Partilhar via

Configurar o Servidor de Relatório do Power BI com o proxy de aplicativo do Microsoft Entra

Este artigo descreve como usar o proxy de aplicativo Microsoft Entra para se conectar ao Power BI Report Server e ao SQL Server Reporting Services (SSRS) 2016 e posterior. Por meio dessa integração, os usuários que estão longe da rede corporativa podem acessar seus relatórios do Servidor de Relatório do Power BI e do Reporting Services a partir de seus navegadores cliente e ser protegidos pela ID do Microsoft Entra. Leia mais sobre o acesso remoto a aplicativos locais por meio do proxy de aplicativo Microsoft Entra.

Detalhes do ambiente

Usamos esses valores no exemplo que criamos.

  • Domínio: umacontoso.com
  • Servidor de Relatório do Power BI: PBIRSAZUREAPP.umacontoso.com
  • Fonte de dados do SQL Server: SQLSERVERAZURE.umacontoso.com

Configurar o Servidor de Relatório do Power BI

Depois de instalar o Servidor de Relatório do Power BI (assumindo uma VM do Azure), configure o serviço Web do Servidor de Relatórios do Power BI e as URLs do portal da Web usando as seguintes etapas:

  1. Crie regras de entrada e saída no firewall da VM para a Porta 80 (Porta 443 se você tiver URLs https configuradas). Além disso, crie regras de entrada e saída para a VM do Azure a partir do portal do Azure para o protocolo TCP – Porta 80.

  2. O nome DNS configurado para a VM em nosso ambiente é pbirsazureapp.eastus.cloudapp.azure.com.

  3. Configure o serviço Web externo do Servidor de Relatórios do Power BI e a URL do portal da Web selecionando a guia > Botão > Escolha Nome do Cabeçalho do Host e adicionando o nome do host (nome DNS), conforme mostrado aqui.

    Captura de ecrã do Gestor de Configuração do Servidor de Relatórios.

  4. Executamos a etapa anterior para o serviço Web e a seção do portal da Web e registramos as URLs no Configuration Manager do servidor de relatório:

    • https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer
    • https://pbirsazureapp.eastus.cloudapp.azure.com/Reports

  5. No portal do Azure, vemos dois endereços IP para a VM na seção de rede

    • IP pública.
    • IP privado. O endereço IP público é usado para acesso de fora da máquina virtual.

  6. Assim, adicionamos a entrada do arquivo host na VM (Servidor de Relatório do Power BI) para incluir o endereço IP público e o nome pbirsazureapp.eastus.cloudapp.azure.comdo host.

  7. Ao reiniciar a VM, o endereço IP dinâmico pode mudar e pode ter de adicionar novamente o endereço IP correto no ficheiro anfitrião. Para evitar isso, você pode definir o endereço IP público como estático no portal do Azure.

  8. O serviço Web e as URLs do portal Web devem ser acessíveis com êxito depois de fazer as alterações acima mencionadas.

  9. Ao acessar a URL https://pbirsazureapp.eastus.cloudapp.azure.com/ReportServer no servidor, somos solicitados três vezes para credenciais e vemos uma tela em branco.

  10. Adicione a seguinte entrada do Registro:

    HKEY\_LOCAL\_MACHINE \SYSTEM\CurrentControlset\Control \Lsa\ MSV1\_0 chave de registo

  11. Adicione um novo valor BackConnectionHostNames, um valor de várias cadeias de caracteres e forneça o nome pbirsazureapp.eastus.cloudapp.azure.comdo host .

Depois disso, podemos acessar as URLs no servidor também.

Configurar o Servidor de Relatório do Power BI para trabalhar com Kerberos

1. Configure o tipo de autenticação

Precisamos configurar o tipo de autenticação para o servidor de relatório para permitir a delegação restrita de Kerberos. Essa configuração é feita dentro do arquivo rsreportserver.config .

No arquivo rsreportserver.config, localize a seção Authentication/AuthenticationTypes .

