Bädda in Power BI-innehåll med tjänstens huvudnamn och en programhemlighet

  • Artikel
  • 6 minuter för att läsa

Tjänstens huvudnamn är en autentiseringsmetod som kan användas för att ge Azure AD-program åtkomst till Power BI-tjänstinnehåll och API:er.

När du skapar en Azure Active Directory-app (Azure AD) skapas ett huvudobjekt för tjänsten. Huvudobjektet för tjänsten, som också är känt som tjänstens huvudnamn, gör att Azure AD kan autentisera din app. Efter autentisering kan appen komma åt Azure AD-klientens resurser.

För att autentisera använder tjänstens huvudnamn Azure AD-appens program-ID och något av följande:

  • Certifikat
  • Apphemlighet

I den här artikeln beskrivs autentisering med tjänstens huvudnamn med program-ID och apphemlighet.

Anteckning

Azure AD rekommenderar att du skyddar dina serverdelstjänster med certifikat snarare än med hemliga nycklar.

Metod

Följ de här stegen om du vill använda tjänstens huvudnamn och ett program-ID för inbäddad analys:

  1. Skapa en Azure AD-app.

    1. Skapa Azure AD-appens hemlighet.

    2. Hämta appens program-ID och apphemlighet.

    Anteckning

    De här stegen beskrivs i steg 1. Mer information om hur du skapar en Azure AD-app finns i artikeln Skapa en Azure AD-App.

  2. Skapa en Azure AD-säkerhetsgrupp.

  3. Aktivera Power BI-tjänstens administratörsinställningar.

  4. Lägg till ett tjänsthuvudnamn i din arbetsyta.

  5. Bädda in innehållet.

Viktigt

Om du aktiverar tjänstens huvudnamn för användning med Power BI gäller inte längre programmets AD-behörigheter. Programmets behörigheter hanteras då via Power BI-administrationsportalen.

Steg 1 – Skapa en Azure AD-app

Skapa en Azure AD-app med någon av följande metoder:

Skapa en Azure AD-app i Microsoft Azure-portalen

  1. Logga in på Microsoft Azure.

  2. Sök efter Appregistreringar och klicka på länken Appregistreringar.

    Azure-appregistrering

  3. Klicka Ny registrering.

    ny registrering

  4. Fyll i nödvändig information:

    • Namn – Ange ett namn för ditt program
    • Kontotyper som stöds – Välj kontotyper som stöds
    • (Valfritt) Omdirigerings-URI – ange en URI om det behövs

  5. Klicka på Registrera.

  6. Efter registreringen är Program-ID tillgängligt på fliken Översikt. Kopiera och spara Program-ID för senare användning.

    Skärmbild som visar var du kan hämta ett program-ID på fliken Översikt.

  7. Klicka på fliken Certifikat och hemligheter.

    En skärmbild som visar fönstret Certifikat och hemligheter för en app i Azure-portalen.

  8. Klicka på Ny klienthemlighet

    En skärmbild som visar knappen Ny klienthemlighet i fönstret Certifikat och hemligheter.

  9. I fönstret Lägg till en klienthemlighet anger du en beskrivning och när du vill att klienthemligheten ska upphöra att gälla. Klicka sedan på Lägg till.

  10. Kopiera och spara värdet för Klienthemligheten.

    En skärmbild som visar ett suddigt hemligt värde i fönstret Certifikat och hemligheter.

    Anteckning

    När du lämnar det här fönstret döljs värdet för klienthemligheten och du kommer inte att kunna visa eller kopiera det igen.

Skapa en Azure AD-app med PowerShell

Det här avsnittet innehåller ett exempelskript för att skapa en ny Azure AD-app med hjälp av PowerShell.

# The app ID - $app.appid
# The service principal object ID - $sp.objectId
# The app key - $key.value

# Sign in as a user that's allowed to create an app
Connect-AzureAD

# Create a new Azure AD web application
$app = New-AzureADApplication -DisplayName "testApp1" -Homepage "https://localhost:44322" -ReplyUrls "https://localhost:44322"

# Creates a service principal
$sp = New-AzureADServicePrincipal -AppId $app.AppId

# Get the service principal key
$key = New-AzureADServicePrincipalPasswordCredential -ObjectId $sp.ObjectId

Steg 2 – Skapa en Azure AD-säkerhetsgrupp

Tjänstens huvudnamn har inte åtkomst till något av dina Power BI-innehåll eller API:er. För att ge tjänstens huvudnamn åtkomst skapar du en säkerhetsgrupp i Azure AD och lägger till tjänstens huvudnamn som du skapade i säkerhetsgruppen.

Det finns två sätt att skapa en Azure AD-säkerhetsgrupp:

Skapa en säkerhetsgrupp manuellt

Om du vill skapa en Azure-säkerhetsgrupp manuellt följer du anvisningarna i artikeln Skapa en basgrupp och lägga till medlemmar med hjälp av Azure Active Directory.

Skapa en säkerhetsgrupp med PowerShell

Nedan är ett exempelskript för att skapa en ny säkerhetsgrupp och lägga till programmet i den säkerhetsgruppen.

Anteckning

Om du vill aktivera åtkomst med tjänstens huvudnamn för hela organisationen kan du hoppa över det här steget.

# Required to sign in as admin
Connect-AzureAD

# Create an Azure AD security group
$group = New-AzureADGroup -DisplayName <Group display name> -SecurityEnabled $true -MailEnabled $false -MailNickName notSet

# Add the service principal to the group
Add-AzureADGroupMember -ObjectId $($group.ObjectId) -RefObjectId $($sp.ObjectId)

Steg 3 –Aktivera Power BI-tjänstens administratörsinställningar

För att en Azure AD-App ska kunna komma åt Power BI-innehåll och API:er måste en Power BI-administratör aktivera åtkomst till tjänstens huvudnamn i administratörsportalen för Power BI.

Lägg till den säkerhetsgrupp som du skapade i Azure AD i det specifika området för säkerhetsgrupp i Inställningar för utvecklare.

Viktigt

Tjänstens huvudnamn har åtkomst till alla klientinställningar som de är aktiverade för. Beroende på dina administratörsinställningar inkluderar detta vissa säkerhetsgrupper eller hela organisationen.

Om du vill begränsa åtkomsten till tjänstens huvudnamn till särskilda klientinställningar ger du åtkomst till vissa säkerhetsgrupper. Du kan också skapa en dedikerad säkerhetsgrupp för tjänstens huvudnamn och undanta den från önskade klientinställningar.

Skärmbild som visar inställningarna för utvecklare i administratörsalternativen i Power BI-tjänsten.

Steg 4 – Lägg till tjänstens huvudnamn i din arbetsyta

Om du vill aktivera åtkomstartefakter för Azure AD-appen som rapporter, instrumentpaneler och datamängder i Power BI-tjänsten lägger du till entiteten för tjänstens huvudnamn, eller säkerhetsgruppen som innehåller tjänstens huvudnamn, som medlem eller administratör på arbetsytan.

Anteckning

Det här avsnittet innehåller gränssnittsanvisningar. Du kan också lägga till ett tjänsthuvudnamn eller en säkerhetsgrupp på en arbetsyta med Grupper – API:et för att lägga till gruppanvändare.

  1. Bläddra till den arbetsyta som du vill aktivera åtkomst för och välj Åtkomst till arbetsytan på menyn Mer.

    Skärmbild som visar knappen Åtkomst till arbetsyta på menyn Mer för en Power BI-arbetsyta.

  2. I rutan Åtkomst lägger du till något av följande:

    • Tjänstens huvudnamn. Tjänstens huvudnamn är visningsnamnet för din Azure AD-app, så som det visas på fliken Översikt i Azure AD-appen.

    • Säkerhetsgruppen som innehåller tjänstens huvudnamn.

  3. Välj Medlem eller Admin i listrutan.

  4. Välj Lägg till.

Lägga till ett huvudnamn för tjänsten som medlem på en arbetsyta via PowerShell

Det här avsnittet innehåller ett exempelskript för att lägga till ett huvudnamn för tjänsten som medlem på en arbetsyta med PowerShell.

Login-PowerBI

# Service Principal Object ID for the created Service Principal
$SPObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType App -Identifier $SPObjectId

Lägga till en säkerhetsgrupp som medlem på en arbetsyta via PowerShell

Det här avsnittet innehåller ett exempelskript för att lägga till en säkerhetsgrupp som medlem på en arbetsyta med PowerShell.

Login-PowerBI

# Security Group Object ID for the created Security Group
$SGObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'

$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"

Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType Group -Identifier $SGObjectId

Steg 5: Bädda in innehåll

Du kan bädda in ditt innehåll med ett exempelprogram eller i ditt program.

När ditt innehåll hasr bäddats in kan du övergå till produktion.

Anteckning

Om du vill skydda ditt innehåll med ett certifikat följer du stegen i Bädda in Power BI-innehåll med tjänstens huvudnamn och ett certifikat.

Överväganden och begränsningar

  • Tjänstens huvudnamn fungerar bara med nya arbetsytor.
  • Min arbetsyta stöds inte när du använder tjänstens huvudnamn.
  • En kapacitet krävs vid flytt till produktion.
  • Du kan inte logga in på Power BI-portal med tjänstens huvudnamn.
  • Power BI-administratörsbehörighet krävs för att aktivera tjänstens huvudnamn i inställningarna för utvecklare i Power BI-administratörsportalen.
  • Det går inte att använda tjänstens huvudnamn för inbäddning för organisationens program.
  • Hantering av dataflöden stöds inte.
  • Tjänstens huvudnamn stöder endast vissa skrivskyddade administratörs-API:er. Om du vill aktivera stöd för tjänstens huvudnamn för skrivskyddade administratörs-API:er måste du aktivera Power BI administratörsinställningar för tjänsten i din klientorganisation. Mer information finns i Aktivera autentisering av tjänstens huvudnamn för skrivskyddade administratörs-API:er.
  • Vid användning av tjänsthuvudnamn med en Azure Analysis Services-datakälla måste själva tjänsthuvudnamnet ha en Azure Analysis Services-instansbehörighet. Det fungerar inte att använda en säkerhetsgrupp som innehåller tjänsthuvudnamnet för detta ändamål.

Nästa steg

Registrera en app

Power BI Embedded för dina kunder

Bädda in med tjänstens huvudnamn och ett certifikat

Objekt för program och tjänstens huvudnamn i Azure Active Directory

Säkerhet på radnivå med hjälp av lokal datagateway med tjänstens huvudnamn