Zdieľať cez

Pripojenie k Power BI Report Serveru a ŠSRS z mobilných aplikácií Power BI

  • Článok

V tomto článku sa popisuje konfigurácia vášho prostredia na podporu overovania OAuth s mobilnou aplikáciou Power BI na pripojenie k power BI Report Serveru a službe SQL Server Reporting Services 2016 alebo novšej verzii.

Požiadavky

Windows Server sa vyžaduje pre servery WAP a Active Directory Federation Services (ADFS). Nie je potrebné mať funkčnú doménu úrovne Windowsu.

Aby mohli používatelia pridať pripojenie servera zostáv k svojej mobilnej aplikácii Power BI, musíte im udeliť prístup k domovskou zložkou servera zostáv.

Nota

Od 1. marca 2025 sa už aplikácia Power BI Mobile nebude môcť pripojiť k serveru zostáv pomocou protokolu OAuth prostredníctvom AD FS nakonfigurovaného v systéme Windows Server 2016. Zákazníci, ktorí používajú OAuth s AD FS nakonfigurovaným v systéme Windows Server 2016 a WAP , budú musieť inovovať svoj server AD FS na Windows Server 2019 alebo novší alebo používať serverom proxy aplikácie Microsoft Entra. Po inovácii Windows Servera sa používatelia mobilnej aplikácie Power BI Mobile budú musieť znova prihlásiť na server zostáv.

Táto inovácia sa vyžaduje zmenou knižnice overenia, ktorú používa mobilná aplikácia. Táto zmena v žiadnom prípade neovplyvňuje podporu spoločnosti Microsoft pre AD FS vo Windows Serveri 2016, ale skôr len schopnosť mobilnej aplikácie Power BI pripojiť sa k nemu.

Konfigurácia služby DNS

Verejná URL adresa je URL adresa, ku ktorou sa bude pripájať mobilná aplikácia Power BI. Môže to napríklad vyzerať podobne ako na nasledujúcom obrázku.

https://reports.contoso.com

Váš záznam DNS pre zostavy na verejnú IP adresu servera WAP. Tiež je potrebné nakonfigurovať verejný záznam DNS pre server AD FS. Môžete mať napríklad nakonfigurovaný server AD FS s nasledujúcou URL adresou.

https://fs.contoso.com

Váš záznam DNS pre fs na verejnú IP adresu servera WEB Application Proxy (WAP), keďže bude publikovaná ako súčasť aplikácie WAP.

Certifikáty

Pre aplikáciu WAP aj server AD FS je potrebné nakonfigurovať certifikáty. Oba tieto certifikáty musia byť súčasťou platnej certifikačnej autority, ktorú rozpoznávajú vaše mobilné zariadenia.

Konfigurácia služby Reporting Services

Na strane služby Reporting Services netreba konfigurovať veľa. Musíte sa len uistiť, že:

Hlavný názov služby (SPN)

SPN je jedinečný identifikátor pre službu, ktorá používa overovanie Kerberos. Musíte skontrolovať, či máte správny názov HTTP SPN pre svoj server zostáv.

Informácie o tom, ako nakonfigurovať správny hlavný názov služby (SPN) pre server zostáv, nájdete v téme Registrácia hlavného názvu služby (SPN) pre server zostáv.

Povolenie vyjednať overenie

Ak chcete povoliť serveru zostáv používanie overovania Kerberos, musíte nakonfigurovať typ overovania servera zostáv na možnosť RSWindowsNegotiate. Vykonáte to v súbore rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Ďalšie informácie nájdete Úprava konfiguračného súboru služby Reporting Services a Konfigurácia overovania systému Windows na serveri zostáv.

Konfigurácia služby Active Directory Federation Services (ADFS)

Službu AD FS treba nakonfigurovať na windows serveri vo svojom prostredí. Konfigurácia sa dá vykonať prostredníctvom Správcu servera a výberom možnosti Pridať roly a funkcie v časti Správa. Ďalšie informácie nájdete službe Active Directory Federation Services.

Dôležitý

Od 1. marca 2025 sa už nebudú môcť mobilné aplikácie Power BI Pripojiť k serveru zostáv prostredníctvom AD FS nakonfigurovaného na Windows Serveri 2016. Pozrite si poznámku na začiatku tohto článku.

