Power BI hizmetinden şirket içi veri kaynaklarına Kerberos tabanlı SSO yapılandırmaConfigure Kerberos-based SSO from Power BI service to on-premises data sources

SSO'yu etkinleştirmek, Power BI raporlarının ve panolarının şirket içi kaynaklardan alınan verileri yenilemesini kolaylaştırırken bu kaynaklarda yapılandırılmış kullanıcı düzeyi izinlerine de uyar.Enabling SSO makes it easy for Power BI reports and dashboards to refresh data from on-premises sources while respecting user-level permissions configured on those sources. Kerberos kısıtlanmış temsili kullanarak, sorunsuz SSO bağlantısını etkinleştirin.Use Kerberos constrained delegation to enable seamless SSO connectivity.

ÖnkoşullarPrerequisites

Kerberos kısıtlanmış temsilinin düzgün bir şekilde çalışması için, hizmet hesaplarındaki Hizmet Asıl Adlarının (SPN) ve temsilci seçme ayarlarının da dahil olduğu belirli öğelerin yapılandırılması gerekir.Several items must be configured for Kerberos constrained delegation to work properly, including Service Principal Names (SPN) and delegation settings on service accounts.

Microsoft şirket içi veri ağ geçidini yükleme ve yapılandırmaInstall and configure the Microsoft on-premises data gateway

Şirket içi veri ağ geçidi, yerinde yükseltmeyi ve mevcut ağ geçitlerinin ayarlarını devralma özelliğini destekler.The on-premises data gateway supports an in-place upgrade, and settings takeover of existing gateways.

Ağ geçidi Windows hizmetini bir etki alanı hesabı olarak çalıştırmaRun the gateway Windows service as a domain account

Standart bir yüklemede, ağ geçidi bir makine yerel hizmet hesabı (NT Service\PBIEgwService) olarak çalıştırılır.In a standard installation, the gateway runs as the machine-local service account, NT Service\PBIEgwService.

Makine yerel hizmet hesabı

Azure Active Directory (Azure AD) örneğiniz (Azure AD DirSync/Connect kullanılarak) yerel Active Directory örneğiniz ile eşitlenmediği sürece, Kerberos kısıtlanmış temsilinin etkinleştirilebilmesi için ağ geçidinin bir etki alanı hesabı olarak çalıştırılması gerekir.To enable Kerberos constrained delegation, the gateway must run as a domain account, unless your Azure Active Directory (Azure AD) instance is already synchronized with your local Active Directory instance (by using Azure AD DirSync/Connect). Bir etki alanı hesabına geçmek için bkz. Ağ geçidi hizmeti hesabını değiştirme.To switch to a domain account, see change the gateway service account.

Not

Azure AD Connect yapılandırıldıysa ve kullanıcı hesapları eşitlendiyse, ağ geçidi hizmetinin çalışma zamanında yerel Azure AD aramaları yapması gerekmez.If Azure AD Connect is configured and user accounts are synchronized, the gateway service doesn't need to perform local Azure AD lookups at runtime. Bunun yerine, Azure AD'de gerekli olan tüm yapılandırmayı tamamlamak için ağ hizmetinin yerel hizmet SID’sini de kullanabilirsiniz.Instead, you can simply use the local service SID for the gateway service to complete all required configuration in Azure AD. Bu belgede açıklanan Kerberos kısıtlanmış temsili yapılandırmasına ilişkin adımlar, Azure AD bağlamında gereken yapılandırma adımlarıyla aynıdır.The Kerberos constrained delegation configuration steps outlined in this article are the same as the configuration steps required in the Azure AD context. Bunlar, etki alanı hesabının yerine Azure AD’deki ağ geçidinin bilgisayar nesnesine (yerel hizmet SID’si ile tanımlanır) uygulanır.They are applied to the gateway's computer object (as identified by the local service SID) in Azure AD instead of the domain account.

SPN'leri (SetSPN) ve Kerberos kısıtlanmış temsili ayarlarını yapılandırmak için etki alanı yöneticisi haklarını almaObtain domain admin rights to configure SPNs (SetSPN) and Kerberos constrained delegation settings

SPN'leri ve Kerberos temsili ayarlarını yapılandırmak için, etki alanı yöneticisinin etki alanı yöneticisi haklarına sahip olmayan bir kişiye haklar vermekten kaçınması gerekir.To configure SPNs and Kerberos delegation settings, a domain administrator should avoid granting rights to someone that doesn't have domain admin rights. Aşağıdaki bölümde, önerilen yapılandırma adımlarını daha ayrıntılı bir biçimde inceleyeceğiz.In the following section, we cover the recommended configuration steps in more detail.

Ağ geçidi ve veri kaynağı için Kerberos kısıtlanmış temsilini yapılandırmaConfigure Kerberos constrained delegation for the gateway and data source

Gerekirse, etki alanı yöneticisi olarak ağ geçidi hizmeti etki alanı hesabı için bir SPN yapılandırın ve ağ geçidi hizmeti etki alanı hesabında temsilci seçme ayarlarını yapılandırın.If necessary, configure an SPN for the gateway service domain account as a domain administrator and configure delegation settings on the gateway service domain account.

Ağ geçidi hizmet hesabı için SPN yapılandırmaConfigure an SPN for the gateway service account

Öncelikle, ağ geçidi hizmet hesabı olarak kullanılan etki alanı hesabı için bir SPN yapılandırılmış olup olmadığını belirleyin:First, determine whether an SPN was already created for the domain account used as the gateway service account:

  1. Etki alanı yöneticisi olarak, Active Directory Kullanıcıları ve Bilgisayarları Microsoft Yönetim Konsolu (MMC) ek bileşenini başlatın.As a domain administrator, launch the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in.

  2. Sol bölmeden etki alanı adına sağ tıklayın, Bul seçeneğini belirleyin ve ağ geçidi hizmet hesabına ilişkin hesap adını girin.In the left pane, right-click the domain name, select Find, and then enter the account name of the gateway service account.

  3. Arama sonucunda, ağ geçidi hizmet hesabına sağ tıklayın ve Özellikler'i seçin.In the search result, right-click the gateway service account and select Properties.

  4. Özellikler iletişim kutusunda Temsilci Seçme sekmesi görünüyorsa SPN zaten oluşturulmuştur ve Kullanılacak Kerberos kısıtlanmış temsilinin türüne karar verme bölümüne geçebilirsiniz.If the Delegation tab is visible on the Properties dialog, then an SPN was already created and you can skip to Decide on the type of Kerberos constrained delegation to use.

  5. Özellikler iletişim kutusunda Temsilci Seçme sekmesi yoksa, bu hesapta elle SPN oluşturarak etkinleştirebilirsiniz.If there isn't a Delegation tab on the Properties dialog box, you can manually create an SPN on the account to enable it. Windows ile birlikte gelen setspn aracını kullanın. (SPN'yi oluşturmak için etki alanı yöneticisi haklarına sahip olmanız gerekir.)Use the setspn tool that comes with Windows (you need domain admin rights to create the SPN).

    Örneğin, ağ geçidi hizmet hesabının Contoso\GatewaySvc, ağ geçidi hizmetinin çalıştığı makinenin adının ise MyGatewayMachine olduğunu kabul edelim.For example, suppose the gateway service account is Contoso\GatewaySvc and the gateway service is running on the machine named MyGatewayMachine. Ağ geçidi hizmet hesabına yönelik SPN'yi ayarlamak için aşağıdaki komutu çalıştırın:To set the SPN for the gateway service account, run the following command:

    setspn -a gateway/MyGatewayMachine Contoso\GatewaySvc

    Active Directory Kullanıcıları ve Bilgisayarları MMC ek bileşenini kullanarak SPN ayarı da yapabilirsiniz.You can also set the SPN by using the Active Directory Users and Computers MMC snap-in.

Gerekirse Windows Yetkilendirme ve Erişim Grubu'na ağ geçidi hizmet hesabı eklemeAdd gateway service account to Windows Authorization and Access Group if required

Bazı senaryolarda Windows Yetkilendirme ve Erişim Grubu'na ağ geçidi hizmet hesabı eklenmesi gerekir.In certain scenarios the gateway service account must be added to the Windows Authorization and Access Group. Bu senaryolar Active Directory ortamının güvenliğini güçlendirme çalışması ve ağ geçidi hizmet hesabıyla ağ geçidinin kimliğine bürüneceği kullanıcı hesaplarının ayrı etki alanlarında veya ormanlarda olduğu durumlardır.These scenarios include security hardening of the Active Directory environment, and when the gateway service account and the user accounts that the gateway will impersonate are in separate domains or forests. Ayrıca etki alanının / ormanın güçlendirilmediği ama bunun gerekli olmadığı durumlarda da Windows Yetkilendirme ve Erişim Grubu'na ağ geçidi hizmet hesabını ekleyebilirsiniz.You can also add the gateway service account to Windows Authorization and Access Group in situations where the domain / forest has not been hardened, but it isn't required.

Daha fazla bilgi için bkz. Windows Yetkilendirme ve Erişim Grubu.For more information, see Windows Authorization and Access Group.