Queremos ter certeza de que RSWindowsNegotiate está listado e é o primeiro na lista de tipos de autenticação. Deve ter um aspeto semelhante ao seguinte.

<AuthenticationTypes>

    <RSWindowsNegotiate/>

</AuthenticationTypes>

Se você precisar alterar o arquivo de configuração, pare e reinicie o serviço do servidor de relatório do Gerenciador de Configuração do Servidor de Relatório para garantir que as alterações entrem em vigor.

2. Registrar nomes principais de serviço (SPNs)

Abra o prompt de comando como administrador e execute as etapas a seguir.

Registre os seguintes SPNs na conta Conta de serviço do Servidor de Relatório do Power BI usando os seguintes comandos:

setspn -s http/Netbios name\_of\_Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

setspn -s http/FQDN\_of Power BI Report Server\_server<space> Power BI Report Server\_ServiceAccount

Sample:

setspn -s http/pbirs contoso\pbirssvcacc
setspn -s http/pbirs.contoso.com contoso\pbirssvcacc

Registre os seguintes SPNs na conta de serviço do SQL Server usando os seguintes comandos (para uma instância padrão do SQL Server):

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server: 1433 (PortNumber) <SQL service service account>

setspn -s MSSQLSVC/FQDN\_of\_SQL\_Server<SQL service service account>

Sample:

setspn -s MSSQLSVC/sqlserver.contoso.com:1433 contoso\sqlsvcacc
setspn -s MSSQLSVC/sqlserver.contoso.com contoso\sqlsvcacc

3. Definir configurações de delegação

Temos que definir as configurações de delegação na conta de serviço do servidor de relatório.

  1. Abra Utilizadores e Computadores do Active Directory.

  2. Abra as Propriedades da conta de serviço do servidor de relatório em Usuários e Computadores do Ative Directory.

  3. Queremos configurar a delegação restrita com trânsito de protocolo. Com a delegação restrita, precisamos ser explícitos sobre quais serviços queremos delegar.

  4. Clique com o botão direito na conta do serviço do servidor de relatórios e selecione Propriedades.

  5. Selecione a guia Delegação .

  6. Selecione Confiar neste usuário para delegação somente a serviços especificados.

  7. Selecione Usar qualquer protocolo de autenticação.

  8. Nos Serviços aos quais esta conta pode apresentar credenciais delegadas: selecione Adicionar.

  9. Na nova caixa de diálogo, selecione Usuários ou Computadores.

  10. Insira a conta de serviço para o serviço do SQL Server e selecione OK.

    Começa com MSSQLSVC.

  11. Adicione os SPNs.

  12. Selecione OK. Você deve ver o SPN na lista agora.

Estas etapas ajudam a configurar o Servidor de Relatório do Power BI para trabalhar com o mecanismo de autenticação Kerberos e fazer com que a conexão de teste com a fonte de dados funcione em sua máquina local.

Configurar o conector de proxy de aplicativo do Microsoft Entra

Consulte o artigo para obter a configuração relacionada ao conector de proxy de aplicativo

Instalamos o conector de proxy de aplicativo no Servidor de Relatório do Power BI, mas você pode configurá-lo em um servidor separado e verificar se a delegação está configurada corretamente.

Verifique se o conector é confiável para delegação

Verifique se o conector é confiável para delegação ao SPN adicionado à conta do pool de aplicativos do servidor de relatório.

Configure a Delegação Restrita de Kerberos (KCD) para que o serviço de proxy de aplicativo Microsoft Entra possa delegar identidades de usuário à conta do pool de aplicativos do servidor de relatório. Configure o KCD ativando o conector proxy da aplicação para recuperar bilhetes Kerberos para os seus utilizadores autenticados no Microsoft Entra ID. Em seguida, esse servidor passa o contexto para o aplicativo de destino ou, nesse caso, para o Servidor de Relatório do Power BI.

Para configurar o KCD, repita as etapas a seguir para cada máquina conectora.

  1. Entre em um controlador de domínio como administrador de domínio e abra Usuários e Computadores do Ative Directory.
  2. Localize o computador em que o conector está sendo executado.
  3. Clique duas vezes no computador e selecione a guia Delegação .
  4. Defina as configurações de delegação como Confiar neste computador para delegação somente aos serviços especificados. Em seguida, selecione Usar qualquer protocolo de autenticação.
  5. Selecione Adicionar e, em seguida, selecione Usuários ou Computadores.
  6. Insira a conta de serviço que você está usando para o Servidor de Relatório do Power BI. Essa conta é aquela à qual você adicionou o SPN dentro da configuração do servidor de relatório.
  7. Selecione OK.
  8. Para guardar as alterações, selecione novamente OK .

Publicar através do proxy de aplicativo Microsoft Entra

Agora você está pronto para configurar o proxy de aplicativo Microsoft Entra.

Publique o Servidor de Relatório do Power BI por meio do proxy de aplicativo com as seguintes configurações. Para obter instruções passo a passo sobre como publicar um aplicativo por meio do proxy de aplicativo, consulte Adicionar um aplicativo local à ID do Microsoft Entra.

  • URL interna : insira a URL para o servidor de relatório que o conector pode alcançar na rede corporativa. Certifique-se de que este URL está acessível a partir do servidor em que o conector está instalado. Uma prática recomendada é usar um domínio de nível superior, como https://servername/ para evitar problemas com subcaminhos publicados por meio do proxy do aplicativo. Por exemplo, use https://servername/ e não https://servername/reports/ ou https://servername/reportserver/. Configurámos o nosso ambiente com https://pbirsazureapp.eastus.cloudapp.azure.com/.

    Note

    Recomendamos o uso de uma conexão HTTPS segura com o servidor de relatório. Consulte Configurar conexões SSL em um servidor de relatório de modo nativo para obter informações de instruções.

  • URL externo : Insira o URL público a que a aplicação móvel Power BI liga. Por exemplo, pode parecer https://reports.contoso.com se for usado um domínio personalizado. Para usar um domínio personalizado, carregue um certificado para o domínio e aponte um registro DNS para o domínio de msappproxy.net padrão do seu aplicativo. Para obter etapas detalhadas, consulte Trabalhando com domínios personalizados no proxy de aplicativo Microsoft Entra.

Configurámos a URL externa para ser https://pbirsazureapp-umacontoso2410.msappproxy.net/ no nosso ambiente.

  • Método de pré-autenticação: ID do Microsoft Entra.
  • Grupo de conectores: padrão.

Captura de ecrã do grupo de conectores padrão.

Não fizemos quaisquer alterações na secção de Definições Adicionais . Ele está configurado para funcionar com as opções padrão.

Important

Ao configurar o proxy da aplicação, a propriedade Backend Application Timeout é definida para Default (85 segundos). Se você tiver relatórios que levam mais de 85 segundos para serem executados, defina essa propriedade como Long (180 segundos), que é o maior valor de tempo limite possível. Quando configurados para Long, todos os relatórios têm de ser concluídos em 180 segundos, caso contrário expiram e resultam num erro.

Captura de ecrã de definições adicionais.

Configurar o início de sessão único

Depois que seu aplicativo for publicado, defina as configurações de logon único com as seguintes etapas:

  1. Na página do aplicativo no portal, selecione Logon único.

  2. Para Modo de Logon Único, selecione Autenticação Integrada do Windows.

  3. Defina o SPN do Aplicativo Interno com o valor definido anteriormente. Você pode identificar esse valor usando as seguintes etapas:

    • Tente executar um relatório ou executar a conexão de teste com a fonte de dados para que um tíquete Kerberos seja criado.
    • Após a execução bem-sucedida da conexão de relatório/teste, abra o prompt de comando e execute o comando: klist. Na seção de resultados, você verá um ticket com http/ o SPN. Se for igual ao SPN que configurou com o Power BI Report Server, use esse SPN nesta secção.

  4. Escolha a Identidade de Login Delegado para o conector usar em nome de seus usuários. Para obter mais informações, consulte Trabalhando com diferentes identidades locais e na nuvem.

    Recomendamos o uso do nome principal do usuário. Em nosso exemplo, configuramos para funcionar com a opção Nome principal do usuário:

    Captura de ecrã da configuração da Autenticação Integrada do Windows.

  5. Selecione Guardar para guardar as alterações.

Conclua a configuração do seu aplicativo

Para concluir a configuração do seu aplicativo, vá para a seção Usuários e grupos e atribua usuários para acessar esse aplicativo.

  1. Configure a seção Autenticação do registro de aplicativo para o aplicativo Servidor de Relatório do Power BI da seguinte forma para URLs de redirecionamento e configurações avançadas:

    • Crie uma nova URL de redirecionamento e configure-a com Type = Web e Redirect URI = https://pbirsazureapp-umacontoso2410.msappproxy.net/
    • Na seção Configurações avançadas, configure a URL de logout parahttps://pbirsazureapp-umacontoso2410.msappproxy.net/?Appproxy=logout

    Captura de ecrã do painel de configuração de autenticação PBIRS com URIs de redirecionamento e definições avançadas.

  2. Continue configurando a seção Autenticação do Registro de aplicativo para o aplicativo Servidor de Relatório do Power BI da seguinte forma para Concessão implícita, Tipo de cliente padrão e Tipos de conta suportados:

    • Defina Concessão implícita para tokens de ID.
    • Defina Tipo de cliente padrão como Não.
    • Defina Tipos de conta suportados como Contas somente neste diretório organizacional (somente UmaContoso – Locatário único).

    Captura de ecrã do painel de Autenticação PBIRS com as definições descritas.

    Warning

    A Microsoft recomenda que não uses o fluxo implícito de subsídios. Na maioria dos cenários, alternativas mais seguras estão disponíveis e são recomendadas. Certas configurações deste fluxo exigem um elevado grau de confiança na aplicação e acarretam riscos que não estão presentes noutros fluxos. Você só deve usar esse fluxo quando outros fluxos mais seguros não forem viáveis. Para obter mais informações, consulte as preocupações de segurança com o fluxo de concessão implícito.

  3. Depois de o login único estar configurado e o URL https://pbirsazureapp-umacontoso2410.msappproxy.net a funcionar, temos de garantir que a conta com a qual iniciamos sessão está sincronizada com a conta para a qual as permissões são fornecidas no Power BI Report Server.

  4. Primeiro temos de configurar o domínio personalizado que planeamos usar no início de sessão e depois garantir que está verificado

  5. Nesse caso, compramos um domínio chamado umacontoso.com e configuramos a zona DNS com as entradas. Você também pode tentar usar o domínio e sincronizá-lo com o onmicrosoft.com AD local.

    Consulte o artigo Tutorial: Mapear um nome DNS personalizado existente para o Serviço de Aplicativo do Azure para referência.

  6. Depois de verificar com êxito a entrada DNS para o domínio personalizado, você deve ser capaz de ver o status como Verificado correspondente ao domínio do portal.

    Captura de ecrã de nomes de domínio.

  7. Instale o Microsoft Entra Connect no servidor do controlador de domínio e configure-o para sincronizar com o Microsoft Entra ID.

    Captura de ecrã dos diretórios ligados.

  8. Assim que o ID Microsoft Entra sincroniza com o AD local, vemos o seguinte estado do portal Azure:

    Captura de ecrã do estado do portal Azure.

  9. Além disso, quando a sincronização for bem-sucedida, abra os domínios e relações de confiança do AD no controlador de domínio. Clique com o botão direito do mouse em Propriedades de Domínios e Relações de > Confiança do Ative Directory e adicione o UPN. Em nosso ambiente, umacontoso.com é o domínio personalizado que compramos.

  10. Depois de adicionar o UPN, você deve ser capaz de configurar as contas de usuário com o UPN para que a conta do Microsoft Entra e a conta do AD local estejam conectadas e que o token seja reconhecido durante a autenticação.

    O nome de domínio do AD é listado na lista suspensa da seção Nome de logon do usuário depois que você executa a etapa anterior. Configure o nome de usuário e selecione o domínio na lista suspensa na seção Nome de logon do usuário das propriedades do usuário do AD.

    Captura de ecrã das propriedades do Active Directory.

  11. Quando a sincronização do AD for bem-sucedida, você verá a conta do AD local aparecendo no portal do Azure na seção Usuários e Grupos do aplicativo. A origem da conta é o Windows Server AD.

  12. Iniciar sessão com umasm@umacontoso.com é equivalente a usar as credenciais Umacontoso\umasmdo Windows .

    Estas etapas anteriores são aplicáveis se você tiver o AD local configurado e estiver planejando sincronizá-lo com o Microsoft Entra ID.

    Entrada bem-sucedida após a implementação das etapas acima:

    Captura de ecrã do ecrã de início de sessão.

    Seguido da exibição do portal web:

    Captura de ecrã do portal Power BI Report Server.

    Com uma conexão de teste bem-sucedida com a fonte de dados usando Kerberos como autenticação:

    Captura de ecrã do portal Power BI Report Server ligado com sucesso.

Acesso a partir de aplicações móveis do Power BI

Configurar o registro do aplicativo

Antes que o aplicativo móvel do Power BI possa se conectar e acessar o Servidor de Relatório do Power BI, você deve configurar o registro do aplicativo que foi criado automaticamente para você em Publicar por meio do proxy de aplicativo Microsoft Entra anteriormente neste artigo.

Note

Se você usar políticas de acesso condicional que exijam que o aplicativo móvel do Power BI seja um aplicativo cliente aprovado, não poderá usar o proxy de aplicativo Microsoft Entra para conectar o aplicativo móvel do Power BI ao Servidor de Relatório do Power BI.

  1. Na página Visão geral do Microsoft Entra ID, selecione Registros de aplicativos.

  2. Na guia Todos os aplicativos , procure o aplicativo que você criou para o Servidor de Relatório do Power BI.

  3. Selecione o aplicativo e, em seguida, selecione Autenticação.

  4. Adicione os seguintes URIs de Redirecionamento consoante a plataforma que está a usar.

    Ao configurar o aplicativo para o Power BI Mobile iOS, adicione os seguintes URIs de redirecionamento do tipo Public Client (Mobile e Desktop):

    • msauth://code/mspbi-adal%3a%2f%2fcom.microsoft.powerbimobile
    • msauth://code/mspbi-adalms%3a%2f%2fcom.microsoft.powerbimobilems
    • mspbi-adal://com.microsoft.powerbimobile
    • mspbi-adalms://com.microsoft.powerbimobilems

    Ao configurar o aplicativo para o Power BI Mobile Android, adicione os seguintes URIs de redirecionamento do tipo Public Client (Mobile e Desktop):

    • urn:ietf:wg:oauth:2.0:oob
    • mspbi-adal://com.microsoft.powerbimobile
    • msauth://com.microsoft.powerbim/g79ekQEgXBL5foHfTlO2TPawrbI%3D
    • msauth://com.microsoft.powerbim/izba1HXNWrSmQ7ZvMXgqeZPtNEU%3D

    Ao configurar o aplicativo para Power BI Mobile iOS e Android, adicione o seguinte URI de redirecionamento do tipo Cliente público (móvel e desktop) à lista de URIs de redirecionamento configurados para iOS:

    • urn:ietf:wg:oauth:2.0:oob

    Important

    Os URIs de redirecionamento devem ser adicionados para que o aplicativo funcione corretamente.

Ligar a partir das aplicações móveis do Power BI

  1. No aplicativo móvel Power BI, conecte-se à instância do servidor de relatório. Para se conectar, insira a URL externa do aplicativo que você publicou por meio do Proxy de Aplicativo.
  2. Selecione Conectar. És direcionado para a página de login do Microsoft Entra.
  3. Introduza credenciais válidas para o seu utilizador e selecione Iniciar sessão. Vês os elementos do teu servidor de relatórios.

Conteúdo relacionado

Mais perguntas? Tente perguntar à Comunidade do Power BI

  • Last updated on