OAuth kullanarak Power BI Rapor Sunucusu ve SSRS’e bağlanma

  • Makale
  • Okumak için 6 dakika

Mobil raporları veya KPI’leri görüntülemek için, OAuth kullanarak Power BI Rapor Sunucusu ve Reporting Services’e bağlanabilirsiniz. Power BI Rapor Sunucusu ve SQL Server Reporting Services 2016 veya sonraki bir sürüme bağlanmak için ortamınızı Power BI mobil uygulaması ile OAuth kimlik doğrulamasını destekleyecek şekilde yapılandırmayı öğrenin.

Not

WAP kullanarak Power BI Rapor Sunucusu'nda barındırılan Power BI Raporlarını görüntüleme işlemi artık iOS ve Android uygulamalarında desteklenmektedir.

Gereksinimler

Web Uygulaması Ara Sunucusu (WAP) ve Active Directory Federasyon Hizmetleri (ADFS) sunucuları için Windows Server 2016 gerekir. Windows 2016 işlev düzeyi etki alanına sahip olmanız gerekmez.

Kullanıcıların kendi mobil uygulamalarına bir rapor sunucusu bağlantısı ekley Power BI için, onlara rapor sunucusunun giriş klasörüne erişim izni verebilirsiniz.

Etki Alanı Hizmetleri (DNS) yapılandırması

Power BI mobil uygulamasının bağlanacağı ortak URL. Örneğin, URL aşağıdakine benzer olabilir.

https://reports.contoso.com

Raporlar için DNS kaydınızı Web Uygulaması Ara Sunucusu'nun (WAP) genel IP adresine yönlendirme. Ayrıca, ADFS sunucunuz için bir genel DNS kaydı yapılandırmanız gerekir. Örneğin, ADFS sunucusunu şu URL ile yapılandırmış olabilirsiniz.

https://fs.contoso.com

WAP uygulamasının bir parçası olarak yayımlanacağından fs için DNS kaydınızı Web Uygulaması Ara Sunucusu'nun (WAP) genel IP adresine yönlendirme.

Sertifikalar

Hem WAP uygulaması hem de ADFS sunucusu için sertifikalar yapılandırmanız gerekir. Her iki sertifika da mobil cihazlarınız tarafından tanınan geçerli bir sertifikanın parçası olmalıdır.

Reporting Services yapılandırması

Reporting Services tarafında yapılandırılacak çok fazla ayar yoktur. Yalnızca şunların doğru olduğundan emin olun:

Hizmet Asıl Adı (SPN)

SPN, Kerberos kimlik doğrulaması kullanan bir hizmet için benzersiz bir tanımlayıcıdır. Rapor sunucunuz için doğru bir HTTP SPN'sine sahip olduğunuzdan emin olmanız gerekir.

Rapor sunucunuz için doğru Hizmet Asıl Adı'nı (SPN) yapılandırma hakkında bilgi almak isterseniz bkz. Register a Service Principal Name (SPN) for a Report Server (Rapor Sunucusu için bir Hizmet Asıl Adı (SPN) kaydı yapma).

Anlaşma kimlik doğrulamasını etkinleştirme

Kerberos kimlik doğrulamasını kullanmak üzere bir rapor sunucusunu etkinleştirmek için rapor sunucusunun Kimlik Doğrulaması Türü'nü RSWindowsNegotiate olacak şekilde yapılandırmanız gerekir. Bu işlemi rsreportserver.config dosyasında yapabilirsiniz.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Daha fazla bilgi için bkz. Modify a Reporting Services Configuration File (Bir Reporting Services Yapılandırma Dosyasını değiştirme) ve Configure Windows Authentication on a Report Server (Bir Rapor Sunucusunda Windows Kimlik Doğrulamasını yapılandırma).

Active Directory Federasyon Hizmetleri (ADFS) Yapılandırması

ADFS'yi ortamınızda bir Windows 2016 sunucusunda yapılandırmanız gerekir. Bu yapılandırma, Sunucu Yöneticisi aracılığıyla ve Yönet bölümündeki Rol ve Özellik Ekle seçeneği belirlenerek gerçekleştirilebilir. Daha fazla bilgi için bkz. Active Directory Federasyon Hizmetleri.

Bir uygulama grubu oluşturma

AD FS Yönetimi ekranında, Reporting Services için Power BI Mobil uygulamalarına yönelik bilgiler içeren bir uygulama grubu oluşturmak istiyorsunuz.

Uygulama grubunu, aşağıdaki adımları uygulayarak oluşturabilirsiniz.

  1. AD FS Yönetimi uygulamasında Uygulama Grupları'na sağ tıklayın ve Uygulama Grubu ekle… seçeneğini belirleyin.

    ADFS Uygulama Ekle

  2. Uygulama Grubu Sihirbazı Ekle penceresinde, uygulama grubu için bir ad belirtin ve Bir Web API'sine erişen yerel uygulama'yı seçin.

    ADFS Uygulama Grubu Sihirbazı 01

  3. İleri’yi seçin.

  4. Eklediğiniz uygulama için bir ad girin.

  5. İstemci Kimliği sizin için otomatik olarak oluşturulacak olsa da hem iOS hem de Android için 484d54fc-b481-4eee-9505-0258a1913020 girin.

  6. Aşağıdaki Yeniden Yönlendirme URL'lerini ekleyebilirsiniz:

    Power BI Mobil – iOS için girişler:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Android Uygulamaları için yalnızca aşağıdaki adımlar gerekir:
    urn:ietf:wg:oauth:2.0:oob

    ADFS Uygulama Grubu Sihirbazı 02

  7. İleri’yi seçin.

  8. Rapor Sunucunuzun URL'sini sağlayın. URL, Web Uygulaması Ara Sunucunuza yönelik dış URL'dir. Aşağıdaki biçimde olmalıdır.

    Not

    URL büyük/küçük harfe duyarlıdır!

    https://< rapor sunucusu url’si >/

    ADFS Uygulama Grubu Sihirbazı 03

  9. İleri’yi seçin.

  10. Kuruluşunuzun gereksinimlerine uyan Erişim Denetimi İlkesi'ni seçin.

    ADFS Uygulama Grubu Sihirbazı 04

  11. İleri’yi seçin.

  12. İleri’yi seçin.

  13. İleri’yi seçin.

  14. Kapat'ı seçin.

Tamamlandığında, aşağıda gösterilen şekilde uygulama grubunuzun özelliklerini görürsünüz.

ADFS Uygulama Grubu Sihirbazı

Web Uygulaması Ara Sunucusu (WAP) Yapılandırması

Ortamınızdaki bir sunucuda Web Uygulaması Ara Sunucusu (Rol) Windows Rolünü etkinleştirmeniz gerekir. Bir Windows 2016 sunucusu üzerinde olmalıdır. Daha fazla bilgi için bkz. Web Application Proxy in Windows Server 2016 (Windows Server 2016'daki Web Uygulaması Ara Sunucusu) ve Publishing Applications using AD FS Preauthentication (AD FS Ön Kimlik Doğrulaması ile Uygulama Yayımlama).

Kısıtlanmış temsil yapılandırması

OAuth kimlik doğrulamasından Windows kimlik doğrulamasına geçmek için protokol geçişi ile kısıtlanmış temsil kullanmamız gerekir. Bu, Kerberos yapılandırmasının bir parçasıdır. Reporting Services SPN'sini Reporting Services yapılandırmasında zaten tanımladık.

Active Directory'deki WAP Sunucusu makine hesabında kısıtlanmış temsil yapılandırması gerçekleştirmemiz gerekir. Active Directory'ye yönelik haklara sahip değilseniz bir etki alanı yöneticisiyle birlikte çalışmanız gerekebilir.

Kısıtlanmış temsil yapılandırması gerçekleştirmek için aşağıdaki adımları uygulamanız gerekir.

  1. Active Directory araçlarının yüklü olduğu bir makinede Active Directory Kullanıcıları ve Bilgisayarları'nı başlatın.

  2. WAP sunucunuzun makine hesabını bulun. Varsayılan olarak bu, bilgisayarlar kapsayıcısındadır.

  3. WAP sunucusuna sağ tıklayıp Özellikler seçeneğine gidin.

  4. Temsilci Seçme sekmesini seçin.

  5. Bu bilgisayara yalnızca belirtilen hizmetlere temsilci seçmek için güven ve ardından Herhangi bir kimlik doğrulama protokolünü kullan seçeneklerini belirleyin.

    WAP Kısıtlı

    Bu işlem, bu WAP Sunucusu makine hesabı için kısıtlanmış temsili ayarlar. Ardından, bu makinenin temsilci olarak seçebileceği hizmetleri belirtmemiz gerekir.

  6. Hizmetler kutusu altındaki Ekle... seçeneğini belirleyin.

    WAP Kısıtlı 02

  7. Kullanıcı/Bilgisayar... seçeneğini belirleyin.

  8. Reporting Services için kullandığınız hizmet hesabını girin. Bu hesap, Reporting Services yapılandırmasında SPN'yi eklediğiniz hesaptır.

  9. Reporting Services SPN'sini seçip Tamam seçeneğini belirleyin.

    Not

    Yalnızca NetBIOS SPN'sini görebilirsiniz. Varsa hem NetBIOS hem de FQDN SPN'si seçilir.

    WAP Kısıtlı 03

  10. Genişletilmiş onay kutusu işaretli olduğunda sonuç aşağıdaki gibi görünür.

    WAP Kısıtlı 04

  11. Tamam’ı seçin.

WAP Uygulaması ekleme

Report Access Management Console'dan (Rapor Erişimi Yönetim Konsolu) uygulama yayımlayabiliyor olsanız da uygulamayı PowerShell aracılığıyla oluşturmak istiyoruz. Uygulama ekleme komutu aşağıdaki gibidir.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parametre Yorumlar
ADFSRelyingPartyName ADFS'de Uygulama Grubu'nun parçası olarak oluşturduğunuz WEB API'si adı.
ExternalCertificateThumbprint Dış kullanıcılar için kullanılacak sertifika. Sertifikanın mobil cihazlarda geçerli olması ve güvenilir bir sertifika yetkilisi tarafından verilmiş olması önemlidir.
BackendServerUrl WAP sunucusundan Rapor Sunucusu'na bağlanılmasını sağlayan URL. WAP sunucusu bir DMZ ise bir tam etki alanı adı kullanmanız gerekebilir. Bu URL'yi WAP sunucusundaki web tarayıcısından açabileceğinizden emin olun.
BackendServerAuthenticationSPN Bu, Reporting Services yapılandırmasının parçası olarak oluşturduğunuz SPN.

WAP Uygulaması için Tümleşik Kimlik Doğrulaması ayarlama

WAP Uygulaması'nı ekledikten sonra BackendServerAuthenticationMode ayarını IntegratedWindowsAuthentication'ı kullanabilecek şekilde yapmanız gerekir. Bunu ayarlamak için WAP Uygulaması'ndan kimlik bilgisini edinmeniz gerekir.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Uygulama Grubu Ekleme

BackendServerAuthenticationMode'u ayarlamak için WAP Uygulaması Kimliği'ni kullanarak aşağıdaki komutu çalıştırın.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Uygulama Grubu Ekleme sihirbazı

Power BI Mobil Uygulaması ile bağlanma

Power BI mobil uygulamasında Reporting Services örneğinize bağlanmak istiyorsunuz. Bunun için WAP Uygulamanıza yönelik Dış URL'yi sağlayın.

Sunucu adresini yazın

Bağlan'ı seçtiğinizde ADFS oturum açma sayfasına yönlendirilirsiniz. Etki alanınız için geçerli olan kimlik bilgilerini girin.

ADFS'de oturum açma

Oturum aç'ı seçtikten sonra Reporting Services sunucunuzdaki öğeleri görürsünüz.

Çok faktörlü kimlik doğrulaması

Ortamınıza yönelik ek güvenlik sağlamak için çok faktörlü kimlik doğrulamasını etkinleştirebilirsiniz. Daha fazla bilgi için bkz. Configure AD FS 2016 and Azure MFA (AD FS 2016 ve Azure MFA'yı yapılandırma).

Sorun giderme

"SSRS sunucusunda oturum açılamadı" hatasını alıyorsunuz

"SSRS sunucusunda oturum açılamadı" hatası

Fiddler'i mobil cihazlarınız için bir ara sunucu görevi görecek şekilde ayarlayarak isteğin ne ölçüde başarılı olduğunu görebilirsiniz. Telefonunuz için bir Fiddler ara sunucusu etkinleştirmek üzere Fiddler çalıştıran makinede iOS ve Android için CertMaker kurulumunu yapmanız gerekir. Eklenti, Fiddler için Telerik tarafından sağlanır.

Fiddler kullandığınızda oturum açma işlemi başarılı olursa WAP uygulaması veya ADFS sunucusu ile ilgili bir sertifika sorununuz olabilir.

Sonraki adımlar

Register a Service Principal Name (SPN) for a Report Server (Rapor Sunucusu için bir Hizmet Asıl Adı (SPN) kaydı yapma)
Modify a Reporting Services Configuration File (Bir Reporting Services Yapılandırma Dosyasını değiştirme)
Configure Windows Authentication on a Report Server (Bir Rapor Sunucusunda Windows Kimlik Doğrulamasını yapılandırma)
Active Directory Federation Services (Active Directory Federasyon Hizmetleri)
Web Application Proxy in Windows Server 2016 (Windows Server 2016'daki Web Uygulaması Ara Sunucusu)
Publishing Applications using AD FS Preauthentication (AD FS Ön Kimlik Doğrulaması ile Uygulama Yayımlama)
Configure AD FS 2016 and Azure MFA (AD FS 2016 ve Azure MFA'yı yapılandırma)
Başka bir sorunuz mu var? Power BI Topluluğu'na başvurun