Delen via

Power BI Report Server configureren met Microsoft Entra-toepassingsproxy

In dit artikel wordt beschreven hoe u microsoft Entra-toepassingsproxy gebruikt om verbinding te maken met Power BI Report Server en SQL Server Reporting Services (SSRS) 2016 en hoger. Via deze integratie hebben gebruikers die zich niet bij het bedrijfsnetwerk bevinden toegang tot hun Power BI Report Server- en Reporting Services-rapporten vanuit hun clientbrowsers en kunnen ze worden beveiligd door Microsoft Entra ID. Lees meer over externe toegang tot on-premises toepassingen via de Microsoft Entra-toepassingsproxy.

Omgevingsdetails

We hebben deze waarden gebruikt in het voorbeeld dat we hebben gemaakt.

  • Domein: umacontoso.com
  • Power BI Report Server: PBIRSAZUREAPP.umacontoso.com
  • SQL Server-gegevensbron: SQLSERVERAZURE.umacontoso.com

Power BI Report Server configureren

Na de installatie van Power BI Report Server (ervan uitgaande van een Virtuele Azure-machine), configureert u de Url's van de Power BI Report Server-webservice en webportal met behulp van de volgende stappen:

  1. Maak inkomende en uitgaande regels op de VM-firewall voor poort 80 (poort 443 als u https-URL's hebt geconfigureerd). Maak ook regels voor binnenkomend en uitgaand verkeer voor Azure VM vanuit Azure Portal voor TCP-protocol: poort 80.

  2. De DNS-naam die is geconfigureerd voor de VIRTUELE machine in onze omgeving is pbirsazureapp.eastus.cloudapp.azure.com.

  3. Configureer de externe webservice en webportal-URL van Power BI Report Server door de knop > tabblad > te selecteren, Hostheadernaam kiezen en de hostnaam (DNS-naam) toe te voegen, zoals hier wordt weergegeven.

    Schermopname van Report Server Configuration Manager.

  4. We hebben de vorige stap uitgevoerd voor zowel de sectie Webservice als de webportal en hebben de URL's geregistreerd op de rapportserver Configuration Manager:

    • https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer
    • https://pbirsazureapp.eastus.cloudapp.azure.com/Reports

  5. In Azure Portal zien we twee IP-adressen voor de VIRTUELE machine in de sectie netwerken

    • Openbaar IP-adres.
    • Privé IP Het openbare IP-adres wordt gebruikt voor toegang van buiten de virtuele machine.

  6. Daarom hebben we de vermelding van het hostbestand toegevoegd op de virtuele machine (Power BI Report Server) om het openbare IP-adres en de hostnaam op te nemen pbirsazureapp.eastus.cloudapp.azure.com.

  7. Bij het opnieuw opstarten van de virtuele machine kan het dynamische IP-adres veranderen en moet u mogelijk het juiste IP-adres opnieuw toevoegen in het hostbestand. U kunt dit voorkomen door het openbare IP-adres in te stellen op statisch in Azure Portal.

  8. De URL's van de webservice en de webportal moeten toegankelijk zijn nadat u de bovenstaande wijzigingen hebt aangebracht.

  9. Bij het openen van de URL https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer op de server wordt er drie keer om referenties gevraagd en wordt er een leeg scherm weergegeven.

  10. Voeg de volgende registervermelding toe:

    HKEY\_LOCAL\_MACHINE \SYSTEM\CurrentControlset\Control \Lsa\ MSV1\_0 Registersleutel

  11. Voeg een nieuwe waarde toe, een waarde BackConnectionHostNamesvoor meerdere tekenreeksen en geef de hostnaam pbirsazureapp.eastus.cloudapp.azure.comop.

Daarna hebben we ook toegang tot de URL's op de server.

Power BI Report Server configureren voor gebruik met Kerberos

1. Het verificatietype configureren

We moeten het verificatietype configureren voor de rapportserver om beperkte Kerberos-delegering toe te staan. Deze configuratie wordt uitgevoerd in het bestand rsreportserver.config .

Zoek in het bestand rsreportserver.config de sectie Authentication/AuthenticationTypes .

We willen ervoor zorgen dat RSWindowsNegotiate wordt vermeld en eerst in de lijst met verificatietypen staat. Dit moet er ongeveer als volgt uitzien.

<AuthenticationTypes>

    <RSWindowsNegotiate/>

</AuthenticationTypes>

Als u het configuratiebestand moet wijzigen, moet u de rapportserverservice stoppen en opnieuw starten vanuit Report Server Configuration Manager om ervoor te zorgen dat de wijzigingen van kracht worden.

2. Service Principal Names (SPN's) registreren

Open de opdrachtprompt als beheerder en voer de volgende stappen uit.

Registreer de volgende SPN's onder het Account Power BI Report Server-serviceaccount met behulp van de volgende opdrachten

setspn -s http/Netbios name\_of\_Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

setspn -s http/FQDN\_of Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

Sample:

setspn -s http/pbirs contoso\pbirssvcacc
setspn -s http/pbirs.contoso.com contoso\pbirssvcacc

Registreer de volgende SPN's onder het SQL Server-serviceaccount met behulp van de volgende opdrachten (voor een standaardexemplaren van SQL Server):

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server: 1433 (PortNumber) <SQL service service account>

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server<SQL service service account>

Sample:

setspn -s MSSQLSVC/sqlserver.contoso.com:1433 contoso\sqlsvcacc
setspn -s MSSQLSVC/sqlserver.contoso.com contoso\sqlsvcacc

3. Delegeringsinstellingen configureren

We moeten de delegeringsinstellingen configureren voor het serviceaccount van de rapportserver.

  1. Open Active Directory: gebruikers en computers.

  2. Open de eigenschappen van het serviceaccount van de rapportserver in Active Directory.

  3. We willen beperkte delegering configureren met protocoloverdracht. Met beperkte delegatie moeten we expliciet zijn over welke services we willen delegeren.

  4. Klik met de rechtermuisknop op het serviceaccount van de rapportserver en selecteer Eigenschappen.

  5. Selecteer het tabblad Delegatie .

  6. Selecteer Deze gebruiker alleen vertrouwen voor delegering naar opgegeven services.

  7. Selecteer Elk verificatieprotocol gebruiken.

  8. Selecteer Toevoegen onder de Services waaraan dit account gedelegeerde referenties kan presenteren.

  9. Selecteer Gebruikers of computers in het nieuwe dialoogvenster.

  10. Voer het serviceaccount voor de SQL Server-service in en selecteer OK.

    Het begint met MSSQLSVC.

  11. Voeg de SPN's toe.

  12. Kies OK. U ziet nu de SPN in de lijst.

Met deze stappen kunt u Power BI Report Server configureren om te werken met het Kerberos-verificatiemechanisme en de testverbinding met de gegevensbron op uw lokale computer te laten werken.

Microsoft Entra-toepassingsproxyconnector configureren

Raadpleeg het artikel voor configuratie met betrekking tot de connector voor de toepassingsproxy

We hebben de connector voor de toepassingsproxy geïnstalleerd in Power BI Report Server, maar u kunt deze configureren op een afzonderlijke server en ervoor zorgen dat delegering juist is ingesteld.

Zorg ervoor dat de connector wordt vertrouwd voor delegering

Zorg ervoor dat de connector wordt vertrouwd voor overdracht naar de SPN die is toegevoegd aan het account van de groep van rapportservertoepassingen.

Configureer KCD (Beperkte Kerberos-delegering) zodat de Microsoft Entra-toepassingsproxyservice gebruikersidentiteiten kan delegeren aan het groepaccount van de rapportservertoepassing. Configureer KCD door de connector voor de toepassingsproxy in te schakelen om Kerberos-tickets op te halen voor uw gebruikers die zijn geverifieerd in Microsoft Entra-id. Vervolgens geeft die server in dit geval de context door aan de doeltoepassing of Power BI Report Server.

Als u KCD wilt configureren, herhaalt u de volgende stappen voor elke connectormachine.

  1. Meld u als domeinbeheerder aan bij een domeincontroller en open Active Directory.
  2. Zoek de computer waarop de connector wordt uitgevoerd.
  3. Dubbelklik op de computer en selecteer vervolgens het tabblad Delegatie .
  4. Stel de delegeringsinstellingen in op Deze computer vertrouwen voor delegering naar alleen de opgegeven services. Selecteer vervolgens Elk verificatieprotocol gebruiken.
  5. Selecteer Toevoegen en selecteer vervolgens Gebruikers of Computers.
  6. Voer het serviceaccount in dat u gebruikt voor Power BI Report Server. Dit account is het account waaraan u de SPN hebt toegevoegd in de configuratie van de rapportserver.
  7. Kies OK.
  8. Als u de wijzigingen wilt opslaan, selecteert u OPNIEUW OK .

Publiceren via Microsoft Entra-toepassingsproxy

U bent nu klaar om de Microsoft Entra-toepassingsproxy te configureren.

Publiceer Power BI Report Server via de toepassingsproxy met de volgende instellingen. Zie Een on-premises app toevoegen aan Microsoft Entra ID voor stapsgewijze instructies voor het publiceren van een toepassing via een toepassingsproxy.

  • Interne URL : voer de URL in naar de rapportserver die de connector in het bedrijfsnetwerk kan bereiken. Zorg ervoor dat deze URL bereikbaar is vanaf de server waarop de connector is geïnstalleerd. Een best practice is het gebruik van een domein op het hoogste niveau, zoals https://servername/ het voorkomen van problemen met subpaden die zijn gepubliceerd via de toepassingsproxy. Gebruik bijvoorbeeld https://servername/ en niet of https://servername/reports/.https://servername/reportserver/ We hebben onze omgeving geconfigureerd met https://pbirsazureapp.eastus.cloudapp.azure.com/.

    Note

    U wordt aangeraden een beveiligde HTTPS-verbinding met de rapportserver te gebruiken. Zie SSL-verbindingen configureren op een rapportserver in de systeemeigen modus voor instructies.

  • Externe URL : voer de openbare URL in waarnaar de mobiele Power BI-app verbinding maakt. Het kan er bijvoorbeeld uitzien https://reports.contoso.com als een aangepast domein wordt gebruikt. Als u een aangepast domein wilt gebruiken, uploadt u een certificaat voor het domein en wijst u een DNS-record aan op het standaarddomein msappproxy.net voor uw toepassing. Zie Werken met aangepaste domeinen in de Microsoft Entra-toepassingsproxy voor gedetailleerde stappen.

We hebben de externe URL geconfigureerd naar https://pbirsazureapp-umacontoso2410.msappproxy.net/ voor onze omgeving.

  • Methode vóór verificatie: Microsoft Entra-id.
  • Connectorgroep: standaard.

Schermopname van de standaardconnectorgroep.

Er zijn geen wijzigingen aangebracht in de sectie Aanvullende instellingen . Deze is geconfigureerd voor gebruik met de standaardopties.

Important

Bij het configureren van de toepassingsproxy is de eigenschap Back-endtoepassing-time-out ingesteld op Standaard (85 seconden). Als u rapporten hebt die langer dan 85 seconden duren, stelt u deze eigenschap in op Lang (180 seconden), wat de hoogst mogelijke time-outwaarde is. Wanneer ze zijn geconfigureerd voor Long, moeten alle rapporten binnen 180 seconden worden voltooid, anders treedt er een time-out op en wordt er een fout gegenereerd.

Schermopname van aanvullende instellingen.

Eenmalige aanmelding configureren

Zodra uw app is gepubliceerd, configureert u de instellingen voor eenmalige aanmelding met de volgende stappen:

  1. Selecteer Eenmalige aanmelding op de toepassingspagina in de portal.

  2. Voor de modus voor eenmalige aanmelding selecteert u Geïntegreerde Windows-verificatie.

  3. Stel de SPN van de interne toepassing in op de waarde die u eerder hebt ingesteld. U kunt deze waarde identificeren met behulp van de volgende stappen:

    • Voer een rapport uit of voer een testverbinding met de gegevensbron uit, zodat een Kerberos-ticket wordt gemaakt.
    • Nadat de verbinding met het rapport is uitgevoerd, opent u de opdrachtprompt en voert u de volgende opdracht uit: klist In de resultatensectie ziet u een ticket met http/ SPN. Als dit hetzelfde is als de SPN die u hebt geconfigureerd met Power BI Report Server, gebruikt u die SPN in deze sectie.

  4. Kies de gedelegeerde aanmeldingsidentiteit voor de connector die u wilt gebruiken namens uw gebruikers. Zie Werken met verschillende on-premises en cloudidentiteiten voor meer informatie.

    U wordt aangeraden user principal name te gebruiken. In ons voorbeeld hebben we deze geconfigureerd voor gebruik met de optie User Principal Name :

    Schermopname van het configureren van geïntegreerde Windows-verificatie.

  5. Selecteer Opslaan om uw wijzigingen op te slaan.

Het instellen van uw toepassing voltooien

U voltooit het instellen van uw toepassing door naar de sectie Gebruikers en groepen te gaan en gebruikers toe te wijzen die toegang krijgen tot deze toepassing.

  1. Configureer de sectie Verificatie van app-registratie voor de Power BI Report Server-toepassing als volgt voor omleidings-URL's en geavanceerde instellingen:

    • Maak een nieuwe omleidings-URL en configureer deze met type = web- en omleidings-URI = https://pbirsazureapp-umacontoso2410.msappproxy.net/
    • Configureer in de sectie Geavanceerde instellingen de afmeldings-URL naar https://pbirsazureapp-umacontoso2410.msappproxy.net/?Appproxy=logout

    Schermopname van het deelvenster PBIRS-verificatie met omleidings-URI's en geavanceerde instellingen.

  2. Ga door met het configureren van de sectie Verificatie van app-registratie voor de Power BI Report Server-toepassing als volgt voor impliciete toekenning, standaardclienttype en ondersteunde accounttypen:

    • Impliciete toekenning instellen op id-tokens.
    • Stel het standaardclienttype in op Nee.
    • Stel ondersteunde accounttypen alleen in op Accounts in deze organisatiemap (alleen UmaContoso – één tenant).

    Schermopname van het deelvenster PBIRS-verificatie met de instellingen zoals beschreven.

    Warning

    Microsoft raadt u aan de impliciete toekenningsstroom niet te gebruiken. In de meeste scenario's zijn veiligere alternatieven beschikbaar en aanbevolen. Bepaalde configuraties van deze stroom vereisen een hoge mate van vertrouwen in de toepassing en dragen risico's die niet aanwezig zijn in andere stromen. U moet deze stroom alleen gebruiken wanneer andere veiligere stromen niet haalbaar zijn. Zie de beveiligingsproblemen met impliciete toekenningsstroom voor meer informatie.

  3. Zodra de eenmalige aanmelding is ingesteld en de URL https://pbirsazureapp-umacontoso2410.msappproxy.net werkt, moeten we ervoor zorgen dat het account waarmee we zich aanmelden, is gesynchroniseerd met het account waarmee de machtigingen zijn opgegeven in Power BI Report Server.

  4. Eerst moeten we het aangepaste domein configureren dat we van plan zijn om te gebruiken in de aanmelding. Controleer vervolgens of het is geverifieerd

  5. In dit geval hebben we een domein met de naam umacontoso.com gekocht en de DNS-zone geconfigureerd met de vermeldingen. U kunt het domein ook gebruiken onmicrosoft.com en synchroniseren met on-premises AD.

    Zie het artikel Zelfstudie: Een bestaande aangepaste DNS-naam toewijzen aan Azure-app Service ter referentie.

  6. Nadat u de DNS-vermelding voor het aangepaste domein hebt geverifieerd, moet u de status kunnen zien als Geverifieerd die overeenkomt met het domein vanuit de portal.

    Schermopname van domeinnamen.

  7. Installeer Microsoft Entra Connect op de domeincontrollerserver en configureer deze om te synchroniseren met Microsoft Entra-id.

    Schermopname van het verbinden van mappen.

  8. Zodra de Microsoft Entra-id is gesynchroniseerd met on-premises AD, zien we de volgende status vanuit Azure Portal:

    Schermopname van de Azure-portal-status.

  9. Zodra de synchronisatie is voltooid, opent u ook de AD-domeinen en vertrouwensrelaties op de domeincontroller. Klik met de rechtermuisknop op Active Directory-domein s en vertrouwenseigenschappen > en voeg de UPN toe. In onze omgeving umacontoso.com is het aangepaste domein dat we hebben gekocht.

  10. Nadat u de UPN hebt toegevoegd, moet u de gebruikersaccounts kunnen configureren met de UPN, zodat het Microsoft Entra-account en het on-premises AD-account zijn verbonden en dat het token wordt herkend tijdens de verificatie.

    De AD-domeinnaam wordt weergegeven in de vervolgkeuzelijst van de sectie Aanmeldingsnaam van de gebruiker nadat u de vorige stap hebt uitgevoerd. Configureer de gebruikersnaam en selecteer het domein in de vervolgkeuzelijst in de sectie Gebruikersaanmeldingsnaam van de AD-gebruikerseigenschappen.

    Schermopname van Active Directory-eigenschappen.

  11. Zodra de AD-synchronisatie is voltooid, ziet u het on-premises AD-account dat in Azure Portal wordt weergegeven onder de sectie Gebruikers en groepen van de toepassing. De bron voor het account is Windows Server AD.

  12. Aanmelden met umasm@umacontoso.com is gelijk aan het gebruik van de Windows-referenties Umacontoso\umasm.

    Deze vorige stappen zijn van toepassing als u on-premises AD hebt geconfigureerd en deze wilt synchroniseren met Microsoft Entra-id.

    Geslaagde aanmelding na de implementatie van de bovenstaande stappen:

    Schermopname van het aanmeldingsscherm.

    Gevolgd door de weergave van de webportal:

    Schermopname van de Power BI Report Server-portal.

    Met een geslaagde testverbinding met de gegevensbron met behulp van Kerberos als verificatie:

    Schermopname van de Power BI Report Server-portal die succesvol is verbonden.

Toegang vanuit mobiele Power BI-apps

De toepassingsregistratie configureren

Voordat de mobiele Power BI-app verbinding kan maken en toegang kan krijgen tot Power BI Report Server, moet u de toepassingsregistratie configureren die automatisch voor u is gemaakt in Publiceren via Microsoft Entra-toepassingsproxy eerder in dit artikel.

Note

Als u beleid voor voorwaardelijke toegang gebruikt waarvoor de mobiele Power BI-app een goedgekeurde client-app moet zijn, kunt u de Microsoft Entra-toepassingsproxy niet gebruiken om de mobiele Power BI-app te verbinden met Power BI Report Server.

  1. Selecteer App-registraties op de overzichtspagina van Microsoft Entra-id.

  2. Zoek op het tabblad Alle toepassingen naar de toepassing die u hebt gemaakt voor Power BI Report Server.

  3. Selecteer de toepassing en selecteer vervolgens Verificatie.

  4. Voeg de volgende omleidings-URI's toe op basis van het platform dat u gebruikt.

    Wanneer u de app configureert voor Power BI - Mobiel iOS, voegt u de volgende omleidings-URI's van het type Openbare client toe (mobiel en desktop):

    • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
    • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
    • mspbi-adal://com.microsoft.powerbimobile
    • mspbi-adalms://com.microsoft.powerbimobilems

    Voeg bij het configureren van de app voor Power BI - Mobiel Android de volgende omleidings-URI's van het type Openbare client toe (mobiel en bureaublad):

    • urn:ietf:wg:oauth:2.0:oob
    • mspbi-adal://com.microsoft.powerbimobile
    • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
    • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

    Wanneer u de app configureert voor zowel Power BI - Mobiel iOS als Android, voegt u de volgende omleidings-URI van het type Openbare client (mobiel en bureaublad) toe aan de lijst met omleidings-URI's die zijn geconfigureerd voor iOS:

    • urn:ietf:wg:oauth:2.0:oob

    Important

    De omleidings-URI's moeten worden toegevoegd om de toepassing correct te laten werken.

Verbinding maken vanuit de mobiele Power BI-apps

  1. Maak in de mobiele Power BI-app verbinding met uw rapportserverexemplaren. Als u verbinding wilt maken, voert u de externe URL in voor de toepassing die u hebt gepubliceerd via toepassingsproxy.
  2. Selecteer Maak verbinding met. U wordt omgeleid naar de aanmeldingspagina van Microsoft Entra.
  3. Voer geldige referenties in voor uw gebruiker en selecteer Aanmelden. U ziet de elementen van uw rapportserver.

Verwante inhoud

Meer vragen? Vraag het Power BI-community

  • Last updated on