashboards to refresh data from on-premises sources while respecting user-level permissions configured on those sources.

Vários itens devem ser configurados para que a delegação restrita de Kerberos funcione corretamente, incluindo os SPNs (nomes das entidades de serviço) e as configurações de delegação nas contas de serviço.Several items must be configured for Kerberos constrained delegation to work properly, including Service Principal Names (SPN) and delegation settings on service accounts.

Pré-requisito 1: Instalar e configurar o gateway de dados local da MicrosoftPrerequisite 1: Install and configure the Microsoft on-premises data gateway

O gateway de dados local é compatível com atualização in-loco e com o controle das configurações de gateway existentes.The on-premises data gateway supports an in-place upgrade, and settings takeover of existing gateways.

Pré-requisito 2: executar o serviço Windows do gateway como uma conta de domínioPrerequisite 2: Run the gateway Windows service as a domain account

Em uma instalação padrão, o gateway é executado como uma conta de serviço do computador local (especificamente, NT Service\PBIEgwService), conforme mostrado na imagem a seguir:In a standard installation, the gateway runs as a machine-local service account (specifically, NT Service\PBIEgwService), as shown in the following image:

Captura de tela da conta de serviço

Para habilitar a delegação restrita de Kerberos, o gateway precisa ser executado como uma conta de domínio, a menos que a instância do Azure AD (Azure Active Directory) já esteja sincronizada com a instância do Active Directory local (usando o Azure AD DirSync/Connect).To enable Kerberos constrained delegation, the gateway must run as a domain account, unless your Azure Active Directory (Azure AD) instance is already synchronized with your local Active Directory instance (using Azure AD DirSync/Connect). Para alternar para uma conta de domínio, confira Mudar a conta de serviço de gateway.To switch to a domain account, see change the gateway service account.

Observação

Se o Microsoft Azure Active Directory Connect está configurado e as contas de usuário estão sincronizadas, o serviço do gateway não precisa executar pesquisas no Microsoft Azure Active Directory local no tempo de execução.If Azure AD Connect is configured and user accounts are synchronized, the gateway service doesn't need to perform local Azure AD lookups at runtime. Ao invés disso, basta usar o SID do serviço local para que o serviço de gateway conclua toda a configuração necessária no Microsoft Azure Active Directory.Rather, you can simply use the local service SID for the gateway service to complete all required configuration in Azure Active Directory. As etapas de configuração da delegação restrita de Kerberos descritas neste artigo são as mesmas que as etapas de configuração exigidas no contexto do Microsoft Azure Active Directory.The Kerberos constrained delegation configuration steps outlined in this article are the same as the configuration steps required in the Azure Active Directory context. Elas são simplesmente aplicadas ao objeto de computador do gateway (conforme identificado pelo SID do serviço local) no Microsoft Azure AD em vez da conta de domínio.They are simply applied to the gateway's computer object (as identified by the local service SID) in Azure AD instead of the domain account.

Pré-requisito 3: ter direitos de administrador de domínio para configurar definições de SPNs (SetSPN) e da delegação restrita de KerberosPrerequisite 3: Have domain admin rights to configure SPNs (SetSPN) and Kerberos constrained delegation settings

Não é recomendado que um administrador de domínio conceda temporária ou permanentemente direitos para outra pessoa configurar os SPNs e a delegação de Kerberos sem exigir que a pessoa tenha direitos de administrador de domínio.We don't recommended that a domain administrator temporarily or permanently grant rights to someone else to configure SPNs and Kerberos delegation settings without requiring that person to have domain admin rights. Na seção a seguir, abordaremos as etapas de configuração recomendadas mais detalhadamente.In the following section, we cover the recommended configuration steps in more detail.