Vytvorenie skupiny aplikácií

V rámci obrazovky správy AD FS bude treba vytvoriť skupinu aplikácií pre službu Reporting Services, ktorá obsahuje informácie pre aplikácie Power BI Mobile.

Skupinu aplikácií môžete vytvoriť pomocou nasledujúcich krokov.

  1. V rámci aplikácie správy AD FS kliknite pravým tlačidlom myši Skupiny aplikácií a vyberte položky Pridať skupinu aplikácií...

    AD FS Pridať aplikáciu

  2. V Sprievodcovi pridaním skupiny aplikácií zadajte názov pre skupinu aplikácií a vyberte položku Natívna aplikácia pristupuje k webovému rozhraniu API.

    AD FS Sprievodca pridaním skupiny aplikácií 01

  3. Vyberte položky Ďalšie.

  4. Zadajte názov pre aplikáciu, ktorú pridávate.

  5. Zatiaľ čo ID klienta sa automaticky vygeneruje, zadajte do 484d54fc-b481-4eee-9505-0258a1913020 pre iOS aj Android.

  6. Do presmerovania chcete pridať nasledujúceURL adresy presmerovania:

    položky pre Power BI Mobile – iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    aplikácií pre Android potrebujú len nasledujúce kroky:
    urn:ietf:wg:oauth:2.0:oob

    AD FS Sprievodca pridaním skupiny aplikácií 02

  7. Vyberte položky Ďalšie.

  8. Zadajte URL adresu servera zostáv. TÁTO URL adresa je externá URL adresa, ktorú zachyťuje WAP. Mala by byť v nasledujúcom formáte.

    Nota

    V tejto URL adrese sa rozlišuje veľké a malé písmená.

    https://<report server url>/reports

    Sprievodca pridaním skupiny aplikácií služby AD FS 03

  9. Vyberte položky Ďalšie.

  10. Vyberte politiku riadenia prístupu, ktorá vyhovuje potrebám vašej organizácie.

    AD FS Sprievodca pridaním skupiny aplikácií 04

  11. Vyberte položky Ďalšie.

  12. Vyberte položky Ďalšie.

  13. Vyberte položky Ďalšie.

  14. Vyberte položku Zavrieť.

Po dokončení by mali vlastnosti vašej skupiny aplikácií vyzerať podobne ako na nasledujúcom obrázku.

sprievodca pridaním skupiny aplikácií služby AD FS

Teraz na serveri AD FS spustite nasledujúci príkaz prostredia PowerShell, aby ste sa uistili, že obnovenie tokenu je podporované.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Konfigurácia servera WAP

Na serveri vo vašom prostredí je potrebné povoliť rolu WAP Windowsu. Musí to byť na serveri systému Windows. Ďalšie informácie nájdete serveri WEB Application Proxy v službách Windows Server a Publishing Applications using AD FS Preauthentication.

Konfigurácia obmedzeného delegovania

Na prechod z overovania OAuth na overovanie Windowsom musíme použiť obmedzené delegovanie s prechodom protokolu. Je to súčasťou konfigurácie protokolu Kerberos. Počas konfigurácie služby Reporting Services sme už definovali hlavný názov služby Reporting Services.

Musíme nakonfigurovať obmedzené delegovania pre konto počítača so serverom WAP v rámci služby Active Directory. Ak nemáte práva na službu Active Directory, budete musieť spolupracovať so správcom domény.

Ak chcete nakonfigurovať obmedzené delegovaie, musíte vykonať nasledujúce kroky.

  1. V počítači, ktorý má nainštalované nástroje služby Active Directory, spustite active directory Users and Computers.

  2. Vyhľadajte konto počítača so serverom WAP. Predvolene sa nachádza v kontajneri počítačov.

  3. Kliknite pravým tlačidlom myši na server WAP a prejdite na Vlastnosti.

  4. Vyberte kartu Delegation .

  5. Vyberte položku Dôverovať tomuto počítaču len na účely delegovania pre určené služby a potom Použiť akýkoľvek protokol overovania.

    obmedzené WAP

    Tým sa nastaví obmedzené delegovaie pre toto konto počítača so serverom WAP. Potom musíme zadať služby, ktoré bude môcť tento počítač delegovať.