Bu yapılandırma adımını tamamlamak için, Active Directory kullanıcılarını içeren her etki alanında ağ geçidi hizmet hesabının kimliğe bürünebilmesini istersiniz:To complete this configuration step, for each domain that contains Active Directory users you want the gateway service account to be able to impersonate:

  1. Etki alanındaki bilgisayarda oturum açın ve Active Directory Kullanıcıları ve Bilgisayarları MMC ek bileşenini başlatın.Sign in to a computer in the domain, and launch the Active Directory Users and Computers MMC snap-in.
  2. Normalde Builtin kapsayıcısında bulunan Windows Yetkilendirme ve Erişim Grubu'nun yerini belirleyin.Locate the group Windows Authorization and Access Group, which is typically found in the Builtin container.
  3. Gruba çift tıklayın ve Üyeler sekmesine tıklayın.Double click on the group, and click on the Members tab.
  4. Ekle'ye tıklayın ve etki alanının konumunu ağ geçidi hizmet hesabının bulunduğu etki alanıyla değiştirin.Click Add, and change the domain location to the domain that the gateway service account resides in.
  5. Ağ geçidi hizmet hesabının adını yazın ve Adları Denetle'ye tıklayarak ağ geçidi hizmet hesabının erişilebilir olduğunu doğrulayın.Type in the gateway service account name and click Check Names to verify that the gateway service account is accessible.
  6. Tamam'a tıklayın.Click OK.
  7. Uygula'ya tıklayın.Click Apply.
  8. Ağ geçidi hizmetini yeniden başlatın.Restart the gateway service.

Kullanılacak Kerberos kısıtlanmış temsilinin türüne karar vermeDecide on the type of Kerberos constrained delegation to use

Standart Kerberos kısıtlanmış temsili veya kaynak temelli Kerberos kısıtlanmış temsili için temsil ayarlarını yapılandırabilirsiniz.You can configure delegation settings for either standard Kerberos constrained delegation or resource-based Kerberos constrained delegation. Veri kaynağınız ağ geçidinizden farklı bir etki alanına aitse kaynak temelli temsili kullanın (Windows Server 2012 veya sonraki bir sürümü gerektirir).Use resource-based delegation (requires Windows Server 2012 or later) if your data source belongs to a different domain than your gateway. Temsile yönelik iki yaklaşım arasındaki farklar hakkında daha fazla bilgi için bkz. Kerberos kısıtlanmış temsiline genel bakış.For more information on the differences between the two approaches to delegation, see Kerberos constrained delegation overview.

Kullanmak istediğiniz yaklaşıma bağlı olarak, aşağıdaki bölümlerden birine ilerleyin.Depending on which approach you want to use, proceed to one of the following sections. Her iki bölümü de tamamlamayın:Don't complete both sections:

Ağ geçidi hizmet hesabını standart Kerberos kısıtlanmış temsili için yapılandırmaConfigure the gateway service account for standard Kerberos constrained delegation

Not

Standart Kerberos kısıtlanmış temsilini etkinleştirmek istiyorsanız bu bölümdeki adımları tamamlayın.Complete the steps in this section if you want to enable standard Kerberos constrained delegation. Aksi takdirde, kaynak temelli Kerberos kısıtlanmış temsilciyi etkinleştirmek istiyorsanız, Ağ geçidi hizmet hesabını kaynak temelli Kerberos kısıtlanmış temsili için yapılandırma adımlarını tamamlayın.Otherwise, if you want to enable resource-based Kerberos constrained delegation, complete the steps in Configure the gateway service account for resource-based Kerberos constrained delegation.

Şimdi ağ geçidi hizmet hesabı için temsilci ayarlarını belirleyeceğiz.We'll now set the delegation settings for the gateway service account. Bu adımları uygulamak için kullanabileceğiniz birçok araç vardır.There are multiple tools you can use to perform these steps. Burada, dizindeki bilgileri yönetmek ve yayımlamak için Active Directory Kullanıcıları ve Bilgisayarları MMC ek bileşenini kullanacağız.Here, we'll use the Active Directory Users and Computers MMC snap-in to administer and publish information in the directory. Bu ayar etki alanı denetleyicilerinde varsayılan olarak mevcuttur. Diğer makinelerde Windows Özellik yapılandırması aracılığıyla etkinleştirebilirsiniz.It's available on domain controllers by default; on other machines, you can enable it through Windows feature configuration.

Protokol geçişi ile Kerberos kısıtlanmış temsilini yapılandırmamız gerekir.We need to configure Kerberos constrained delegation with protocol transiting. Kısıtlanmış temsilde, ağ geçidinin temsilci kimlik bilgilerini sunmasına izin vereceğiniz hizmetleri açıkça belirtmeniz gerekir.With constrained delegation, you must be explicit about which services you allow the gateway to present delegated credentials to. Örneğin, ağ geçidi hizmet hesabından yapılan temsilci seçme çağrılarını yalnızca SQL Server veya SAP HANA sunucusu kabul eder.For example, only SQL Server or your SAP HANA server accepts delegation calls from the gateway service account.

Bu bölümde, temel alınan veri kaynaklarınız (SQL Server, SAP HANA, SAP BW, Teradata veya Spark vb.) için daha önce SPN yapılandırmış olduğunuz varsayılır.This section assumes you have already configured SPNs for your underlying data sources (such as SQL Server, SAP HANA, SAP BW, Teradata, or Spark). Bu veri kaynağı sunucusu SPN'lerini nasıl yapılandıracağınızı öğrenmek için ilgili veritabanı sunucusunun teknik belgelerine ve Kerberos Denetim Listem blog gönderisindeki Uygulamanız hangi SPN’yi gerektiriyor bölümüne bakın.To learn how to configure those data source server SPNs, refer to the technical documentation for the respective database server and see the section What SPN does your app require? in the My Kerberos Checklist blog post.