Configurar a delegação restrita de Kerberos para o gateway e a fonte de dadosConfigure Kerberos constrained delegation for the gateway and data source

Como administrador de domínio, configure um SPN para a conta de domínio do serviço do gateway (se exigido) e defina as configurações de delegação na conta de domínio do serviço do gateway.As a domain administrator, configure an SPN for the gateway service domain account (if required), and configure delegation settings on the gateway service domain account.

Configurar um SPN para a conta de serviço do gatewayConfigure an SPN for the gateway service account

Primeiro, determine se um SPN já foi criado para a conta de domínio usada como a conta de serviço do gateway:First, determine whether an SPN was already created for the domain account used as the gateway service account:

  1. Como administrador de domínio, inicialize Usuários e Computadores do Active Directory.As a domain administrator, launch Active Directory Users and Computers.

  2. Clique com o botão direito do mouse no domínio, selecione Localizar e insira o nome da conta de serviço do gateway.Right-click on the domain, select Find, and enter the account name of the gateway service account.

  3. No resultado da pesquisa, clique com o botão direito do mouse na conta de serviço do gateway e selecione Propriedades.In the search result, right-click on the gateway service account and select Properties.

  4. Se a guia Delegação está visível na caixa de diálogo Propriedades, isso indica que já foi criado um SPN e é possível pular para Decidir entre a delegação restrita de Kerberos padrão ou baseada em recursos.If the Delegation tab is visible on the Properties dialog, then an SPN was already created and you can skip to Decide on resource-based or standard Kerberos constrained delegation.

    Se não há uma guia Delegação na caixa de diálogo Propriedades, crie manualmente um SPN na conta para habilitá-la.If there is no Delegation tab on the Properties dialog box, you can manually create an SPN on the account to enable it. Use a ferramenta setspn fornecida com o Windows (é necessário ter direitos de administrador de domínio para criar o SPN).Use the setspn tool that comes with Windows (you need domain admin rights to create the SPN).

    Por exemplo, imagine que a conta de serviço do gateway seja Contoso\GatewaySvc e o nome do computador com o serviço do gateway em execução seja MyGatewayMachine.For example, imagine the gateway service account is Contoso\GatewaySvc, and the name of the machine the gateway service is running on is MyGatewayMachine. Para definir o SPN para a conta de serviço do gateway, é preciso executar o seguinte comando:To set the SPN for the gateway service account you would run the following command:

    Imagem do comando de definição do SPN

    Você também pode definir o SPN usando o snap-in Usuários e Computadores do Active Directory do MMC (Console de Gerenciamento Microsoft).You can also set the SPN using the Active Directory Users and Computers MMC (Microsoft Management Console) snap-in.

Decidir entre a delegação restrita de Kerberos padrão ou baseada em recursosDecide on resource-based or standard Kerberos constrained delegation

As definições de delegação podem ser configuradas tanto para delegação restrita de Kerberos baseada em recursos, quanto para a delegação restrita de Kerberos padrão.Delegation settings can be configured for either resource-based constrained Kerberos delegation or standard Kerberos constrained delegation. Use a delegação baseada em recursos se sua fonte de dados pertence a um domínio diferente daquele do gateway, mas observe que essa abordagem exige o Windows Server 2012 ou posterior.Use resource-based delegation if your data source belongs to a different domain than your gateway, but note that this approach requires Windows Server 2012 or later. Confira a página de visão geral sobre a delegação restrita de Kerberos para saber mais sobre as diferenças entre as duas abordagens à delegação.See the constrained Kerberos delegation overview page for more information on the differences between the two approaches to delegation.

Depois de decidir qual abordagem você deseja usar, vá para __ a seção Configurar a conta de serviço do gateway para a delegação restrita de Kerberos padrão ou Configurar a conta de serviço do gateway para a delegação restrita de Kerberos baseada em recursos .Once you have decided which approach you want to use, proceed to either the Configure the gateway service account for standard Kerberos constrained delegation or Configure the gateway service account for resource-based Kerberos constrained delegation section. Não preencha as duas subseções.Do not complete both subsections.