  6. Pod poľom so službami vyberte položku Pridať....

    obmedzené delegovania WAP 02

  7. Vyberte položky Používatelia alebo počítače...

  8. Zadajte konto služby, ktoré používate pre službu Reporting Services. Toto konto je konto, ku každému ste pridali hlavný názov služby pri konfigurácii služby Reporting Services.

  9. Vyberte hlavný názov služby pre službu Reporting Services a potom vyberte položku OK.

    Nota

    Môže sa zobrazovať len hlavný názov služby NetBIOS. V skutočnosti sa vyberie hlavný názov služby NetBIOS aj úplný názov domény, ak sú oba k dispozícii.

    Obmedzené – server WAP 03

  10. Ak je začiarknuté políčko Rozšírené, výsledok by mal vyzerať približne takto.

    obmedzené delegovania – server WAP 04

  11. Vyberte OK.

Pridanie aplikácie WAP

Hoci aplikácie môžete publikovať v konzole na správu prístupu k zostavám, bude potrebné vytvoriť aplikáciu pomocou prostredia PowerShell. Tu je príkaz na pridanie aplikácie.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parameter Komentáre
ADFSRelyingPartyName Názov webového rozhrania API, ktoré ste vytvorili ako súčasť skupiny aplikácií v rámci AD FS.
ExternalCertificateThumbprint Certifikát na použitie pre externých používateľov. Je dôležité, aby bol certifikát platný v mobilných zariadeniach a pochádzal od dôveryhodnej certifikačnej autority.
BackendServerUrl URL adresa servera zostáv zo servera WAP. Ak je server WAP v DMZ, môže byť potrebné použiť úplný názov domény. Skontrolujte, či dokážete zasiahnuť túto URL adresu z webového prehliadača na serveri WAP.
BackendServerAuthenticationSPN Hlavný názov služby, ktorý ste vytvorili ako súčasť konfigurácie služby Reporting Services.

Nastavenie integrovaného overovania pre aplikáciu WAP

Po pridaní aplikácie WAP musíte nastaviť BackendServerAuthenticationMode na používanie IntegratedWindowsAuthentication. Ak ho chcete nastaviť, budete potrebovať ID z aplikácie WAP.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Snímka obrazovky znázorňujúca id, ktoré potrebujete z aplikácie WAP.

Spustite nasledujúci príkaz na nastavenie BackendServerAuthenticationMode pomocou ID aplikácie WAP.

Set-WebApplicationProxyApplication -id 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Snímka obrazovky zobrazujúca spôsob nastavenia režimu overenia serverového servera pomocou ID aplikácie WAP.

Pripojenie k mobilnej aplikácii Power BI

V mobilnej aplikácii Power BI sa chcete pripojiť k inštancii služby Reporting Services. Ak to chcete urobiť, zadajte externej URL adresy pre aplikáciu WAP.

zadajte adresu servera

Po výbere možnosti Pripojiťbudete presmerovaní na prihlasovaciu stránku služby AD FS. Zadajte platné poverenia pre svoju doménu.

prihlásenie do služby AD FS

Po výbere možnosti prihlásenímsa zobrazia prvky na serveri služby Reporting Services.

Viacfaktorové overovanie

Môžete povoliť viacfaktorové overovanie a umožniť dodatočné zabezpečenie pre svoje prostredie. Ďalšie informácie nájdete v téme Konfigurácia viacfaktorového overovania v aplikácii Microsoft Entra ako poskytovateľa overovania so službou AD FS.

Riešenie problémov

Zobrazí sa chyba Nepodarilo sa prihlásiť k serveru SSRS

chyby Nepodarilo sa prihlásiť k serveru SSRS

Môžete nastaviť aplikáciu Fiddler, ktorá bude fungovať ako server proxy pre mobilné zariadenia a zistiť, ako ďaleko sa požiadavka dostavila. Ak chcete povoliť Fiddler proxy pre telefónne zariadenie, musíte nastaviť CertMaker pre iOS a Android v počítači, v ktorom je spustená aplikácia Fiddler. Ide o doplnok od spoločnosti Telerik pre aplikáciu Fiddler.

Ak prihlásenie úspešne funguje pri použití aplikácie Fiddler, môžete mať problém s certifikátom pre aplikáciu WAP alebo server AD FS.

Súvisiaci obsah