Token för inbäddade analysprogram
För att Power BI innehåll behöver du en åtkomsttoken. Beroende på din lösning kan denna token vara antingen en Azure AD-token eller en inbäddningstoken.
Om du använder lösningen för inbäddning för dina kunder beviljas dina webbappsanvändare åtkomst till Power BI-innehåll (till exempel rapporter, instrumentpaneler och paneler) enligt den inbäddningstoken som genererades av ditt program.
Anteckning
När du använder lösningen embed for your customers (Bädda in för dina kunder) kan du använda valfri autentiseringsmetod för att tillåta åtkomst till din webbapp.
Om du använder inbäddning för din organisations lösning autentiserar dina webbappsanvändare mot Azure AD med sina egna autentiseringsuppgifter. Dina appanvändare får åtkomst till det Power BI innehåll som de kan komma åt Power BI tjänsten.
Azure AD-token
För både inbäddning för dina kunder och inbäddning för organisationens lösningar behöver du en Azure AD-token. Denna token krävs för alla REST API åtgärder och den upphör att gälla efter en timme.
I bädda in för dina kunder används Azure AD-token för att generera inbäddningstoken .
I inbäddning för din organisation används Azure AD-token för att komma åt Power BI.
Inbäddningstoken
När du använder lösningen embed for your customers måste webbappen veta vilket innehåll Power BI har åtkomst till. Använd REST-API:erna för inbäddningstoken för att generera en inbäddningstoken, som anger följande:
Vilket innehåll din webbappsanvändare kan komma åt.
Webbappsanvändarens åtkomstnivå (visa, skapa eller redigera).
Mer information finns i Överväganden när du genererar en inbäddningstoken.
Autentiseringsflöden
I det här avsnittet beskrivs autentiseringsflöden för inbäddning för dina kunder och inbäddning för organisationens inbäddningslösningar.
Bädda in för dina kunder
Lösningen Bädda in för dina kunder använder ett icke-interaktivt autentiseringsflöde. Användarna behöver inte logga in på Azure AD för att komma åt Power BI. I stället använder webbappen en reserverad Azure AD-identitet för att autentisera mot Azure AD och generera inbäddningstoken. Den reserverade identiteten kan vara något av följande:
-
Webbappen använder Azure AD-tjänstens huvudnamnsobjekt för att autentisera mot Azure AD och hämta en app-only Azure AD-token. Det här är en appbaserad autentiseringsmetod som rekommenderas av Azure AD.
När du använder tjänstens huvudnamn måste du aktivera Power BI-API:er i Power BI administratörsinställningar för tjänsten. På så sätt kan webbappen komma åt Power BI REST-API:er. Om du vill använda API-åtgärder på en arbetsyta måste tjänstens huvudnamn vara medlem eller administratör för arbetsytan.
Huvudanvändare
Webbappen använder ett användarkonto för att autentisera mot Azure AD och hämta Azure AD-token. Huvudanvändaren måste ha en Power BI Pro licens Premium en licens per användare.
När du använder en huvudanvändare måste du definiera appens delegerade behörigheter (kallas även omfång). Huvudanvändaren eller klientadministratören måste bevilja medgivande för att använda dessa behörigheter med hjälp av Power BI REST-API:er.
Efter en lyckad autentisering mot Azure AD genererar webbappen en inbäddningstoken så att användarna kan komma åt Power BI innehåll.
Anteckning
- Om du vill bädda in med hjälp av lösningen embed for your customers behöver du en kapacitet med en A-, EM- eller P-SKU.
- Om du vill flytta till produktion behöver du en kapacitet.
Följande diagram visar autentiseringsflödet för lösningen för inbäddning för dina kunder.
Webbappsanvändaren autentiseras mot din webbapp (med din autentiseringsmetod).
Webbappen använder ett huvudnamn för tjänsten eller en huvudanvändare för att autentisera mot Azure AD.
Webbappen hämtar en Azure AD-token från Azure AD och använder den för att komma åt Power BI REST-API:er. Åtkomst till Power BI-API:er ges enligt din autentiseringsmetod, som antingen är tjänstens huvudnamn eller huvudanvändaren.
Webbappen anropar en åtgärd REST API inbäddningstoken och begär inbäddningstoken. Inbäddningstoken anger Power BI innehåll kan bäddas in.
Den REST API returnerar inbäddningstoken till din webbapp.
Webbappen skickar inbäddningstoken till användarens webbläsare.
Webbappsanvändaren använder inbäddningstoken för att komma Power BI.
Bädda in för din organisation
Lösningen Bädda in för din organisation använder ett interaktivt autentiseringsflöde. Användarna autentiseras mot Azure AD med sina Power BI autentiseringsuppgifter. Användare måste bevilja medgivande till DE API-behörigheter som ställts in när appen registreras med Azure AD. Medgivande beviljas i popup-fönstret Microsoft Permissions requested (Begärda Microsoft-behörigheter). När medgivande har beviljats Power BI innehåll, till exempel rapporter och instrumentpaneler som webbappanvändaren har åtkomst till, bäddas in.
Anteckning
- Inbäddning för din organisationslösning stöder inte A-SKU:er.
- Om du vill flytta till produktion behöver du någon av följande konfigurationer:
- Alla användare med Pro licenser.
- Alla användare med PPU-licenser.
- En kapacitet. Med den här konfigurationen kan alla användare ha kostnadsfria licenser.
Det här diagrammet visar ett exempel på autentiseringsflödet för inbäddning för din organisationslösning.
Webbappanvändare får åtkomst till webbappen.
Webbappen omdirigerar webbappanvändaren till Azure AD.
Webbappsanvändaren autentiseras mot Azure AD med hjälp av Power BI autentiseringsuppgifter.
Azure AD omdirigerar webbappanvändaren tillbaka till webbappen med Azure AD-token (i ett scenario med implicit beviljande returneras åtkomsttoken till användarens webbläsare).
Webbappen skickar Azure AD-token till användarens webbläsare.
Din Power BI-webbapp använder Azure AD-token för att bädda Power BI innehåll som rapporter och instrumentpaneler, som webbappanvändaren har behörighet att komma åt.