Sıradaki adımlar için bir ağ geçidi makinesi ve daha önce Kerberos tabanlı SSO için yapılandırılmış SQL Server çalıştıran bir veritabanı olmak üzere aynı etki alanında iki makine içeren bir şirket içi ortamını kullanacağız.In the following steps, we assume an on-premises environment with two machines in the same domain: a gateway machine and a database server running SQL Server that has already been configured for Kerberos-based SSO. Bu adımlar, veri kaynağı Kerberos tabanlı çoklu oturum açma için zaten yapılandırılmışsa desteklenen diğer veri kaynaklarından biri için benimsenebilir.The steps can be adopted for one of the other supported data sources, so long as the data source has already been configured for Kerberos-based single sign-on. Bu örnek için, aşağıdaki ayarları kullanacağız:For this example, we'll use the following settings:

  • Active Directory Etki Alanı (Netbios): ContosoActive Directory Domain (Netbios): Contoso
  • Ağ geçidi makine adı: MyGatewayMachineGateway machine name: MyGatewayMachine
  • Ağ geçidi hizmeti hesabı: Contoso\GatewaySvcGateway service account: Contoso\GatewaySvc
  • SQL Server veri kaynağı makine adı: TestSQLServerSQL Server data source machine name: TestSQLServer
  • SQL Server veri kaynağı hizmet hesabı: Contoso\SQLServiceSQL Server data source service account: Contoso\SQLService

Temsilci seçme ayarlarını yapılandırmak için şunları yapabilirsiniz:Here's how to configure the delegation settings:

  1. Etki alanı yöneticisi hakları ile Active Directory Kullanıcıları ve Bilgisayarları MMC ek bileşenini açın.With domain administrator rights, open the Active Directory Users and Computers MMC snap-in.

  2. Ağ geçidi hizmet hesabına (Contoso\GatewaySvc) sağ tıklayın ve Özellikler'i seçin.Right-click the gateway service account (Contoso\GatewaySvc), and select Properties.

  3. Temsilci Seçme sekmesini seçin.Select the Delegation tab.

  4. Bu bilgisayara yalnızca belirtilen hizmetlere temsilci seçmek için güven > Herhangi bir kimlik doğrulama protokolünü kullan seçeneğini belirleyin.Select Trust this computer for delegation to specified services only > Use any authentication protocol.

  5. Bu hesabın temsilci seçilen kimlik bilgilerini sunacağı hizmetler bölümünde Ekle'yi seçin.Under Services to which this account can present delegated credentials, select Add.

  6. Yeni iletişim kutusunda Kullanıcı/Bilgisayar'ı seçin.In the new dialog box, select Users or Computers.

  7. Veri kaynağı için hizmet hesabını girin ve ardından Tamam'ı seçin.Enter the service account for the data source, and then select OK.

    Örneğin, SQL Server veri kaynağının Contoso\SQLService gibi bir hizmet hesabı olabilir.For example, a SQL Server data source can have a service account like Contoso\SQLService. Bu hesapta veri kaynağı için uygun bir SPN zaten ayarlanmış olmalıdır.An appropriate SPN for the data source should have already been set on this account.

  8. Veritabanı sunucusu için oluşturduğunuz SPN'yi seçin.Select the SPN that you created for the database server.

    Örneğimizde SPN, MSSQLSvc ile başlar.In our example, the SPN begins with MSSQLSvc. Veritabanı hizmeti için hem FQDN hem de NetBIOS SPN'sini eklediyseniz her ikisini de seçin.If you added both the FQDN and the NetBIOS SPN for your database service, select both. Yalnızca bir tane görebilirsiniz.You might see only one.

  9. Tamam’ı seçin.Select OK.

    Şimdi hizmet listesinde ağ geçidi hizmet hesabının temsilci kimlik bilgilerini gösterebileceği SPN'yi görüyor olmalısınız.You should now see the SPN in the list of services to which the gateway service account can present delegated credentials.

    Ağ Geçidi Bağlayıcısı Özellikleri İletişim Kutusu

  10. Şimdi kurulum işlemine devam etmek için Ağ geçidi makinesinde ağ geçidi hizmet hesabına yerel ilke hakları verme bölümüne geçin.To continue the setup process, proceed to Grant the gateway service account local policy rights on the gateway machine.