Configurar a conta de serviço do gateway para delegação restrita de Kerberos padrãoConfigure the gateway service account for standard Kerberos constrained delegation

Observação

Conclua as etapas nesta seção se quiser habilitar a delegação restrita de Kerberos padrão.Complete the steps in this section if you want to enable standard Kerberos constrained delegation. Se quiser habilitar a delegação restrita de Kerberos baseada em recursos, execute as etapas na subseção Configurar a conta de serviço do gateway para a delegação restrita de Kerberos baseada em recursos.If you want to enable resource-based Kerberos constrained delegation complete the steps in the Configure the gateway service account for resource-based Kerberos constrained delegation subsection.

Agora defina as configurações de delegação para a conta de serviço do gateway.We will now set the delegation settings for the gateway service account. Há diversas ferramentas que podem ser usadas para realizar essas etapas.There are multiple tools you can use to perform these steps. Aqui, usaremos Usuários e Computadores do Active Directory, que é um snap-in do MMC (Console de Gerenciamento Microsoft) para administrar e publicar informações no diretório.Here, we'll use Active Directory Users and Computers, which is a Microsoft Management Console (MMC) snap-in to administer and publish information in the directory. Ele está disponível nos controladores de domínio padrão, mas também pode ser habilitado pela configuração do Recurso do Windows em outros computadores.It's available on domain controllers by default, but you can also enable it through Windows Feature configuration on other machines.

Precisamos configurar a delegação restrita de Kerberos com o trânsito de protocolos.We need to configure Kerberos constrained delegation with protocol transiting. Com a delegação restrita, é preciso ser explícito sobre para quais serviços você deseja permitir que o gateway apresente credenciais delegadas.With constrained delegation, you must be explicit about which services you want to allow the gateway to present delegated credentials to. Por exemplo, somente o SQL Server ou o servidor SAP HANA aceita chamadas de delegação da conta de serviço do gateway.For example, only SQL Server or your SAP HANA server accepts delegation calls from the gateway service account.

Esta seção pressupõe que você já tenha configurado SPNs para as fontes de dados subjacentes (como SQL Server, SAP HANA, SAP BW, Teradata ou Spark).This section assumes you have already configured SPNs for your underlying data sources (such as SQL Server, SAP HANA, SAP BW, Teradata, or Spark). Para saber como configurar os SPNs do servidor de fonte de dados, confira a documentação técnica do respectivo servidor de banco de dados.To learn how to configure those data source server SPNs, refer to technical documentation for the respective database server. Você também pode ver o título Que SPN seu aplicativo exige? na postagem no blog Minha Lista de Verificação do Kerberos.You can also see the heading What SPN does your app require? in the My Kerberos Checklist blog post.

Nas etapas a seguir, suponhamos que haja um ambiente local com dois computadores no mesmo domínio: um computador do gateway e um servidor de banco de dados que executa o SQL Server já configurado para SSO baseado em Kerberos.In the following steps, we assume an on-premises environment with two machines in the same domain: a gateway machine and a database server running SQL Server that has already been configured for Kerberos-based SSO. As etapas podem ser adotadas para uma das demais fontes de dados compatíveis, desde que a fonte de dados já tenha sido configurada para logon único baseado em Kerberos.The steps can be adopted for one of the other supported data sources, so long as the data source has already been configured for Kerberos-based single sign-on. Para este exemplo, vamos também supor as configurações e os nomes a seguir:For the sake of this example, we'll also assume the following settings and names:

  • Domínio do Active Directory (Netbios): ContosoActive Directory Domain (Netbios): Contoso
  • Nome do computador do gateway: MyGatewayMachineGateway machine name: MyGatewayMachine
  • Conta de serviço do gateway: Contoso\GatewaySvcGateway service account: Contoso\GatewaySvc
  • Nome do computador da fonte de dados do SQL Server: TestSQLServerSQL Server data source machine name: TestSQLServer
  • Conta de serviço da fonte de dados do SQL Server: Contoso\SQLServiceSQL Server data source service account: Contoso\SQLService

Defina as configurações de delegação da seguinte maneira:Here's how to configure the delegation settings:

  1. Com direitos de administrador de domínio, abra Usuários e Computadores do Active Directory.With domain administrator rights, open Active Directory Users and Computers.

