Внедренные маркеры доступа аналитики

ОБЛАСТЬ ПРИМЕНЕНИЯ: Приложение владеет данными, принадлежащими пользователю данных

Для использования содержимого Power BI (например, отчетов, панелей мониторинга и плиток) требуется маркер доступа. В зависимости от вашего решения этот маркер может быть маркером Microsoft Entra, маркером внедрения или обоими.

При внедрении решения для клиентов приложение создает маркер внедрения, предоставляющий веб-пользователям доступ к содержимому Power BI.

Примечание.

При использовании внедрения для решения клиентов можно использовать любой метод проверки подлинности, чтобы разрешить доступ к веб-приложению.

При внедрении решения организации пользователи веб-приложения проходят проверку подлинности с помощью идентификатора Microsoft Entra с помощью собственных учетных данных. У клиентов есть доступ к содержимому Power BI, к которому у них есть разрешение на доступ к служба Power BI.

Токен Microsoft Entra

Для внедрения для клиентов и внедрения решений организации требуется токен Microsoft Entra. Маркер Microsoft Entra необходим для всех операций REST API и истекает через час.

• В решении внедрения для клиентов маркер Microsoft Entra используется для создания маркера внедрения.

• В внедрении решения организации маркер Microsoft Entra используется для доступа к Power BI.

Вы можете получить токен Microsoft Entra одним из следующих способов:

• Используйте внешнее средство Postman для получения маркера. Дополнительные сведения см. в этом Сообщество Power BI потоке. URL-адрес запроса субъекта-службы должен бытьhttps://login.microsoftonline.com/{tenantID}/oauth2/v2.0/token, но для главного пользователя он может быть либоhttps://login.microsoftonline.com/{tenantID}/oauth2/v2.0/token.https://login.microsoftonline.com/common/oauth2/token

• Следуйте примерам решений в PowerBI-Developer-Samples. Например:

  • Для внедрения для клиентов отображается этот файл AadService.cs. authorityUrl Найдите и scopeBase в AppOwnsData/Web.config.

  • Сведения о внедрении для вашей организации см. в этом файле OwinOpenId Подключение.cs. Найдите authorityUrl в UserOwnsData/Web.config.

  Примечание.

  В приложении для государственных и региональных облаков можно найти authorityUrl и scopeBase значения для некоторых национальных и региональных облаков.

Токен внедрения

При использовании внедрения решения для клиентов веб-приложение должно знать, к какой содержимой Power BI может получить доступ пользователь. Используйте REST API маркера внедрения для создания маркера внедрения, который указывает следующие сведения:

• Доступ к содержимому, к который может получить пользователь веб-приложения

• Уровень доступа пользователя веб-приложения (просмотр, создание или изменение)

Дополнительные сведения см. в разделе "Рекомендации" при создании маркера внедрения.

Потоки проверки подлинности

В этом разделе описаны различные потоки проверки подлинности для внедрения для клиентови внедрения решений организации .

Внедрение для клиентов

Внедрение решения для клиентов использует поток неинтерактивной проверки подлинности. При внедрении решения для клиентов пользователи не войдите в идентификатор Microsoft Entra для доступа к Power BI. Вместо этого веб-приложение использует зарезервированное удостоверение Microsoft Entra для проверки подлинности с идентификатором Microsoft Entra и создания маркера внедрения. Зарезервированное удостоверение может быть субъектом-службой или главным пользователем:

• Субъект-служба Ваше веб-приложение использует объект субъекта-службы Microsoft Entra для проверки подлинности в идентификаторе Microsoft Entra и получения маркера Microsoft Entra только для приложений. Этот метод проверки подлинности только для приложений рекомендуется идентификатором Microsoft Entra.

  При использовании субъекта-службы необходимо включить доступ API Power BI в параметрах администратора служба Power BI. Включение доступа позволяет веб-приложению получать доступ к REST API Power BI. Чтобы использовать операции API в рабочей области, субъект-служба должна быть членом или администратором рабочей области.

• Главный пользователь Ваше веб-приложение использует учетную запись пользователя для проверки подлинности в идентификаторе Microsoft Entra и получения маркера Microsoft Entra. Учетная запись главного пользователя должна иметь лицензию Power BI Pro или Premium на пользователя (PPU ).

  При использовании главной учетной записи пользователя необходимо определить делегированные разрешения приложения (также известные как область). Главный пользователь или администратор клиента должен предоставить согласие на использование этих разрешений при использовании REST API Power BI.

После успешной проверки подлинности с идентификатором Microsoft Entra веб-приложение создает маркер внедрения, чтобы разрешить пользователям получать доступ к определенному содержимому Power BI.

Примечание.

• Для внедрения с помощью внедрения решения для клиентов требуется емкость с номером SKU A, EM или P.
• Для перехода в рабочую среду требуется емкость.

На следующей схеме показан поток проверки подлинности для внедрения решения клиентов .

1. Пользователь веб-приложения проходит проверку подлинности в веб-приложении с помощью метода проверки подлинности.

2. Веб-приложение использует субъект-службу или основного пользователя для проверки подлинности в идентификаторе Microsoft Entra.

3. Веб-приложение получает маркер Microsoft Entra из идентификатора Microsoft Entra и использует его для доступа к REST API Power BI. Метод проверки подлинности, который вы выбираете, предоставляет доступ к REST API Power BI, который зависит от того, является ли метод проверки подлинности субъектом-службой или главным пользователем.

4. Веб-приложение вызывает операцию REST API токена внедрения и запрашивает маркер внедрения. Маркер внедрения указывает, какое содержимое Power BI можно внедрить.

5. REST API возвращает маркер внедрения в веб-приложение.

6. Веб-приложение передает маркер внедрения в веб-браузер пользователя.

7. Пользователь веб-приложения использует маркер внедрения для доступа к Power BI.

Внедрение для организации

Внедрение решения организации использует интерактивный поток проверки подлинности. Пользователи веб-приложения проходят проверку подлинности в идентификаторе Microsoft Entra с помощью собственных учетных данных Power BI. Им необходимо предоставить согласие на разрешения API, заданные при регистрации приложения с идентификатором Microsoft Entra. Диалоговое окно "Разрешения Майкрософт " запрашивает у пользователей предоставление этих разрешений. После предоставления согласия пользователь может внедрить содержимое Power BI, к которому у пользователя есть доступ.

Примечание.

• Внедрение решения организации не поддерживает номера SKU.

• Чтобы перейти в рабочую среду, вам потребуется одна из следующих конфигураций:

  • Все пользователи с лицензиями Pro.
  • Все пользователи с лицензиями PPU.
  • Емкость или структура F64 или большей емкости. Эта конфигурация позволяет всем пользователям иметь бесплатные лицензии.

На этой схеме показан пример потока проверки подлинности для внедрения решения организации .

1. Пользователь веб-приложения обращается к веб-приложению.

2. Веб-приложение перенаправляет пользователя веб-приложения на идентификатор Microsoft Entra.

3. Пользователь веб-приложения проходит проверку подлинности в идентификаторе Microsoft Entra с помощью учетных данных Power BI.

4. Идентификатор Microsoft Entra перенаправляет пользователя веб-приложения обратно в веб-приложение с маркером Microsoft Entra. В неявном сценарии предоставления маркер доступа возвращается в браузер пользователя.

5. Веб-приложение передает маркер Microsoft Entra в веб-браузер пользователя.

6. Веб-приложение Power BI использует маркер Microsoft Entra для внедрения содержимого Power BI, например отчетов и панелей мониторинга, к которым пользователь веб-приложения имеет разрешение на доступ.

Связанный контент

• Рекомендации при создании маркера внедрения
• Емкость и номера SKU в встроенной аналитике Power BI

Есть еще вопросы? Попробуйте попросить Сообщество Power BI