Power BI Rapor Sunucusu ve SSRS'ye bağlanmak için OAuth kullanma

  • Makale

Mobil raporları veya KPI'leri görüntülemek üzere Power BI Rapor Sunucusu ve Reporting Services'e bağlanmak için OAuth kullanabilirsiniz. Power BI Rapor Sunucusu ve SQL Server Reporting Services 2016 veya sonraki sürümlerine bağlanmak için Ortamınızı Power BI mobil uygulamasıyla OAuth kimlik doğrulamasını destekleyecek şekilde yapılandırmayı öğrenin.

Not

Power BI Rapor Sunucusu'de barındırılan Power BI Raporlarının kimlik doğrulaması için WAP kullanılarak görüntülenmesi artık iOS ve Android uygulamaları için desteklenmektedir.

Gereksinimler

Web Uygulama Ara Sunucusu (WAP) ve Active Directory Federasyon Hizmetleri (AD FS) (ADFS) sunucuları için Windows Server 2016 gereklidir. Windows 2016 işlev düzeyi etki alanınız olması gerekmez.

Kullanıcıların Power BI mobil uygulamalarına bir rapor sunucusu bağlantısı ekleyebilmeleri için rapor sunucusunun giriş klasörüne erişim izni vermelisiniz.

Etki Alanı Adı Hizmetleri (DNS) yapılandırması

Genel URL, Power BI mobil uygulamasının bağlanacağı url olacaktır. Örneğin, aşağıdakine benzer görünebilir.

https://reports.contoso.com

Web Uygulama Ara Sunucusu (WAP) sunucusunun genel IP adresine raporlar için DNS kaydınız. Ayrıca, ADFS sunucunuz için bir genel DNS kaydı yapılandırmanız gerekir. Örneğin, ADFS sunucusunu aşağıdaki URL ile yapılandırmış olabilirsiniz.

https://fs.contoso.com

Fs için DNS kaydınız, WAP uygulamasının bir parçası olarak yayımlanacağından Web Uygulama Ara Sunucusu (WAP) sunucusunun genel IP adresine.

Sertifikalar

Hem WAP uygulaması hem de ADFS sunucusu için sertifikaları yapılandırmanız gerekir. Bu sertifikaların her ikisi de mobil cihazlarınızın tanıdığı geçerli bir sertifika yetkilisinin parçası olmalıdır.

Reporting Services yapılandırması

Reporting Services tarafında yapılandıracak çok fazla şey yoktur. Yalnızca şunun emin olmanız gerekir:

Hizmet Asıl Adı (SPN)

SPN, Kerberos kimlik doğrulaması kullanan bir hizmetin benzersiz tanımlayıcısıdır. Rapor sunucunuz için uygun bir HTTP SPN'niz olduğundan emin olmanız gerekir.

Rapor sunucunuz için uygun Hizmet Asıl Adını (SPN) yapılandırma hakkında bilgi için bkz . Rapor Sunucusu için Hizmet Asıl Adı (SPN) kaydetme.

Anlaşma kimlik doğrulamasını etkinleştirme

Bir rapor sunucusunun Kerberos kimlik doğrulamasını kullanmasını sağlamak için, rapor sunucusunun Kimlik Doğrulama Türünü RSWindowsNegotiate olacak şekilde yapılandırmanız gerekir. Bunu rsreportserver.config dosyasında yaparsınız.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Daha fazla bilgi için bkz . Reporting Services Yapılandırma Dosyasını Değiştirme ve Rapor Sunucusunda Windows Kimlik Doğrulamasını Yapılandırma.

Active Directory Federasyon Hizmetleri (AD FS) (ADFS) Yapılandırması

Ortamınızdaki bir Windows 2016 sunucusunda ADFS'yi yapılandırmanız gerekir. Yapılandırma, Sunucu Yöneticisi ve Yönet altında Rol ve Özellik Ekle'yi seçerek yapılabilir. Daha fazla bilgi için bkz. Active Directory Federasyon Hizmetleri (AD FS).

Uygulama grubu oluşturma

AD FS Yönetimi ekranında, Reporting Services için Power BI Mobil uygulamalarıyla ilgili bilgileri içerecek bir uygulama grubu oluşturmak istiyorsunuz.

Aşağıdaki adımlarla uygulama grubunu oluşturabilirsiniz.

  1. AD FS Yönetim uygulamasında Uygulama Grupları'na sağ tıklayın ve Uygulama Grubu Ekle... öğesini seçin.

    ADFS Add Application

  2. Uygulama Grubu Ekleme Sihirbazı'nda, uygulama grubu için bir ad sağlayın ve Web API'sine erişen yerel uygulama'yı seçin.

    ADFS Application Group Wizard 01

  3. İleri'yi seçin.

  4. Eklediğiniz uygulama için bir ad belirtin.

  5. İstemci Kimliği sizin için otomatik olarak oluşturulurken, hem iOS hem de Android için 484d54fc-b481-4eee-9505-0258a1913020 girin.

  6. Aşağıdaki Yeniden Yönlendirme URL'lerini eklemek istiyorsunuz:

    Power BI Mobil – iOS için girişler:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Android Uygulamaları yalnızca aşağıdaki adımlara ihtiyaç duyar:
    urn:ietf:wg:oauth:2.0:oob

    ADFS Application Group Wizard 02

  7. İleri'yi seçin.

  8. Rapor Sunucunuzun URL'sini sağlayın. URL, Web Uygulama Ara Sunucusu isabet edecek dış URL'dir. Aşağıdaki biçimde olmalıdır.

    Not

    Bu URL büyük/küçük harfe duyarlıdır!

    https://<report server url>/reports

    ADFS Application Group Wizard 03

  9. İleri'yi seçin.

  10. Kuruluşunuzun gereksinimlerine uygun Erişim Denetimi İlkesi'ni seçin.

    ADFS Application Group Wizard 04

  11. İleri'yi seçin.

  12. İleri'yi seçin.

  13. İleri'yi seçin.

  14. Kapat'ı seçin.

Tamamlandığında, uygulama grubunuzun özelliklerini aşağıdakine benzer şekilde görmeniz gerekir.

ADFS Application Group Wizard

Web Uygulama Ara Sunucusu (WAP) Yapılandırması

Ortamınızdaki bir sunucuda Web Uygulama Ara Sunucusu (Rol) Windows rolünü etkinleştirmek istiyorsunuz. Windows 2016 sunucusunda olmalıdır. Daha fazla bilgi için bkz. Windows Server 2016'da Web Uygulama Ara Sunucusu ve AD FS Ön Kimlik Doğrulaması Kullanarak Uygulamaları Yayımlama.

Kısıtlanmış temsilci yapılandırması

OAuth kimlik doğrulamasından Windows kimlik doğrulamasına geçiş yapmak için protokol geçişiyle kısıtlanmış temsilci kullanmamız gerekir. Bu, Kerberos yapılandırmasının bir parçasıdır. Reporting Services SPN'sini Reporting Services yapılandırması içinde zaten tanımladık.

Active Directory içindeki WAP Sunucusu makine hesabında kısıtlanmış temsilci yapılandırmamız gerekiyor. Active Directory haklarınız yoksa bir etki alanı yöneticisiyle çalışmanız gerekebilir.

Kısıtlanmış temsili yapılandırmak için aşağıdaki adımları uygulamak istiyorsunuz.

  1. Active Directory araçlarının yüklü olduğu bir makinede Active Directory Kullanıcıları ve Bilgisayarları başlatın.

  2. WAP sunucunuz için makine hesabını bulun. Varsayılan olarak, bilgisayarlar kapsayıcısında olur.

  3. WAP sunucusuna sağ tıklayın ve Özellikler'e gidin.

  4. Temsilci Seçme sekmesini seçin.

  5. Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven'i seçin ve ardından Herhangi bir kimlik doğrulama protokolü kullan'ı seçin.

    WAP Constrained

    Bu, bu WAP Sunucusu makine hesabı için kısıtlanmış temsili ayarlar. Daha sonra bu makinenin temsilci olarak atamasına izin verilen hizmetleri belirtmemiz gerekir.

  6. Hizmetler kutusunun altında Ekle... öğesini seçin.

    WAP Constrained 02

  7. Kullanıcılar veya Bilgisayarlar'ı seçin ...

  8. Reporting Services için kullandığınız hizmet hesabını girin. Bu hesap, Reporting Services yapılandırması içinde SPN'yi eklediğiniz hesaptır.

  9. Reporting Services için SPN'yi ve ardından Tamam'ı seçin.

    Not

    Yalnızca NetBIOS SPN'sini görebilirsiniz. Aslında her ikisi de varsa hem NetBIOS hem de FQDN SPN'lerini seçer.

    WAP Constrained 03

  10. Genişletilmiş onay kutusu işaretlendiğinde sonuç aşağıdakine benzer olmalıdır.

    WAP Constrained 04

  11. Tamam'ı seçin.

WAP Uygulaması Ekleme

Rapor Erişimi Yönetim Konsolu içinde uygulama yayımlayabilmenize karşın, uygulamayı PowerShell aracılığıyla oluşturmak istiyoruz. Uygulamayı ekleme komutu aşağıdadır.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parametre Açıklamalar
ADFSRelyingPartyName ADFS içindeki Uygulama Grubu'nun bir parçası olarak oluşturduğunuz Web API'sinin adı.
ExternalCertificateThumbprint Dış kullanıcılar için kullanılacak sertifika. Sertifikanın mobil cihazlarda geçerli olması ve güvenilir bir sertifika yetkilisinden gelmesi önemlidir.
BackendServerUrl WAP sunucusundan Rapor Sunucusu URL'si. WAP sunucusu bir DMZ'deyse, tam etki alanı adı kullanmanız gerekebilir. WAP sunucusundaki web tarayıcısından bu URL'ye basabildiğinizden emin olun.
BackendServerAuthenticationSPN Reporting Services yapılandırmasının bir parçası olarak oluşturduğunuz SPN.

WAP Uygulaması için Tümleşik Kimlik Doğrulamasını Ayarlama

WAP Uygulamasını ekledikten sonra, BackendServerAuthenticationMode değerini IntegratedWindowsAuthentication kullanacak şekilde ayarlamanız gerekir. Bunu ayarlamak için WAP Uygulamasının kimliğine ihtiyacınız vardır.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Add Application Group

WAP Uygulamasının kimliğini kullanarak BackendServerAuthenticationMode'u ayarlamak için aşağıdaki komutu çalıştırın.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Add Application Group wizard

Power BI Mobil Uygulaması ile Bağlan

Power BI mobil uygulamasında Reporting Services örneğine bağlanmak istiyorsunuz. Bunu yapmak için WAP Uygulamanızın Dış URL'sini sağlayın.

Type the server address

Bağlan seçtiğinizde ADFS oturum açma sayfanıza yönlendirilirsiniz. Etki alanınız için geçerli kimlik bilgilerini girin.

Sign-in to ADFS

Oturum aç'ı seçtikten sonra Reporting Services sunucunuzdaki öğeleri görürsünüz.

Çok faktörlü kimlik doğrulaması

Ortamınız için ek güvenlik sağlamak için çok faktörlü kimlik doğrulamasını etkinleştirebilirsiniz. Daha fazla bilgi edinmek için bkz . AZURE MFA'yı AD FS ile kimlik doğrulama sağlayıcısı olarak yapılandırma.

Sorun giderme

"SSRS sunucusunda oturum açılamadı" hatasını alıyorsunuz

fiddler'ı mobil cihazlarınız için ara sunucu olarak davranarak isteğin ne kadar ileriye doğru yaptığını görmek için ayarlayabilirsiniz. Telefonunuz için bir Fiddler proxy'sini etkinleştirmek için Fiddler çalıştıran makinede iOS ve Android için CertMaker'ı ayarlamanız gerekir. Eklenti, Fiddler için Telerik'ten alınmıştı.

Fiddler kullanırken oturum açma işlemi başarıyla çalışıyorsa WAP uygulaması veya ADFS sunucusuyla ilgili bir sertifika sorununuz olabilir.

İlgili içerik