  2. Clique com o botão direito do mouse na conta de serviço do gateway (Contoso\GatewaySvc) e escolha Propriedades.Right-click the gateway service account (Contoso\GatewaySvc), and select Properties.

  3. Selecione a guia Delegação.Select the Delegation tab.

  4. Selecione Confiar neste computador para delegação apenas a serviços especificados > Usar qualquer protocolo de autenticação.Select Trust this computer for delegation to specified services only > Use any authentication protocol.

  5. Em Serviços aos quais esta conta pode apresentar credenciais delegadas, selecione Adicionar.Under Services to which this account can present delegated credentials, select Add.

  6. Na nova caixa de diálogo, selecione Usuários ou Computadores.In the new dialog box, select Users or Computers.

  7. Insira a conta de serviço para a fonte de dados, por exemplo, uma fonte de dados SQL Server pode ter uma conta de serviço como Contoso\SQLService.Enter the service account for the data source, for example, a SQL Server data source may have a service account like Contoso\SQLService. Um SPN apropriado para a fonte de dados já deve ter sido definido nessa conta.An appropriate SPN for the data source should have already been set on this account. Depois que a conta tiver sido adicionada, selecione OK.Once the account has been added, select OK.

  8. Selecione o SPN que você criou para o servidor de banco de dados.Select the SPN that you created for the database server. Em nosso exemplo, o SPN começa com MSSQLSvc.In our example, the SPN begins with MSSQLSvc. Se você tiver adicionado o SPN NetBIOS e o FQDN para o serviço de banco de dados, selecione ambos.If you added both the FQDN and the NetBIOS SPN for your database service, select both. Talvez você veja apenas um.You might only see one.

  9. Selecione OK.Select OK. Agora você deverá ver o SPN na lista de serviços para os quais a conta de serviço do gateway pode apresentar credenciais delegadas.You should now see the SPN in the list of services to which the gateway service account can present delegated credentials.

    Captura de tela da caixa de diálogo Propriedades do Conector de Gateway

Agora, pule para Conceder direitos de política local da conta de serviço do gateway no computador do gateway para continuar o processo de instalação.Now, skip to Grant the gateway service account local policy rights on the gateway machine to continue the setup process.

Configurar a conta de serviço do gateway para delegação restrita de Kerberos baseada em recursosConfigure the gateway service account for resource-based Kerberos constrained delegation

Observação

Conclua as etapas nesta seção se quiser habilitar a delegação restrita de Kerberos baseada em recursos.Complete the steps in this section if you want to enable resource-based Kerberos constrained delegation. Se quiser habilitar a delegação restrita de Kerberos padrão, execute as etapas na subseção Configurar a conta de serviço do gateway para a delegação restrita de Kerberos padrão.If you want to enable standard Kerberos constrained delegation complete the steps in the Configure the gateway service account for standard Kerberos constrained delegation subsection.

Use a delegação restrita de Kerberos baseada em recursos para habilitar a conectividade de logon único no Windows Server 2012 e versões posteriores, permitindo que os serviços de front-end e back-end estejam em domínios diferentes.Use resource-based Kerberos constrained delegation to enable single sign-on connectivity for Windows Server 2012 and later versions, permitting front-end and back-end services to be in different domains. Para que isso funcione, o domínio de serviço de back-end precisa confiar no domínio do serviço de front-end.For this to work, the back-end service domain needs to trust the front-end service domain.