Ağ geçidi hizmet hesabını kaynak temelli Kerberos kısıtlanmış temsili için yapılandırmaConfigure the gateway service account for resource-based Kerberos constrained delegation

Not

Kaynak temelli Kerberos kısıtlanmış temsilini etkinleştirmek istiyorsanız bu bölümdeki adımları tamamlayın.Complete the steps in this section if you want to enable resource-based Kerberos constrained delegation. Aksi takdirde, standart Kerberos kısıtlanmış temsilciyi etkinleştirmek istiyorsanız, Ağ geçidi hizmet hesabını standart Kerberos kısıtlanmış temsili için yapılandırma adımlarını tamamlayın.Otherwise, if you want to enable standard Kerberos constrained delegation, complete the steps in Configure the gateway service account for standard Kerberos constrained delegation.

Windows Server 2012 ve sonraki sürümlerinde çoklu oturum açma bağlantısına olanak sağlamak için, kaynak temelli Kerberos kısıtlanmış temsilini kullanın.You use resource-based Kerberos constrained delegation to enable single sign-on connectivity for Windows Server 2012 and later versions. Bu temsil türü, ön uç ve arka uç hizmetlerinin farklı etki alanlarında olmasına izin verir.This type of delegation permits front-end and back-end services to be in different domains. Bunun gerçekleşmesi için, arka uç hizmeti etki alanın ön uç hizmeti etki alanına güvenmesi gerekir.For it to work, the back-end service domain needs to trust the front-end service domain.

Sıradaki adımlar için bir ağ geçidi makinesi ve daha önce Kerberos tabanlı SSO için yapılandırılmış SQL Server çalıştıran bir veritabanı olmak üzere farklı etki alanlarında iki makine içeren bir şirket içi ortamını kullanacağız.In the following steps, we assume an on-premises environment with two machines in different domains: a gateway machine and a database server running SQL Server that has already been configured for Kerberos-based SSO. Bu adımlar, veri kaynağı Kerberos tabanlı çoklu oturum açma için zaten yapılandırılmışsa desteklenen diğer veri kaynaklarından biri için benimsenebilir.These steps can be adopted for one of the other supported data sources, so long as the data source has already been configured for Kerberos-based single sign-on. Bu örnek için, aşağıdaki ayarları kullanacağız:For this example, we'll use the following settings:

  • Active Directory frontend Domain (Netbios): ContosoFrontEndActive Directory frontend Domain (Netbios): ContosoFrontEnd
  • Active Directory backend Domain (Netbios): ContosoBackEndActive Directory backend Domain (Netbios): ContosoBackEnd
  • Ağ geçidi makine adı: MyGatewayMachineGateway machine name: MyGatewayMachine
  • Ağ geçidi hizmeti hesabı: ContosoFrontEnd\GatewaySvcGateway service account: ContosoFrontEnd\GatewaySvc
  • SQL Server veri kaynağı makine adı: TestSQLServerSQL Server data source machine name: TestSQLServer
  • SQL Server veri kaynağı hizmet hesabı: ContosoBackEnd\SQLServiceSQL Server data source service account: ContosoBackEnd\SQLService

Aşağıdaki yapılandırma adımlarını tamamlayın:Complete the following configuration steps:

  1. ContosoFrontEnd etki alanı için etki alanı denetleyicisi üzerinde Active Directory Kullanıcıları ve Bilgisayarları MMC ek bileşenini kullanın ve ağ geçidi hizmet hesabı için hiçbir temsil ayarının uygulanmadığını doğrulayın.Use the Active Directory Users and Computers MMC snap-in on the domain controller for the ContosoFrontEnd domain and verify no delegation settings are applied for the gateway service account.

    Ağ geçidi bağlayıcısı özellikleri

  2. ContosoBackEnd etki alanının etki alanı denetleyicisinde Active Directory Kullanıcıları ve Bilgisayarları'nı kullanın ve arka uç hizmet hesabına hiçbir temsil ayarının uygulanmadığını doğrulayın.Use Active Directory Users and Computers on the domain controller for the ContosoBackEnd domain and verify no delegation settings are applied for the back-end service account.

    SQL hizmeti özellikleri

  3. Hesap özelliklerinin Öznitelik Düzenleyicisi sekmesinde msDS-AllowedToActOnBehalfOfOtherIdentity özniteliğinin ayarlanmadığını doğrulayın.In the Attribute Editor tab of the account properties, verify that the msDS-AllowedToActOnBehalfOfOtherIdentity attribute isn't set.

    SQL hizmeti öznitelikleri

  4. Active Directory Kullanıcıları ve Bilgisayarları menüsünde, ContosoBackEnd etki alanının etki alanı denetleyicisi üzerinde bir grup oluşturun.In Active Directory Users and Computers, create a group on the domain controller for the ContosoBackEnd domain. GatewaySvc ağ geçidi hizmet hesabını ResourceDelGroup grubuna ekleyin.Add the GatewaySvc gateway service account to the ResourceDelGroup group.

