Power BI Rapor Sunucusu ve SSRS'ye bağlanmak için OAuth kullanma
Mobil raporları veya KPI'leri görüntülemek üzere Power BI Rapor Sunucusu ve Reporting Services'e bağlanmak için OAuth kullanabilirsiniz. Power BI Rapor Sunucusu ve SQL Server Reporting Services 2016 veya sonraki sürümlerine bağlanmak için Ortamınızı Power BI mobil uygulamasıyla OAuth kimlik doğrulamasını destekleyecek şekilde yapılandırmayı öğrenin.
Not
Power BI Rapor Sunucusu'de barındırılan Power BI Raporlarının kimlik doğrulaması için WAP kullanılarak görüntülenmesi artık iOS ve Android uygulamaları için desteklenmektedir.
Gereksinimler
Web Uygulama Ara Sunucusu (WAP) ve Active Directory Federasyon Hizmetleri (AD FS) (ADFS) sunucuları için Windows Server 2016 gereklidir. Windows 2016 işlev düzeyi etki alanınız olması gerekmez.
Kullanıcıların Power BI mobil uygulamalarına bir rapor sunucusu bağlantısı ekleyebilmeleri için rapor sunucusunun giriş klasörüne erişim izni vermelisiniz.
Etki Alanı Adı Hizmetleri (DNS) yapılandırması
Genel URL, Power BI mobil uygulamasının bağlanacağı url olacaktır. Örneğin, aşağıdakine benzer görünebilir.
https://reports.contoso.com
Web Uygulama Ara Sunucusu (WAP) sunucusunun genel IP adresine raporlar için DNS kaydınız. Ayrıca, ADFS sunucunuz için bir genel DNS kaydı yapılandırmanız gerekir. Örneğin, ADFS sunucusunu aşağıdaki URL ile yapılandırmış olabilirsiniz.
https://fs.contoso.com
Fs için DNS kaydınız, WAP uygulamasının bir parçası olarak yayımlanacağından Web Uygulama Ara Sunucusu (WAP) sunucusunun genel IP adresine.
Sertifikalar
Hem WAP uygulaması hem de ADFS sunucusu için sertifikaları yapılandırmanız gerekir. Bu sertifikaların her ikisi de mobil cihazlarınızın tanıdığı geçerli bir sertifika yetkilisinin parçası olmalıdır.
Reporting Services yapılandırması
Reporting Services tarafında yapılandıracak çok fazla şey yoktur. Yalnızca şunun emin olmanız gerekir:
- Uygun Kerberos kimlik doğrulamasının gerçekleşmesini sağlamak için geçerli bir Hizmet Asıl Adı (SPN) vardır.
- Reporting Services sunucusu kimlik doğrulaması anlaşması için etkinleştirildi.
- Kullanıcılar rapor sunucusunun giriş klasörüne erişebilir.
Hizmet Asıl Adı (SPN)
SPN, Kerberos kimlik doğrulaması kullanan bir hizmetin benzersiz tanımlayıcısıdır. Rapor sunucunuz için uygun bir HTTP SPN'niz olduğundan emin olmanız gerekir.
Rapor sunucunuz için uygun Hizmet Asıl Adını (SPN) yapılandırma hakkında bilgi için bkz . Rapor Sunucusu için Hizmet Asıl Adı (SPN) kaydetme.
Anlaşma kimlik doğrulamasını etkinleştirme
Bir rapor sunucusunun Kerberos kimlik doğrulamasını kullanmasını sağlamak için, rapor sunucusunun Kimlik Doğrulama Türünü RSWindowsNegotiate olacak şekilde yapılandırmanız gerekir. Bunu rsreportserver.config dosyasında yaparsınız.
<AuthenticationTypes>
<RSWindowsNegotiate />
<RSWindowsKerberos />
<RSWindowsNTLM />
</AuthenticationTypes>
Daha fazla bilgi için bkz . Reporting Services Yapılandırma Dosyasını Değiştirme ve Rapor Sunucusunda Windows Kimlik Doğrulamasını Yapılandırma.
Active Directory Federasyon Hizmetleri (AD FS) (ADFS) Yapılandırması
Ortamınızdaki bir Windows 2016 sunucusunda ADFS'yi yapılandırmanız gerekir. Yapılandırma, Sunucu Yöneticisi ve Yönet altında Rol ve Özellik Ekle'yi seçerek yapılabilir. Daha fazla bilgi için bkz. Active Directory Federasyon Hizmetleri (AD FS).
Uygulama grubu oluşturma
AD FS Yönetimi ekranında, Reporting Services için Power BI Mobil uygulamalarıyla ilgili bilgileri içerecek bir uygulama grubu oluşturmak istiyorsunuz.
Aşağıdaki adımlarla uygulama grubunu oluşturabilirsiniz.
AD FS Yönetim uygulamasında Uygulama Grupları'na sağ tıklayın ve Uygulama Grubu Ekle... öğesini seçin.
Uygulama Grubu Ekleme Sihirbazı'nda, uygulama grubu için bir ad sağlayın ve Web API'sine erişen yerel uygulama'yı seçin.
İleri'yi seçin.
Eklediğiniz uygulama için bir ad belirtin.
İstemci Kimliği sizin için otomatik olarak oluşturulurken, hem iOS hem de Android için 484d54fc-b481-4eee-9505-0258a1913020 girin.
Aşağıdaki Yeniden Yönlendirme URL'lerini eklemek istiyorsunuz:
Power BI Mobil – iOS için girişler:
msauth://code/mspbi-adal://com.microsoft.powerbimobile
msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
mspbi-adal://com.microsoft.powerbimobile
mspbi-adalms://com.microsoft.powerbimobilemsAndroid Uygulamaları yalnızca aşağıdaki adımlara ihtiyaç duyar:
urn:ietf:wg:oauth:2.0:oobİleri'yi seçin.
Rapor Sunucunuzun URL'sini sağlayın. URL, Web Uygulama Ara Sunucusu isabet edecek dış URL'dir. Aşağıdaki biçimde olmalıdır.
Not
Bu URL büyük/küçük harfe duyarlıdır!
https://<report server url>/reports
İleri'yi seçin.
Kuruluşunuzun gereksinimlerine uygun Erişim Denetimi İlkesi'ni seçin.
İleri'yi seçin.
İleri'yi seçin.
İleri'yi seçin.
Kapat'ı seçin.
Tamamlandığında, uygulama grubunuzun özelliklerini aşağıdakine benzer şekilde görmeniz gerekir.
Web Uygulama Ara Sunucusu (WAP) Yapılandırması
Ortamınızdaki bir sunucuda Web Uygulama Ara Sunucusu (Rol) Windows rolünü etkinleştirmek istiyorsunuz. Windows 2016 sunucusunda olmalıdır. Daha fazla bilgi için bkz. Windows Server 2016'da Web Uygulama Ara Sunucusu ve AD FS Ön Kimlik Doğrulaması Kullanarak Uygulamaları Yayımlama.
Kısıtlanmış temsilci yapılandırması
OAuth kimlik doğrulamasından Windows kimlik doğrulamasına geçiş yapmak için protokol geçişiyle kısıtlanmış temsilci kullanmamız gerekir. Bu, Kerberos yapılandırmasının bir parçasıdır. Reporting Services SPN'sini Reporting Services yapılandırması içinde zaten tanımladık.
Active Directory içindeki WAP Sunucusu makine hesabında kısıtlanmış temsilci yapılandırmamız gerekiyor. Active Directory haklarınız yoksa bir etki alanı yöneticisiyle çalışmanız gerekebilir.
Kısıtlanmış temsili yapılandırmak için aşağıdaki adımları uygulamak istiyorsunuz.
Active Directory araçlarının yüklü olduğu bir makinede Active Directory Kullanıcıları ve Bilgisayarları başlatın.
WAP sunucunuz için makine hesabını bulun. Varsayılan olarak, bilgisayarlar kapsayıcısında olur.
WAP sunucusuna sağ tıklayın ve Özellikler'e gidin.
Temsilci Seçme sekmesini seçin.
Yalnızca belirtilen hizmetlere temsilci seçmek için bu bilgisayara güven'i seçin ve ardından Herhangi bir kimlik doğrulama protokolü kullan'ı seçin.
Bu, bu WAP Sunucusu makine hesabı için kısıtlanmış temsili ayarlar. Daha sonra bu makinenin temsilci olarak atamasına izin verilen hizmetleri belirtmemiz gerekir.
Hizmetler kutusunun altında Ekle... öğesini seçin.
Kullanıcılar veya Bilgisayarlar'ı seçin ...
Reporting Services için kullandığınız hizmet hesabını girin. Bu hesap, Reporting Services yapılandırması içinde SPN'yi eklediğiniz hesaptır.
Reporting Services için SPN'yi ve ardından Tamam'ı seçin.
Not
Yalnızca NetBIOS SPN'sini görebilirsiniz. Aslında her ikisi de varsa hem NetBIOS hem de FQDN SPN'lerini seçer.
Genişletilmiş onay kutusu işaretlendiğinde sonuç aşağıdakine benzer olmalıdır.
Tamam'ı seçin.
WAP Uygulaması Ekleme
Rapor Erişimi Yönetim Konsolu içinde uygulama yayımlayabilmenize karşın, uygulamayı PowerShell aracılığıyla oluşturmak istiyoruz. Uygulamayı ekleme komutu aşağıdadır.
Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parametre | Açıklamalar |
---|---|
ADFSRelyingPartyName | ADFS içindeki Uygulama Grubu'nun bir parçası olarak oluşturduğunuz Web API'sinin adı. |
ExternalCertificateThumbprint | Dış kullanıcılar için kullanılacak sertifika. Sertifikanın mobil cihazlarda geçerli olması ve güvenilir bir sertifika yetkilisinden gelmesi önemlidir. |
BackendServerUrl | WAP sunucusundan Rapor Sunucusu URL'si. WAP sunucusu bir DMZ'deyse, tam etki alanı adı kullanmanız gerekebilir. WAP sunucusundaki web tarayıcısından bu URL'ye basabildiğinizden emin olun. |
BackendServerAuthenticationSPN | Reporting Services yapılandırmasının bir parçası olarak oluşturduğunuz SPN. |
WAP Uygulaması için Tümleşik Kimlik Doğrulamasını Ayarlama
WAP Uygulamasını ekledikten sonra, BackendServerAuthenticationMode değerini IntegratedWindowsAuthentication kullanacak şekilde ayarlamanız gerekir. Bunu ayarlamak için WAP Uygulamasının kimliğine ihtiyacınız vardır.
Get-WebApplicationProxyApplication "Contoso Reports" | fl
WAP Uygulamasının kimliğini kullanarak BackendServerAuthenticationMode'u ayarlamak için aşağıdaki komutu çalıştırın.
Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication
Power BI Mobil Uygulaması ile Bağlan
Power BI mobil uygulamasında Reporting Services örneğine bağlanmak istiyorsunuz. Bunu yapmak için WAP Uygulamanızın Dış URL'sini sağlayın.
Bağlan seçtiğinizde ADFS oturum açma sayfanıza yönlendirilirsiniz. Etki alanınız için geçerli kimlik bilgilerini girin.
Oturum aç'ı seçtikten sonra Reporting Services sunucunuzdaki öğeleri görürsünüz.
Çok faktörlü kimlik doğrulaması
Ortamınız için ek güvenlik sağlamak için çok faktörlü kimlik doğrulamasını etkinleştirebilirsiniz. Daha fazla bilgi edinmek için bkz . AZURE MFA'yı AD FS ile kimlik doğrulama sağlayıcısı olarak yapılandırma.
Sorun giderme
"SSRS sunucusunda oturum açılamadı" hatasını alıyorsunuz
fiddler'ı mobil cihazlarınız için ara sunucu olarak davranarak isteğin ne kadar ileriye doğru yaptığını görmek için ayarlayabilirsiniz. Telefonunuz için bir Fiddler proxy'sini etkinleştirmek için Fiddler çalıştıran makinede iOS ve Android için CertMaker'ı ayarlamanız gerekir. Eklenti, Fiddler için Telerik'ten alınmıştı.
Fiddler kullanırken oturum açma işlemi başarıyla çalışıyorsa WAP uygulaması veya ADFS sunucusuyla ilgili bir sertifika sorununuz olabilir.
İlgili içerik
- Register a Service Principal Name (SPN) for a Report Server (Rapor Sunucusu için bir Hizmet Asıl Adı (SPN) kaydı yapma)
- Reporting Services Yapılandırma Dosyasını Değiştirme
- Rapor Sunucusunda Windows Kimlik Doğrulamayı Yapılandırma
- Active Directory Federasyon Hizmetleri
- Windows Server 2016'da Web Uygulama Ara Sunucusu
- AD FS Ön Kimlik Doğrulaması Kullanarak Uygulama Yayımlama
- Configure AD FS 2016 and Azure MFA (AD FS 2016 ve Azure MFA'yı yapılandırma)
Başka sorunuz var mı? Power BI Topluluğu'nu deneyin