Nas etapas a seguir, suponhamos que haja um ambiente local com dois computadores em diferentes domínios: um gateway e um servidor de banco de dados que executa o SQL Server que já estava configurado para logon único baseado em Kerberos.In the following steps, we assume an on-premises environment with two machines in different domains: a gateway machine and a database server running SQL Server that has already been configured for Kerberos-based SSO. As etapas podem ser adotadas para uma das demais fontes de dados compatíveis, desde que a fonte de dados já tenha sido configurada para logon único baseado em Kerberos.The steps can be adopted for one of the other supported data sources, so long as the data source has already been configured for Kerberos-based single sign-on. Para este exemplo, vamos também supor as configurações e os nomes a seguir:For the sake of this example, we also assume the following settings and names:

  • Domínio de front-end do Active Directory (NetBIOS): ContosoFrontEndActive Directory frontend Domain (Netbios): ContosoFrontEnd
  • Domínio de back-end do Active Directory (NetBIOS): ContosoBackEndActive Directory backend Domain (Netbios): ContosoBackEnd
  • Nome do computador do gateway: MyGatewayMachineGateway machine name: MyGatewayMachine
  • Conta de serviço do gateway: ContosoFrontEnd\GatewaySvcGateway service account: ContosoFrontEnd\GatewaySvc
  • Nome do computador da fonte de dados do SQL Server: TestSQLServerSQL Server data source machine name: TestSQLServer
  • Conta de serviço da fonte de dados do SQL Server: ContosoBackEnd\SQLServiceSQL Server data source service account: ContosoBackEnd\SQLService

Considerando os nomes e as configurações do exemplo, conclua as seguintes etapas de configuração:Given those example names and settings, complete the following configuration steps:

  1. No controlador de domínio para o domínio ContosoFrontEnd, verifique se não há configurações de delegação aplicadas à conta de serviço do gateway usando o snap-in Usuários e Computadores do Active Directory do MMC (Console de Gerenciamento Microsoft).On the domain controller for ContosoFrontEnd domain, make sure no delegation settings are applied for the gateway service account using Active Directory Users and Computers, a Microsoft Management Console (MMC) snap-in.

    Propriedades do conector de gateway

  2. Usando o Usuários e Computadores do Active Directory no controlador de domínio para o domínio ContosoBackEnd, verifique se não há configurações de delegação aplicadas à conta de serviço do back-end.Using Active Directory Users and Computers on the domain controller for the ContosoBackEnd domain, make sure no delegation settings are applied for the back-end service account.

    Propriedades do serviço do SQL

  3. Além disso, verifique se o atributo msDS-AllowedToActOnBehalfOfOtherIdentity dessa conta também não está definido.In addition, make sure that the msDS-AllowedToActOnBehalfOfOtherIdentity attribute for this account is also not set. Você pode encontrar esse atributo no Editor de Atributos, conforme mostrado na imagem a seguir:You can find this attribute in the Attribute Editor, as shown in the following image:

    Atributos do serviço SQL

  4. Crie um grupo em Usuários e Computadores do Active Directory no controlador de domínio para o domínio ContosoBackEnd.Create a group in Active Directory Users and Computers, on the domain controller for ContosoBackEnd domain. Adicione a conta de serviço do gateway a esse grupo, como mostrado na imagem a seguir.Add the gateway service account to this group as shown in the following image. A imagem mostra um novo grupo chamado ResourceDelGroup e a conta de serviço do gateway, GatewaySvc, adicionados a esse grupo.The image shows a new group called ResourceDelGroup and the gateway service account, GatewaySvc, added to this group.