    Grup özellikleri

  5. Bir komut istemi açın ve ContosoBackEnd etki alanının etki alanı denetleyicisinde aşağıdaki komutları çalıştırarak arka uç hizmet hesabının msDS-AllowedToActOnBehalfOfOtherIdentity özniteliğini güncelleştirin:Open a command prompt and run the following commands in the domain controller for the ContosoBackEnd domain to update the msDS-AllowedToActOnBehalfOfOtherIdentity attribute of the back-end service account:

    $c = Get-ADGroup ResourceDelGroup
    Set-ADUser SQLService -PrincipalsAllowedToDelegateToAccount $c
    
  6. Active Directory Kullanıcıları ve Bilgisayarları'nda arka uç hizmet hesabının özelliklerindeki Öznitelik Düzenleyicisi sekmesinde güncelleştirmenin yansıtıldığını doğrulayabilirsiniz.In Active Directory Users and Computers, verify that the update is reflected in the Attribute Editor tab in the properties for the back-end service account.

Ağ geçidi makinesinde ağ geçidi hizmet hesabına yerel ilke hakları vermeGrant the gateway service account local policy rights on the gateway machine

Son olarak, ağ geçidi hizmetinin çalıştırıldığı makinede (örneğimizde MyGatewayMachine), ağ geçidi hizmet hesabına Kimlik doğrulamasından sonra istemcinin özelliklerini al ve İşletim sisteminin bir parçası olarak davran (SeTcbPrivilege) yerel ilkelerini uygulayın.Finally, on the machine running the gateway service (MyGatewayMachine in our example), grant the gateway service account the local policies Impersonate a client after authentication and Act as part of the operating system (SeTcbPrivilege). Bu yapılandırmayı Yerel Grup İlkesi Düzenleyicisi (gpedit.msc) ile gerçekleştirin.Perform this configuration with the Local Group Policy Editor (gpedit.msc).

  1. Ağ geçidi makinesinde gpedit.msc dosyasını çalıştırın.On the gateway machine, run gpedit.msc.

  2. Yerel Bilgisayar İlkesi > Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları > Yerel İlkeler > Kullanıcı Hakları Ataması'na gidin.Go to Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.

    Yerel Bilgisayar İlkesi klasör yapısı

  3. Kullanıcı Hakları Ataması’nın altındaki ilke listesinden Kimlik doğrulamasından sonra istemcinin özelliklerini al seçeneğini belirleyin.Under User Rights Assignment, from the list of policies, select Impersonate a client after authentication.

    İstemci ilkesinin kimliğine bürünme

  4. İlkeye sağ tıklayın, Özellikler’i açın ve sonra hesap listesini görüntüleyin.Right-click the policy, open Properties, and then view the list of accounts.

    Liste, ağ geçidi hizmet hesabını içermelidir (kısıtlanmış temsilin türüne bağlı olarak Contoso\GatewaySvc veya ContosoFrontEnd\GatewaySvc).The list must include the gateway service account (Contoso\GatewaySvc or ContosoFrontEnd\GatewaySvc depending on the type of constrained delegation).

  5. Kullanıcı Hakları Ataması altındaki ilke listesinden İşletim sisteminin bir parçası gibi davran (SeTcbPrivilege) öğesini seçin.Under User Rights Assignment, select Act as part of the operating system (SeTcbPrivilege) from the list of policies. Ağ Geçidi hizmet hesabının hesap listesine eklendiğinden emin olun.Ensure that the gateway service account is included in the list of accounts.

  6. Şirket içi veri ağ geçidi hizmet işlemini yeniden başlatın.Restart the On-premises data gateway service process.

Ağ geçidi makinesinde kullanıcı eşleme yapılandırma parametrelerini ayarlama (gerekirse)Set user-mapping configuration parameters on the gateway machine (if necessary)

Azure AD Connect yapılandırılmamışsa, bir Power BI hizmeti kullanıcısını yerel bir Active Directory kullanıcısına eşlemek için bu adımları izleyin.If you don't have Azure AD Connect configured, follow these steps to map a Power BI service user to a local Active Directory user. Bu şekilde eşlenen her Active Directory kullanıcısının veri kaynağınıza ilişkin SSO izinlerine sahip olması gerekir.Each Active Directory user mapped in this way needs to have SSO permissions for your data source. Daha fazla bilgi için bkz. Guy in a Cube videosu.For more information, see Guy in a Cube video.

  1. Ana ağ geçidi yapılandırma dosyası olan Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll dosyasını açın.Open the main gateway configuration file, Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll. Bu dosya varsayılan olarak C:\Program Files\On-premises data gateway konumunda bulunur.By default, this file is stored at C:\Program Files\On-premises data gateway.

  2. ADUserNameLookupProperty değerini kullanılmayan bir Active Directory özniteliğine ayarlayın.Set ADUserNameLookupProperty to an unused Active Directory attribute. Sonraki adımlarda msDS-cloudExtensionAttribute1 kullanacağız.We'll use msDS-cloudExtensionAttribute1 in the steps that follow. Bu öznitelik yalnızca Windows Server 2012 ve sonraki sürümlerde kullanılabilir.This attribute is available only in Windows Server 2012 and later.

  3. ADUserNameReplacementProperty özelliğini SAMAccountName olarak ayarlayıp yapılandırma dosyasını kaydedin.Set ADUserNameReplacementProperty to SAMAccountName and then save the configuration file.

  4. Görev Yöneticisi'nin Hizmetler sekmesinden ağ geçidi hizmetine sağ tıklayın ve Yeniden Başlat’ı seçin.From the Services tab of Task Manager, right-click the gateway service and select Restart.

    Görev Yöneticisi Hizmetler sekmesi ekran görüntüsü

  5. Kerberos SSO'yu etkinleştirmek istediğiniz her Power BI hizmeti kullanıcısı için yerel bir Active Directory kullanıcısına (veri kaynağınıza ilişkin SSO iznine sahip olmalıdır) ait msDS-cloudExtensionAttribute1 özelliğini Power BI hizmeti kullanıcısının tam kullanıcı adına (UPN) ayarlayın.For each Power BI service user you want to enable Kerberos SSO for, set the msDS-cloudExtensionAttribute1 property of a local Active Directory user (with SSO permission to your data source) to the full username (UPN) of the Power BI service user. Örneğin, Power BI hizmetinde test@contoso.com olarak oturum açıp bu kullanıcıyı test@LOCALDOMAIN.COM gibi SSO izinleri olan yerel bir Active Directory kullanıcısına eşlemek istiyorsanız, bu kullanıcının msDS-cloudExtensionAttribute1 özniteliğini test@contoso.com olarak ayarlayın.For example, if you sign in to Power BI service as test@contoso.com and you want to map this user to a local Active Directory user with SSO permissions, say, test@LOCALDOMAIN.COM, set this user's msDS-cloudExtensionAttribute1 attribute to test@contoso.com.

    msDS-cloudExtensionAttribute1 özelliğini Active Directory Kullanıcıları ve Bilgisayarları MMC ek bileşenine ayarlayabilirsiniz:You can set the msDS-cloudExtensionAttribute1 property with the Active Directory Users and Computers MMC snap-in:

    1. Active Directory Kullanıcıları ve Bilgisayarları'nı etki alanı yöneticisi olarak başlatın.As a domain administrator, launch Active Directory Users and Computers.

    2. Etki alanına sağ tıklayın, Bul’u seçin ve eşlenecek yerel Active Directory kullanıcının hesap adını girin.Right-click the domain name, select Find, and then enter the account name of the local Active Directory user to map.

    3. Öznitelik Düzenleyicisi sekmesini seçin.Select the Attribute Editor tab.

      msDS-cloudExtensionAttribute1 özelliğini bulun ve çift tıklayın.Locate the msDS-cloudExtensionAttribute1 property, and double-click it. Değeri, Power BI Hizmetinde oturum açmak için kullandığınız kullanıcının tam kullanıcı adı (UPN) olarak ayarlayın.Set the value to the full username (UPN) of the user you use to sign in to the Power BI service.

    4. Tamam’ı seçin.Select OK.

      Dize Özniteliği Düzenleyicisi penceresi

    5. Apply (Uygula) seçeneğini belirleyin.Select Apply. Değer sütununda doğru değerin ayarlandığından emin olun.Verify that the correct value has been set in the Value column.

Veri kaynağına özgü yapılandırma adımlarını tamamlayınComplete data source-specific configuration steps

SAP HANA ve SAP BW, ağ geçidi aracılığıyla bu veri kaynaklarına yönelik bir SSO bağlantısı kurmadan önce karşılamanız veri kaynağına özgü ek yapılandırma gereksinimleri ve önkoşullara sahiptir.SAP HANA and SAP BW have additional data-source specific configuration requirements and prerequisites that you need to meet before you can establish an SSO connection through the gateway to these data sources. Daha fazla bilgi için SAP HANA yapılandırma ve SAP BW - CommonCryptoLib (sapcrypto.dll) yapılandırma sayfasına bakın.For more information, see SAP HANA configuration and the SAP BW - CommonCryptoLib (sapcrypto.dll) configuration page. SAP BW’yu gx64krb5 SNC kitaplığı ile kullanmak üzere yapılandırmak da mümkündür ancak bu kitaplık artık SAP tarafından desteklenmediği için önerilmez.Although it's possible to configure SAP BW for use with the gx64krb5 SNC library, this library isn't recommended because it's no longer supported by SAP. SNC kitaplığı olarak CommonCryptoLib veya gx64krb5 kullanmanız gerekir.You should use CommonCryptoLib or gx64krb5 as your SNC library. Her iki kitaplık için yapılandırma adımlarını tamamlamayın.Don't complete the configuration steps for both libraries.

Not

Diğer SNC kitaplıkları BW SSO için de çalışabilse de Microsoft tarafından resmi olarak desteklenmemektedir.Although other SNC libraries might also work for BW SSO, they aren't officially supported by Microsoft.

