Prehľad jediného prihlásenia (SSO) pre brány v službe Power BIOverview of single sign-on (SSO) for gateways in Power BI

Konfiguráciou brány lokálnych údajov dosiahnete bezproblémové pripojenie s jediným prihlásením, ktoré umožní aktualizáciu zostáv a tabúľ v službe Power BI na základe lokálnych údajov v reálnom čase.You can get seamless single sign-on connectivity, enabling Power BI reports and dashboards to update in real time from on-premises data, by configuring your on-premises data gateway. Bránu môžete nakonfigurovať pomocou delegovania obmedzeného protokolom Kerberos alebo pomocou protokolu Security Assertion Markup Language (SAML).You have the option of configuring your gateway with either Kerberos constrained delegation or Security Assertion Markup Language (SAML). Lokálna brána údajov podporuje jediné prihlásenie pomocou režimu DirectQuery alebo na obnovenie, ktoré sa pripája k lokálnym zdrojom údajov.The on-premises data gateway supports SSO by using DirectQuery or for Refresh, which connects to on-premises data sources.

Služba Power BI podporuje nasledujúce zdroje údajov:Power BI supports the following data sources:

  • SQL Server (Kerberos)SQL Server (Kerberos)
  • SAP HANA (Kerberos a SAML)SAP HANA (Kerberos and SAML)
  • Aplikačný server SAP BW (Kerberos)SAP BW Application Server (Kerberos)
  • Server správ SAP BW (Kerberos)SAP BW Message Server (Kerberos)
  • Oracle (Kerberos)Oracle (Kerberos)
  • Teradata (Kerberos)Teradata (Kerberos)
  • Spark (Kerberos)Spark (Kerberos)
  • Impala (Kerberos)Impala (Kerberos)

Jediné prihlásenie sa aktuálne nepodporuje pre rozšírenia M.We don't currently support SSO for M-extensions.

Pri interakcii používateľa so zostavou DirectQuery v službe Power BI môže každé krížové filtrovanie, výsek, triedenie a úprava zostavy spôsobiť, že sa dotazy budú naživo spúšťať pre lokálny zdroj údajov.When a user interacts with a DirectQuery report in the Power BI Service, each cross-filter, slice, sort, and report editing operation can result in queries that execute live against the underlying on-premises data source. Keď nakonfigurujete jediné prihlásenie pre zdroj údajov, dotazy sa spúšťajú pod identitou používateľa, ktorý pracuje so službou Power BI (t. j. prostredníctvom webového rozhrania alebo mobilných aplikácií služby Power BI).When you configure SSO for the data source, queries execute under the identity of the user that interacts with Power BI (that is, through the web experience or Power BI mobile apps). Vďaka tomu každý používateľ uvidí presne tie údaje, na ktoré má v základnom zdroji údajov povolenia.Therefore, each user sees precisely the data for which they have permissions in the underlying data source.

Môžete tiež nakonfigurovať zostavu, ktorá je nastavená na obnovenie v službe Power BI na používanie jediného prihlásenia.You can also configure a report which is set up for refresh in the Power BI Service to use SSO. Pri konfigurácii jediného prihlásenia pre tento zdroj údajov sa dotazy spúšťajú v rámci identity vlastníka množiny údajov v službe Power BI.When you configure SSO for this data source, queries execute under the identity of the dataset owner within Power BI. Obnovenie sa preto vykoná na základe povolení vlastníka množiny údajov v základnom zdroji údajov.Therefore, the refresh happens based on the dataset owner's permissions on the underlying data source. Obnovenie pomocou jediného prihlásenia je v súčasnosti povolené iba pre zdroje údajov pomocou obmedzeného delegovania protokolom KerberosRefresh using SSO is currently enabled only for data sources using Kerberos constrained delegation

Kroky dotazu pri používaní jediného prihláseniaQuery steps when running SSO

Dotaz, ktorý sa spúšťa pomocou jediného prihlásenia, sa skladá z troch krokov, ako je to znázornené na nasledujúcom diagrame.A query that runs with SSO consists of three steps, as shown in the following diagram.

Kroky dotazu s jediným prihlásením

Tu sú ďalšie podrobnosti o jednotlivých krokoch:Here are additional details about each step:

  1. Pre každý dotaz služba Power BI zahrnie hlavné meno používateľa (User Principal Name, UPN) , teda úplné meno používateľa aktuálne prihláseného do služby Power BI pri odosielaní požiadavky dotazu do nakonfigurovanej brány.For each query, the Power BI service includes the user principal name (UPN), which is the fully qualified username of the user currently signed in to the Power BI service, when it sends a query request to the configured gateway.

  2. Brána musí priradiť UPN služby Azure Active Directory k lokálnej identite služby Active Directory:The gateway must map the Azure Active Directory UPN to a local Active Directory identity:

    a)a. Ak je nakonfigurovaný nástroj Azure AD DirSync (označovaný aj ako Azure AD Connect), priraďovanie v bráne funguje automaticky.If Azure AD DirSync (also known as Azure AD Connect) is configured, then the mapping works automatically in the gateway.

    b.b. V opačnom prípade môže brána vyhľadať a priradiť hlavné meno používateľa služby Azure AD k lokálnemu používateľovi služby AD na základe vyhľadania pre miestnu doménu služby Active Directory.Otherwise, the gateway can look up and map the Azure AD UPN to a local AD user by performing a lookup against the local Active Directory domain.

  3. Proces služby brány zosobní priradeného lokálneho používateľa, otvorí pripojenie k základnej databáze a odošle dotaz.The gateway service process impersonates the mapped local user, opens the connection to the underlying database, and then sends the query. Bránu nemusíte nainštalovať do toho istého zariadenia, v ktorom je nainštalovaná databáza.You don't need to install the gateway on the same machine as the database.

Ďalšie krokyNext steps

Teraz, keď poznáte základy povolenia jediného prihlásenia prostredníctvom brány, prečítajte si podrobnejšie informácie o protokole Kerberos a jazyku SAML:Now that you understand the basics of enabling SSO through the gateway, read more detailed information about Kerberos and SAML: