Ansluta till Power BI-rapportservern och SSRS via OAuth

  • Artikel
  • 6 minuter för att läsa

Du kan ansluta till Power BI-rapportservern och Reporting Services via OAuth för att visa mobila rapporter eller KPI:er. Lär dig hur du konfigurerar din miljö för OAuth-autentisering med Power BI-mobilappen för att ansluta till Power BI-rapportservern och SQL Server Reporting Services 2016 eller senare.

Anteckning

Nu finns det stöd för att visa Power BI-rapporter som finns i Power BI-rapportservern och autentiserar med WAP för iOS- och Android-appar.

Krav

Windows Server 2016 krävs för Webbprogramproxy (WAP) och Active Directory Federation Services (AD FS)-servrar. Du behöver inte ha en funktionell domännivå för Windows 2016.

För att användarna ska kunna lägga till en rapportserveranslutning till sin Power BI mobilapp måste du ge dem åtkomst till rapportserverns startmapp.

Konfigurationen av Domain Name Services (DNS)

Den offentliga URL:en som den mobila Power BI-appen ska ansluta till. Den bör se ut ungefär så här.

https://reports.contoso.com

Din DNS-post för rapporter mot den offentliga IP-adressen för Web Application Proxy (WAP)-servern. Du måste också konfigurera en offentlig DNS-post för AD FS-servern. Du kan till exempel ha konfigurerat AD FS-servern med följande URL.

https://fs.contoso.com

Din DNS-post för fs mot den offentliga IP-adressen för Web Application Proxy (WAP)-servern, eftersom den kommer att publiceras som del av WAP-applikationen.

Certifikat

Du måste konfigurera certifikat för både WAP-applikationen och ADFS-servern. Båda dessa certifikat måste vara en del av en giltig certifikatutfärdare som dina mobila enheter kan identifiera.

Konfiguration av Reporting Services

Det krävs inte många konfigurationer av Reporting Services. Du behöver bara se till att:

Tjänstens huvudnamn (SPN)

SPN-namnet är en unik identifierare för en tjänst som använder Kerberos-autentisering. Du måste kontrollera att du har ett korrekt HTTP-SPN för rapportservern.

Information om hur du konfigurerar SPN (tjänstens huvudnamn) för rapportservern finns i Registrera tjänstens huvudnamn (SPN) för en rapportserver.

Aktivera förhandling av autentisering

Om du vill låta en rapportserver använda Kerberos-autentisering, behöver du konfigurera autentiseringstypen för rapportservern som RSWindowsNegotiate. Detta görs i rsreportserver.config-filen.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Mer information finns i Ändra en Reporting Services-konfigurationsfil och konfigurera Windows-autentisering på en rapportserver.

Konfigurera Active Directory Federation Services (AD FS)

Du måste konfigurera AD FS på en Windows 2016-server i din miljö. Konfigurationen kan göras via Serverhanteraren och genom att välja Lägg till roller och funktioner under hantera. För mer information, se Active Directory Federation Services (AD FS).

Skapa en appgrupp

I skärmbilden AD FS-hantering kommer du att vilja skapa en appgrupp för Reporting Services som innehåller information om Power BI Mobile-appar.

Du kan skapa gruppen med följande steg.

  1. Högerklicka på appgrupper i AD FS-hanteringsappen och välj Lägg till appgrupp...

    ADFS, Lägg till program

  2. I guiden Lägg till appgrupp, ange ett namn för appen och välj lokalt program för åtkomst till ett webb-API.

    Guide 01 för ADFS-programgrupp

  3. Välj Nästa.

  4. Ange en namn för appen som du lägger till.

  5. Medan klient-ID automatiskt genereras för ditt program kan du ange 484d54fc-b481-4eee-9505-0258a1913020 för både iOS och Android.

  6. Du kommer att vilja lägga till följande omdirigerings-URL: er:

    Poster för Power BI Mobile – iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Android-appar behöver endast följande steg:
    urn:ietf:wg:oauth:2.0:oob

    Guide 02 för ADFS-programgrupp

  7. Välj Nästa.

  8. Ange URL:en för din rapportserver. Detta är en extern URL som leder till proxyservern för din webbapp. Den har följande format.

    Anteckning

    Denna URL är skiftlägeskänslig!

    https://< report server url >/

    Guide 03 för ADFS-programgrupp

  9. Välj Nästa.

  10. Välj principer för åtkomstkontroll som passar organisationens behov.

    Guide 04 för ADFS-programgrupp

  11. Välj Nästa.

  12. Välj Nästa.

  13. Välj Nästa.

  14. Välj Stäng.

När du är klar bör egenskaperna för din grupp se ut på följande sätt.

Guide för ADFS-programgrupp

Konfiguration av proxy för webbapp (WAP)

Du bör aktivera Windowsrollen proxy för webbapp (roll) på en server i din miljö. Det måste vara en server med Windows 2016. Mer information finns i Web Application Proxy i Windows Server 2016 och Publicera appar med AD FS-förautentisering.

Konfiguration av begränsad delegering

Vi behöver använda begränsad delegering med protokollövergång för att kunna övergå från OAuth-autentisering till Windows-autentisering. Detta är en del av Kerberos-konfigurationen. Vi har redan definierat Reporting Services SPN-namnet i Reporting Services-konfigurationen.

Vi måste konfigurera begränsad delegering på WAP-serverkontot inom Active Directory. Du kan behöva arbeta med en domänadministratör om du inte har åtkomstbehörighet till Active Directory.

Utför följande steg för att konfigurera begränsad delegering.

  1. På en dator som har Active Directory-verktygen installerade startar du Active Directory-användare och -datorer.

  2. Hitta datorkontot för WAP-servern. Som standard är detta i datorcontainern.

  3. Högerklicka på servern för WAP och gå till Egenskaper.

  4. Välj fliken delegering.

  5. Välj lita på den här datorn enbart för delegering till angivna tjänster och därefter Använd valfritt autentiseringsprotokoll.

    Begränsad WAP

    Detta konfigurerar begränsad delegering för det här WAP-serverdatorkontot. Därefter måste vi konfigurera tjänsterna som den här datorn får delegera till.

  6. Välj Lägg till... under rutan tjänster.

    Begränsad WAP, 02

  7. Välj Användare eller datorer...

  8. Ange tjänstkontot som används för Reporting Services. Detta är det konto där du har lagt till SPN-namnet i Reporting Services-konfigurationen.

  9. Välj SPN för Reporting Services och välj sedan OK.

    Anteckning

    Du kan bara se NetBIOS SPN. Faktum är att både NetBIOS och FQDN väljs om båda finns.

    Begränsad WAP, 03

  10. Resultatet bör se ut som följande när kryssrutan Utökad är markerad.

    Begränsad WAP, 04

  11. Välj OK.

Lägg till WAP-app

Medan du kan publicera appar i hanteringskonsolen för rapportåtkomst kommer vi att skapa appen via PowerShell. Här är kommandot för att lägga till appen.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parameter Kommentarer
ADFSRelyingPartyName Detta är det Web API-namn som du har skapat som en del av appgruppen i AD FS.
ExternalCertificateThumbprint Detta är certifikatet som ska användas för externa användare. Det är viktigt att det här certifikatet är giltigt på mobila enheter och kommer från en betrodd certifikatutfärdare.
BackendServerUrl Detta är URL:en till rapportservern från WAP-servern. Om server för WAP finns i ett perimeternätverk kan du behöva använda ett fullständigt kvalificerat domännamn. Kontrollera att du kan träffa denna URL från webbläsaren på WAP-servern.
BackendServerAuthenticationSPN Det här är SPN-namnet som du har skapat som en del av Reporting Services-konfigurationen.

Ställa in integrerad autentisering för WAP-appen

När du lägger till WAP-appen måste du ställa in BackendServerAuthenticationMode på att använda IntegratedWindowsAuthentication. Du behöver ett ID från WAP-appen för att ställa in detta.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Lägg till programgrupp

Kör följande kommando för att ställa in BackendServerAuthenticationMode på att använda ID från WAP-appen.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Guiden Lägg till en programgrupp

Anslut med Power BI-appen

Anslut Reporting Services-instans i Power BI-appen. Ange den externa URL:en för WAP-programmet.

Skriv din serveradress

När du väljer Anslut omdirigeras du till inloggningssidan för ADFS. Ange giltiga autentiseringsuppgifter för domänen.

Logga in på AD FS

När du har valt Logga in visas element från Reporting Services-servern.

Multifaktorautentisering

Du kan aktivera multifaktorautentisering att göra din miljö ännu säkrare. Läs mer i konfigurera AD FS 2016 och Azure MFA.

Felsökning

Du får felmeddelandet ”Det gick inte att logga in på SSRS-servern”

Felmeddelandet ”Det gick inte att logga in på SSRS-servern”

Du kan ställa in Fiddler så att den fungerar som proxy för dina mobila enheter för att se var begäran stoppades. Om du vill aktivera Fiddler-proxyn för din telefon måste du installera CertMaker för iOS och Android på enheten som kör Fiddler. Detta är ett tillägg från Telerik för Fiddler.

Om inloggningen fungerar korrekt när du använder Fiddler kan det finnas ett certifikatproblem antingen med WAP-appen eller ADFS-servern.

Nästa steg

Registrera ett tjänstens huvudnamn (SPN) för en rapportserver
Ändra en konfigurationsfil för Reporting Services
Konfigurera Windows-autentisering på en rapportserver
Konfigurera Active Directory Federation Services (AD FS)
Proxy för webbprogram i Windows Server 2016
Publicera program med AD FS-förautentisering
Konfigurera AD FS 2016 och Azure MFA
Har du fler frågor? Prova Power BI Community