Bir Power BI raporunu çalıştırmaRun a Power BI report

Tüm yapılandırma adımları tamamlandıktan sonra, SSO için kullanacağınız veri kaynağını yapılandırmak üzere Power BI'daki Ağ Geçidini Yönet sayfasını kullanın.After you complete all the configuration steps, use the Manage Gateway page in Power BI to configure the data source to use for SSO. Birden fazla ağ geçidiniz varsa, Kerberos SSO için yapılandırdığınız ağ geçidini seçtiğinizden emin olun.If you have multiple gateways, ensure that you select the gateway you've configured for Kerberos SSO. Ardından veri kaynağının Gelişmiş Ayarlar bölümünde DirectQuery tabanlı raporlar için DirectQuery sorguları için Kerberos üzerinden SSO kullanın veya DirectQuery Ve İçe Aktarma sorguları için Kerberos üzerinden SSO kullan seçeneğinin ve Yenileme tabanlı raporlar için DirectQuery Ve İçe Aktarma sorguları için Kerberos üzerinden SSO kullan seçeneğinin işaretlendiğinden emin olun.Then, under Advanced Settings for the data source, ensure Use SSO via Kerberos for DirectQuery queries or Use SSO via Kerberos for DirectQuery And Import queries is checked for DirectQuery based Reports and Use SSO via Kerberos for DirectQuery And Import queries is checked for Refresh based Reports.

Gelişmiş ayarlar seçeneği

Power BI Desktop'tan DirectQuery tabanlı bir raporu yayımlar ve DirectQuery sorguları için Kerberos üzerinden SSO kullanın veya DirectQuery Ve İçe Aktarma sorguları için Kerberos üzerinden SSO kullan seçeneğinin işaretli olduğu bir veri kaynağıyla eşlerseniz bu raporda, Power BI hizmetinde oturum açan (Azure) Active Directory kullanıcısıyla eşlenmiş olan kullanıcı tarafından erişilebilen veriler kullanılır.If you publish a DirectQuery-based report from Power BI Desktop and map it to a data source having the Use SSO via Kerberos for DirectQuery queries or the Use SSO via Kerberos for DirectQuery And Import queries checked, this report would use data that is accessible to the user that's mapped to the (Azure) Active Directory user that signs in to the Power BI service.

Benzer şekilde Power BI Desktop'tan Yenileme tabanlı bir raporu yayımlar ve DirectQuery Ve İçe Aktarma sorguları için Kerberos üzerinden SSO kullan seçeneğinin işaretli olduğu bir veri kaynağıyla eşlerseniz kimlik bilgisi sağlamanız gerekmez.Similarly if you publish a Refresh-based report from Power BI desktop and map it to a data source having the Use SSO via Kerberos for DirectQuery And Import queries checked, you do not need to provide any credentials. Yenileme, veri kümesi sahibinin Active Directory bağlamında yürütülür.The refresh is executed under the the dataset owner's active directory context.

Ancak DirectQuery Ve İçe Aktarma sorguları için Kerberos üzerinden SSO kullan seçeneğinin işaretli olmadığı bir veri kaynağıyla eşlerseniz yenileme işleminde veri kaynağını oluştururken Kullanıcı adı ve Parola alanlarına girdiğiniz kimlik bilgileri kullanılır.If however, you map it to a data source where Use SSO via Kerberos for DirectQuery And Import queries isn't checked, the refresh uses the credentials that you entered in the Username and Password fields when you created the data source. Farklı bir deyişle, Kerberos SSO kullanılmaz.In other words, Kerberos SSO is not used.

Birden fazla ağ geçidiniz varsa, yayımlarken SSO için yapılandırdığınız ağ geçidini seçtiğinizden emin olun.When you publish, select the gateway you've configured for SSO if you have multiple gateways.

Bu yapılandırma çoğu durumda çalışır.This configuration works in most cases. Ancak, ortamınıza bağlı olarak Kerberos ile farklı yapılandırmalar da söz konusu olabilir.However, with Kerberos there can be different configurations depending on your environment. Rapor yüklenmiyorsa sorunun daha ayrıntılı bir şekilde incelenmesi için etki alanı yöneticinizle iletişime geçin.If the report won't load, contact your domain administrator to investigate further. Veri kaynağınız SAP BW ise, hangi SNC kitaplığını seçtiğinize bağlı olarak CommonCryptoLib ve gx64krb5/gsskrb5 için veri kaynağına özgü yapılandırma sayfalarının sorun giderme bölümlerine bakın.If your data source is SAP BW, refer to the troubleshooting sections of the data source-specific configuration pages for CommonCryptoLib and gx64krb5/gsskrb5, depending on which SNC library you've chosen.

Sonraki adımlarNext steps

Şirket içi veri ağ geçidi ve DirectQuery hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın:For more information about the on-premises data gateway and DirectQuery, see the following resources: