การฝังเนื้อหา Power BI ด้วยบริการหลักและความลับของแอปพลิเคชัน
บริการหลักคือวิธีการรับรองความถูกต้องที่สามารถใช้เพื่ออนุญาตให้แอปพลิเคชัน Azure AD เข้าถึงเนื้อหาบริการของ Power BI และ API
เมื่อคุณสร้างแอป Azure Active Directory (Azure AD) วัตถุบริการหลัก จะถูกสร้างขึ้น วัตถุบริการหลัก ซึ่งเป็นที่รู้จักกันว่า บริการหลัก จะช่วยให้ Azure AD รับรองความถูกต้องของแอปของคุณ เมื่อรับรองความถูกต้องแล้ว แอปจะสามารถเข้าถึงแหล่งข้อมูลผู้เช่า Azure AD
ในการรับรองความถูกต้อง บริการหลักจะใช้ รหัส แอปพลิเคชัน ของแอป Azure AD และหนึ่งในรายการต่อไปนี้:
- ใบรับรอง
- ข้อมูลลับของแอปพลิเคชัน
บทความนี้อธิบายการรับรองความถูกต้องของบริการหลักโดยใช้ รหัสแอปพลิเคชัน และ ความลับของแอปพลิเคชัน
หมายเหตุ
Azure AD ขอแนะนำให้คุณรักษาความปลอดภัยบริการหลังบ้านของคุณโดยใช้ใบรับรอง แทนที่จะเป็นคีย์ลับ
- เรียนรู้เพิ่มเติมเกี่ยวกับการรับโทเค็นการเข้าถึงจาก Azure AD โดยใช้คีย์ลับหรือใบรับรอง
- เมื่อต้องการรักษาความปลอดภัยโซลูชันของคุณโดยใช้ใบรับรอง ให้ทำตามคำแนะนำในบทความนี้จากนั้นทำตามขั้นตอนที่อธิบายไว้ในฝังเนื้อหา Power BI ด้วยองค์ประกอบหลักของบริการและใบรับรอง
วิธีการ
เมื่อต้องการใช้องค์ประกอบหลักและการวิเคราะห์แบบฝัง ID แอปพลิเคชัน ให้ทำตามขั้นตอนเหล่านี้:
สร้าง แอป Azure AD
สร้างความลับของแอป Azure AD
รับ รหัสแอปพลิเคชัน และ ความลับของแอปพลิเคชัน ของแอป
หมายเหตุ
ขั้นตอนเหล่านี้จะอธิบายไว้ใน ขั้นตอนที่ 1 สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการสร้างแอป Azure AD โปรดดูบทความ สร้างแอป Azure AD
สร้างกลุ่มความปลอดภัย Azure AD
เปิดใช้งานการตั้งค่าการจัดการบริการของ Power BI
เพิ่มบริการหลักไปยังพื้นที่ทำงานของคุณ
ฝังเนื้อหาของคุณ
ข้อสำคัญ
เมื่อคุณเปิดใช้งานบริการหลักที่จะใช้กับ Power BI สิทธิ์ AD ของแอปพลิเคชันไม่มีผลบังคับใช้อีกต่อไป มีจัดการสิทธิ์ของแอปพลิเคชันแล้วผ่านทางพอร์ทัลผู้ดูแลระบบ Power BI
ขั้นตอนที่ 1 - สร้าง แอป Azure AD
สร้างแอป Azure AD โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้:
การสร้างแอป Azure AD ในพอร์ทัล Microsoft Azure
ลงชื่อเข้าใช้ใน Microsoft Azure
ค้นหา การลงทะเบียนแอป และคลิกลิงก์ การลงทะเบียนแอป
คลิก การลงทะเบียนใหม่
ระบุข้อมูลที่จำเป็น:
- ชื่อ - กรอกชื่อสำหรับแอปพลิเคชันของคุณ
- ชนิดบัญชีที่ได้รับการสนับสนุน - เลือกประเภทบัญชีที่ได้รับการสนับสนุน
- (ไม่บังคับ) เปลี่ยนเส้นทาง URI - กรอก URI ถ้าจำเป็น
คลิก ลงทะเบียน
หลังจากลงทะเบียนแล้ว รหัสแอปพลิเคชัน จะพร้อมใช้งานจากแท็บ ภาพรวม คัดลอกและบันทึก รหัสแอปพลิเคชัน สำหรับใช้งานในภายหลัง
คลิกแท็บ ใบรับรองและความลับ
คลิก ความลับของไคลเอ็นต์ใหม่
ในหน้าต่าง เพิ่มความลับของไคลเอ็นต์ กรอกคำอธิบาย ระบุเวลาที่คุณต้องการให้ความลับของไคลเอ็นต์หมดอายุ จากนั้นคลิก เพิ่ม
คัดลอกและบันทึกค่า ความลับของไคลเอ็นต์
หมายเหตุ
หลังจากที่คุณออกจากหน้าต่างนี้ ค่าความลับของไคลเอ็นต์จะถูกซ่อนอยู่และคุณจะไม่สามารถดูหรือคัดลอกอีกครั้งได้
การสร้างแอป Azure AD โดยใช้ PowerShell
ส่วนนี้จะประกอบด้วยสคริปต์ตัวอย่างในการสร้างแอป Azure AD ใหม่โดยใช้ PowerShell
# The app ID - $app.appid
# The service principal object ID - $sp.objectId
# The app key - $key.value
# Sign in as a user that's allowed to create an app
Connect-AzureAD
# Create a new Azure AD web application
$app = New-AzureADApplication -DisplayName "testApp1" -Homepage "https://localhost:44322" -ReplyUrls "https://localhost:44322"
# Creates a service principal
$sp = New-AzureADServicePrincipal -AppId $app.AppId
# Get the service principal key
$key = New-AzureADServicePrincipalPasswordCredential -ObjectId $sp.ObjectId
ขั้นตอนที่ 2 - สร้างกลุ่มความปลอดภัย Azure AD
บริการหลักของคุณไม่มีสิทธิ์ในการเข้าถึงเนื้อหา Power BI และ API ของคุณ ในการให้สิทธิ์การเข้าถึงบริการหลัก ให้สร้างกลุ่มความปลอดภัยใน Azure AD และเพิ่มบริการหลักที่คุณสร้างไว้ในกลุ่มความปลอดภัยนั้น
มีสองวิธีในการสร้างกลุ่มความปลอดภัยใน Azure AD:
สร้างกลุ่มความปลอดภัยด้วยตนเอง
หากต้องการสร้างกลุ่มความปลอดภัยใน Azure ด้วยตนเอง ให้ทำตามคำแนะนำในบทความ สร้างกลุ่มพื้นฐานและเพิ่มสมาชิกโดยใช้ Azure Active Directory
สร้างกลุ่มความปลอดภัยโดยใช้ PowerShell
ในด้านล่างจะแสดงสคริปต์ตัวอย่างในการสร้างกลุ่มความปลอดภัยใหม่ และการเพิ่มแอปไปยังกลุ่มความปลอดภัยนั้น
หมายเหตุ
หากคุณต้องการเปิดใช้สิทธิ์การเข้าถึงบริการหลักสำหรับทั้งองค์กร โปรดข้ามขั้นตอนนี้
# Required to sign in as admin
Connect-AzureAD
# Create an Azure AD security group
$group = New-AzureADGroup -DisplayName <Group display name> -SecurityEnabled $true -MailEnabled $false -MailNickName notSet
# Add the service principal to the group
Add-AzureADGroupMember -ObjectId $($group.ObjectId) -RefObjectId $($sp.ObjectId)
ขั้นตอนที่ 3 - เปิดใช้งานการตั้งค่าการจัดการบริการของ Power BI
เพื่อให้แอป Azure AD สามารถเข้าถึงเนื้อหา Power BI และ API ได้ ผู้ดูแลระบบ Power BI จำเป็นต้องเปิดใช้งานการเข้าถึงบริการหลักในพอร์ทัลผู้ดูแลระบบของ Power BI
เพิ่มกลุ่มความปลอดภัยที่คุณสร้างใน Azure AD สำหรับส่วนกลุ่มความปลอดภัยเฉพาะใน การตั้งค่านักพัฒนา
ข้อสำคัญ
บริการหลักมีสิทธิ์เข้าถึงการตั้งค่าผู้เช่าใดๆ ที่เปิดใช้งานอยู่ โดยจะรวมถึงกลุ่มความปลอดภัยเฉพาะหรือทั้งองค์กร ขึ้นอยู่กับการตั้งค่าผู้ดูแลระบบของคุณ
เพื่อจำกัดการเข้าถึงบริการหลักของการตั้งค่าผู้เช่าเฉพาะ จะมีการอนุญาตให้เข้าถึงเพียงกลุ่มความปลอดภัยเฉพาะเท่านั้น อีกวิธีหนึ่งคือคุณสามารถสร้างกลุ่มความปลอดภัยเฉพาะสำหรับบริการหลัก และแยกออกไปจากการตั้งค่าผู้เช่าที่ต้องการได้
ขั้นตอนที่ 4 - เพิ่มบริการหลักไปยังพื้นที่ทำงานของคุณ
เมื่อต้องการเปิดใช้งานอาร์ติแฟกต์การเข้าถึงของแอป Azure AD ของคุณ เช่น รายงาน แดชบอร์ด และชุดข้อมูลในบริการ Power BI ให้เพิ่มเอนทิตีองค์ประกอบหลักของบริการ หรือกลุ่มความปลอดภัยที่มีองค์ประกอบหลักของบริการของคุณในฐานะสมาชิกหรือผู้ดูแลระบบในพื้นที่ทำงานของคุณ
หมายเหตุ
ส่วนนี้แสดงคำแนะนำของ UI คุณยังสามารถเพิ่มองค์ประกอบหลักของบริการหรือกลุ่มความปลอดภัยให้กับพื้นที่ทำงานโดยใช้กลุ่ม - เพิ่ม API ของผู้ใช้กลุ่มได้อีกด้วย
เลื่อนไปยังพื้นที่ทำงานที่คุณต้องการเปิดใช้งานการเข้าถึง และจากเมนู เพิ่มเติม เลือก การเข้าถึงพื้นที่ทำงาน
ในบานหน้าต่าง การเข้าถึง กล่องข้อความ ให้เพิ่มรายการใดรายการหนึ่งต่อไปนี้:
องค์ประกอบหลักของบริการ ของคุณ ชื่อองค์ประกอบหลักของบริการของคุณคือ ชื่อที่แสดง ของแอป Azure AD ของคุณตามที่ปรากฏในแท็บภาพรวมของแอป Azure AD ของคุณ
กลุ่มความปลอดภัย ที่รวมองค์ประกอบหลักของบริการของคุณ
เลือก สมาชิก หรือ ผู้ดูแล จากเมนูดรอปดาวน์
เลือก เพิ่ม
เพิ่มหลักบริการเป็นสมาชิกพื้นที่ทำงานโดยใช้ PowerShell
ส่วนนี้ประกอบด้วยสคริปต์ตัวอย่างเพื่อเพิ่มหลักบริการเป็นสมาชิกพื้นที่ทำงานโดยใช้ PowerShell
Login-PowerBI
# Service Principal Object ID for the created Service Principal
$SPObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'
$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"
Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType App -Identifier $SPObjectId
เพิ่มกลุ่มความปลอดภัยเป็นสมาชิกพื้นที่ทำงานโดยใช้ PowerShell
ส่วนนี้ประกอบด้วยสคริปต์ตัวอย่างเพื่อเพิ่มกลุ่มความปลอดภัยเป็นสมาชิกพื้นที่ทำงานโดยใช้ PowerShell
Login-PowerBI
# Security Group Object ID for the created Security Group
$SGObjectId = 'XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX'
$pbiWorkspace = Get-PowerBIWorkspace -Name "YourWorkspaceName"
Add-PowerBIWorkspaceUser -Id $pbiWorkspace.Id -AccessRight Member -PrincipalType Group -Identifier $SGObjectId
ขั้นตอนที่ 5 - ฝังเนื้อหาของคุณ
คุณสามารถฝังเนื้อหาของคุณภายในแอปพลิเคชันตัวอย่าง หรือภายในแอปพลิเคชันของคุณเอง
หลังจากที่มีการฝังเนื้อหาของคุณแล้ว คุณก็พร้อมที่จะ ย้ายไปยังการผลิต
หมายเหตุ
เมื่อต้องการรักษาความปลอดภัยเนื้อหาของคุณโดยใช้ใบรับรอง ให้ทำตามขั้นตอนที่อธิบายไว้ในฝังเนื้อหา Power BI ด้วยองค์ประกอบหลักของบริการและใบรับรอง
ข้อควรพิจารณาและข้อจำกัด
- บริการหลักจะทำงานร่วมกับพื้นที่ทำงานใหม่เท่านั้น
- ความจุเฉพาะของฉัน ไม่ได้รับการสนับสนุนเมื่อใช้บริการหลัก
- ต้องใช้ความจุเมื่อย้ายไปยังการผลิต
- คุณไม่สามารถลงชื่อเข้าใช้พอร์ทัล Power BI ด้วยบริการหลัก
- คุณจำเป็นต้องมีสิทธิ์ของผู้ดูแลระบบ Power BI เพื่อเปิดใช้งานบริการหลักในการตั้งค่านักพัฒนาภายในพอร์ทัลผู้ดูแลระบบของ Power BI
- แอปพลิเคชัน แบบฝังตัวสำหรับองค์กรของคุณ ไม่สามารถใช้บริการหลักได้
- Dataflows การจัดการไม่ได้รับการสนับสนุน
- บริการหลักสนับสนุนเฉพาะ API ผู้ดูแลระบบแบบอ่านอย่างเดียวบางตัวเท่านั้น เมื่อต้องการเปิดใช้งานการสนับสนุนบริการหลักเพื่อ API ผู้ดูแลระบบแบบอ่านอย่างเดียว คุณต้องเปิดใช้งานการตั้งค่าบริการของ Power BIผู้ดูแลระบบในผู้เช่าของคุณ โปรดดูที่เปิดใช้งานการรับรอง ความถูกต้องของบริการหลักเพื่อ API ของผู้ดูแลระบบแบบอ่านอย่างเดียว
- เมื่อใช้โครงร่างสำคัญของบริการด้วยแหล่งข้อมูล Azure Analysis Services โครงร่างสำคัญของบริการจะต้องมีสิทธิ์อินสแตนซ์ Azure Analysis Services การใช้กลุ่มความปลอดภัยที่ประกอบด้วยโครงร่างสำคัญของบริการสำหรับวัตถุประสงค์นี้ไม่ได้ผล