    Propriedades do grupo

  5. Abra um prompt de comando e execute os seguintes comandos no controlador de domínio para o domínio ContosoBackEnd com a finalidade de atualizar o atributo msDS-AllowedToActOnBehalfOfOtherIdentity da conta de serviço do back-end:Open a command prompt and run the following commands in the domain controller for ContosoBackEnd domain to update the msDS-AllowedToActOnBehalfOfOtherIdentity attribute of the back-end service account:

    $c = Get-ADGroup ResourceDelGroup
    Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c
    
  6. Você pode verificar que a atualização será refletida na guia "Editor de atributo", nas propriedades da conta de serviço de back-end em Usuários e computadores do Active Directory.You can verify that the update is reflected in the "Attribute Editor" tab in the properties for the back-end service account in Active Directory Users and Computers. O msDS-AllowedToActOnBehalfOfOtherIdentity deve ser definido agora.The msDS-AllowedToActOnBehalfOfOtherIdentity should now be set.

Conceder direitos de política local da conta de serviço do gateway no computador do gatewayGrant the gateway service account local policy rights on the gateway machine

Por fim, no computador que executa o serviço do gateway (MyGatewayMachine em nosso exemplo), é necessário conceder à conta de serviço do gateway a política local Representar um cliente após autenticação e Atuar como parte do sistema operacional (SeTcbPrivilege) .Finally, on the machine running the gateway service (MyGatewayMachine in our example), you must grant the gateway service account the local policy Impersonate a client after authentication and Act as part of the operating system (SeTcbPrivilege). Execute e verifique essa configuração com o Editor de Política de Grupo Local (gpedit).You can perform and verify this configuration with the Local Group Policy Editor (gpedit).

  1. No computador do gateway, execute: gpedit.msc.On the gateway machine, run: gpedit.msc.

  2. Acesse a Política de Computador Local > Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Atribuição de Direitos de Usuário.Go to Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.

    Captura de tela da estrutura de pastas da Política do Computador Local

  3. Em Atribuição de Direitos de Usuário, na lista de políticas, selecione Representar um cliente após a autenticação.Under User Rights Assignment, from the list of policies, select Impersonate a client after authentication.

    Captura de tela de Representar uma política de cliente

    Clique com o botão direito do mouse e abra Propriedades.Right-click, and open Properties. Verifique a lista de contas.Check the list of accounts. Ela precisa incluir a conta de serviço do gateway (Contoso\GatewaySvc ou ContosoFrontEnd\GatewaySvc, dependendo do tipo de delegação restrita).It must include the gateway service account (Contoso\GatewaySvc or ContosoFrontEnd\GatewaySvc depending on the type of constrained delegation).

  4. Em Atribuição de Direitos de Usuário, na lista de políticas, selecione Atuar como parte do sistema operacional (SeTcbPrivilege) .Under User Rights Assignment, from the list of policies, select Act as part of the operating system (SeTcbPrivilege). Verifique se a conta de serviço do gateway também está incluída na lista de contas.Ensure that the gateway service account is included in the list of accounts as well.

  5. Reinicie o processo do serviço do gateway de dados local.Restart the On-premises data gateway service process.

Definir parâmetros de configuração do mapeamento de usuário no computador do gateway, se necessárioSet user mapping configuration parameters on the gateway machine if required

Se você não tem o Microsoft Azure Active Directory Connect configurado, siga estas etapas para mapear um usuário do serviço do Power BI para um usuário local do Active Directory.If you don't have Azure AD Connect configured, follow these steps to map a Power BI service user to a local Active Directory user. Cada usuário do Active Directory mapeado dessa maneira precisa ter permissões de logon único para sua fonte de dados.Each Active Directory user mapped in this way needs to have SSO permissions for your data source. Para saber mais, confira este vídeo do Guy in a Cube.For more information, refer to this Guy in a Cube video.

  1. Abra o arquivo de configuração do gateway principal, Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.Open the main gateway configuration file, Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll. Por padrão, esse arquivo é armazenado em C:\Arquivos de Programas\On-premises data gateway.By default, this file is stored at C:\Program Files\On-premises data gateway.

  2. Defina ADUserNameLookupProperty como um atributo do Active Directory não utilizado.Set the ADUserNameLookupProperty to an unused Active Directory attribute. Suponhamos que msDS-cloudExtensionAttribute1 seja usado nas etapas a seguir, embora esse atributo esteja disponível apenas no Windows Server 2012 e posterior.We'll assume msDS-cloudExtensionAttribute1 is used in the steps that follow, though this attribute is only available in Windows Server 2012 and later. Defina ADUserNameReplacementProperty como SAMAccountName.Set the ADUserNameReplacementProperty to SAMAccountName. Salve o arquivo de configuração.Save the configuration file.

  3. Na guia Serviços do Gerenciador de Tarefas, clique com o botão direito do mouse no serviço do gateway e selecione Reiniciar.From the Services tab of Task Manager, right-click the gateway service and select Restart.

    Captura de tela da guia Serviços do Gerenciador de Tarefas

  4. Para cada usuário do serviço do Power BI para o qual você deseja habilitar o SSO de Kerberos, defina a propriedade msDS-cloudExtensionAttribute1 de um usuário local do Active Directory (com permissão de SSO na fonte de dados) como o nome de usuário completo (ou seja, UPN) do usuário do serviço do Power BI.For each Power BI service user you want to enable Kerberos SSO for, set the msDS-cloudExtensionAttribute1 property of a local Active Directory user (with SSO permission to your data source) to the full username (i.e. UPN) of the Power BI service user. Por exemplo, se você efetua login no serviço do Power BI como test@contoso.com e deseja mapear esse usuário para um usuário local do Active Directory com permissões de SSO, como test@LOCALDOMAIN.COM, defina o atributo msDS-cloudExtensionAttribute1 de test@LOCALDOMAIN.COM como test@contoso.com.For example, if you log in to Power BI service as test@contoso.com and you want to map this user to a local Active Directory user with SSO permissions, say, test@LOCALDOMAIN.COM, set test@LOCALDOMAIN.COM's msDS-cloudExtensionAttribute1 attribute to test@contoso.com.

    Defina a propriedade msDS-cloudExtensionAttribute1 usando o snap-in Usuários e Computadores do Active Directory do MMC (Console de Gerenciamento Microsoft):You can set the msDS-cloudExtensionAttribute1 property using the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in:

    1. Como administrador de domínio, inicie Usuários e Computadores do Active Directory.As a domain administrator, launch Active Directory Users and Computers.

    2. Clique com o botão direito do mouse no domínio, selecione Localizar e digite o nome da conta do usuário local do Active Directory para o qual você deseja mapear.Right-click on the domain, select Find, and type in the account name of the local Active Directory user you want to map to.

    3. Selecione a guia Editor de Atributo.Select the Attribute Editor tab.

      Localize a propriedade msDS-cloudExtensionAttribute1 e clique duas vezes nela.Locate the msDS-cloudExtensionAttribute1 property, and double-click it. Defina o valor como o nome de usuário completo (ou seja, UPN) do usuário que você usou para entrar no serviço do Power BI.Set the value to the full username (i.e. UPN) of the user you use to sign in to the Power BI service.

    4. Selecione OK.Select OK.

      Captura de tela da caixa de diálogo Editor de Atributos de Cadeia de Caracteres

    5. Selecione Aplicar.Select Apply. Verifique se o valor correto foi definido na coluna Valor.Verify that the correct value has been set in the Value column.

Concluir as etapas de configuração específicas da fonte de dadosComplete data source-specific configuration steps

O SAP HANA e o SAP BW têm requisitos e pré-requisitos de configuração adicionais específicos para cada fonte de dados, e estes precisam ser atendidos antes de ser possível estabelecer uma conexão de logon único através do gateway com essas fontes de dados.SAP HANA and SAP BW have additional data-source specific configuration requirements and prerequisites that need to be met before you can establish an SSO connection through the gateway to these data sources. Confira a página de configurações do SAP HANA e a página de configurações do SAP BW – CommonCryptoLib (sapcrypto.dll) para saber mais.See the SAP HANA configuration page and the SAP BW - CommonCryptoLib (sapcrypto.dll) configuration page for details. Também é possível configurar o SAP BW para uso com a biblioteca SNC gx64krb5. Porém, essa biblioteca não é recomendada pela Microsoft já que não é mais compatível com SAP.It is also possible to configure SAP BW for use with the gx64krb5 SNC library, but this library is not recommended by Microsoft because it's no longer supported by SAP. Você deve usar CommonCryptoLib ou gx64krb5 como sua biblioteca SNC.You should use CommonCryptoLib or gx64krb5 as your SNC library. Não realize estas etapas de configuração para as duas bibliotecas.Do not complete configuration steps for both libraries.

Observação

Outras bibliotecas SNC também podem funcionar no SSO do BW, mas não têm suporte oficial da Microsoft.Other SNC libraries might also work for BW SSO but they are not officially supported by Microsoft.

Executar um relatório do Power BIRun a Power BI report

Depois de concluir todas as etapas de configuração, use a página Gerenciar Gateway no Power BI para configurar a fonte de dados que será usada para SSO.After completing all the configuration steps, you can use the Manage Gateway page in Power BI to configure the data source you'll use for SSO. Se há vários gateways, escolha o gateway configurado para o SSO do Kerberos.If you have multiple gateways, ensure that you select the gateway you've configured for Kerberos SSO. Em seguida, nas Configurações Avançadas da fonte de dados, verifique se a opção Usar SSO via Kerberos para consultas do DirectQuery está marcada.Then, under Advanced Settings for the data source, ensure Use SSO via Kerberos for DirectQuery queries is checked.

Captura de tela da opção Configurações avançadas

Publique um relatório baseado em DirectQuery no Power BI Desktop.Publish a DirectQuery-based report from Power BI Desktop. Esse relatório deve usar dados acessíveis para o usuário que é mapeado para o usuário do Azure Active Directory que entra no serviço do Power BI.This report must use data that is accessible to the user that is mapped to the (Azure) Active Directory user that signs in to the Power BI service. Você deve usar o DirectQuery em vez de importar, devido a como a atualização funciona.You must use DirectQuery instead of import, because of how refresh works. Ao atualizar relatórios baseados em importação, o gateway usa as credenciais inseridas nos campos Nome de usuário e Senha de quando você criou a fonte de dados.When refreshing import-based reports, the gateway uses the credentials that you entered into the Username and Password fields when you created the data source. Em outras palavras, o SSO do Kerberos não é usado.In other words, Kerberos SSO is not used. Além disso, ao publicar, não se esqueça de escolher o gateway configurado para SSO caso haja vários gateways.Also, when publishing, make sure you select the gateway you've configured for SSO if you have multiple gateways. No serviço do Power BI, agora você deve ser capaz de atualizar o relatório ou criar um novo com base no conjunto de dados publicado.In the Power BI service you should now be able to refresh the report or create a new report based on the published dataset.

Essa configuração funciona na maioria dos casos.This configuration works in most cases. No entanto, dependendo do ambiente, pode haver configurações diferentes com o Kerberos.However, with Kerberos there can be different configurations depending on your environment. Se o relatório ainda não for carregado, contate o administrador de domínio para investigar o caso.If the report still won't load, contact your domain administrator to investigate further. Se a fonte de dados é o SAP BW, veja também as seções de solução de problemas das páginas de configuração específicas da fonte de dados para CommonCryptoLib e gx64krb5/gsskrb5, dependendo da biblioteca do SNC escolhida.If your data source is SAP BW, you can also refer to the troubleshooting sections of the data source-specific configuration pages for CommonCryptoLib and gx64krb5/gsskrb5, depending on which SNC library you've chosen.

Próximas etapasNext steps

Para obter mais informações sobre o gateway de dados local e o DirectQuery, confira os seguintes recursos:For more information about the on-premises data gateway and DirectQuery, check out the following resources: