Connettersi al Server di report di Power BI e a SSRS dalle applicazioni Power BI per dispositivi mobili

  • Articolo

Questo articolo illustra come configurare l'ambiente per supportare l'autenticazione OAuth con l'app Power BI per dispositivi mobili e connettersi a Server di report di Microsoft Power BI e a SQL Server Reporting Services 2016 o versioni successive.

Requisiti

Windows Server è necessario per i server Proxy applicazione Web (WAP) e Active Directory Federation Services (AD FS). Non è necessario avere un dominio di livello funzionale di Windows.

Per consentire agli utenti di aggiungere una connessione al server di report all'app Power BI per dispositivi mobili, è necessario concedere loro l'accesso alla home directory del server di report.

Nota

A partire dal 1° marzo 2025, l'app Power BI per dispositivi mobili non sarà più in grado di connettersi al server di report usando il protocollo OAuth tramite AD FS configurato in Windows Server 2016. I clienti che usano OAuth con AD FS configurato in Windows Server 2016 e Proxy applicazione Web (WAP) dovranno aggiornare il server AD FS a Windows Server 2019 o versione successiva oppure usare l'Application Proxy Microsoft Entra. Dopo l'aggiornamento di Windows Server, gli utenti dell'app Power BI per dispositivi mobili potrebbero dover accedere nuovamente al server di report.

Questo aggiornamento è necessario da una modifica nella libreria di autenticazione usata dall'app per dispositivi mobili. La modifica non influisce in alcun modo sul supporto tecnico Microsoft per AD FS in Windows Server 2016, ma solo sulla possibilità di connettersi all'app Power BI per dispositivi mobili.

Configurazione Domain Name Services (DNS)

L'URL pubblico è l'URL a cui si connetterà l'app Power BI per dispositivi mobili. Ad esempio, potrebbe essere simile a quello indicato di seguito.

https://reports.contoso.com

Il record DNS per i report all'indirizzo IP pubblico del server Proxy applicazione Web (WAP). È anche necessario configurare un record DNS pubblico per il server AD FS. Il server AD FS, ad esempio, potrebbe essere stato configurato con l'URL seguente.

https://fs.contoso.com

Il record DNS per i fs all'indirizzo IP pubblico del server Proxy applicazione Web (WAP), perché verrà pubblicato come parte dell'applicazione WAP.

Certificati

È necessario configurare i certificati per l'applicazione proxy applicazione Web e per il server AD FS. Entrambi questi certificati devono essere parte di un'autorità di certificazione valida e riconosciuta dai dispositivi mobili.

Configurazione di Reporting Services

Per Reporting Services gli elementi da configurare sono limitati. È sufficiente assicurarsi che:

Nome dell'entità servizio (SPN)

Il nome dell'entità servizio (SPN) è un identificatore univoco per un servizio che usa l'autenticazione Kerberos. È necessario verificare di avere un nome SPN HTTP corretto per il server di report.

Per informazioni su come configurare il corretto nome dell'entità servizio (SPN) per il server di report, vedere Registrare un nome dell'entità servizio (SPN) per un server di report.

Abilitare la negoziazione dell'autenticazione

Per abilitare l'uso dell'autenticazione Kerberos in un server di report è necessario configurare il tipo di autenticazione del server di report come RSWindowsNegotiate. Questa operazione viene eseguita all'interno del file rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Per altre informazioni, vedere Modificare un file di configurazione di Reporting Services e Configurare l'autenticazione di Windows nel server di report.

Configurazione di Active Directory Federation Services (AD FS)

È necessario configurare AD FS in un server Windows all'interno dell'ambiente. La configurazione può essere eseguita usando Server Manager e selezionando Aggiungi ruoli e funzionalità in Gestisci. Per altre informazioni, vedere Active Directory Federation Services.

Importante

A partire dal 1° marzo 2025, le app Power BI per dispositivi mobili non potranno più connettersi al server di report tramite AD FS configurato in Windows Server 2016. Vedere anche la nota all'inizio di questo articolo.

Creare un gruppo di applicazioni

All'interno della schermata di gestione di AD FS è necessario creare un gruppo di applicazioni per Reporting Services, che include informazioni per le app Power BI per dispositivi mobili.

È possibile creare il gruppo di applicazioni con i passaggi seguenti.

  1. All'interno dell'app di gestione di AD FS, fare clic con il pulsante destro del mouse su Gruppi di applicazioni e selezionare Aggiungi gruppo di applicazioni

    Aggiungere un'applicazione AD FS

  2. Nell'aggiunta guidata del gruppo di applicazioni, fornire un nome per il gruppo di applicazioni e selezionare Applicazione nativa che accede a un'API Web.

    Procedura guidata del gruppo di applicazioni AD FS 01

  3. Selezionare Avanti.

  4. Fornire un nome per l'applicazione che si sta aggiungendo.

  5. Mentre il ID client verrà generato automaticamente, immettere 484d54fc-b481-4eee-9505-0258a1913020 per iOS e Android.

  6. È consigliabile aggiungere i seguenti URL di reindirizzamento:

    Voci per Power BI per dispositivi mobili - iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Le app Android necessitano solo dei passaggi seguenti:
    urn:ietf:wg:oauth:2.0:oob

    Procedura guidata del gruppo di applicazioni AD FS 02

  7. Selezionare Avanti.

  8. Fornire l'URL del server di report. Si tratta dell'URL esterno che raggiungerà il proxy applicazione Web. Deve essere nel formato seguente.

    Nota

    L'URL rispetta la distinzione tra maiuscole e minuscole.

    https://<report server url>/reports

    Procedura guidata del gruppo di applicazioni AD FS 03

  9. Selezionare Avanti.

  10. Scegliere i Criteri di controllo di accesso idonei alle esigenze della propria organizzazione.

    Procedura guidata del gruppo di applicazioni AD FS 04

  11. Selezionare Avanti.

  12. Selezionare Avanti.

  13. Selezionare Avanti.

  14. Selezionare Chiudi.

Al termine, le proprietà del gruppo di applicazioni avranno un aspetto simile al seguente.

Procedura guidata del gruppo di applicazioni AD FS

Eseguire ora il comando di PowerShell seguente nel server AD FS per assicurarsi che l'aggiornamento del token sia supportato.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Configurazione del Proxy applicazione Web (WAP)

È consigliabile abilitare il ruolo di Proxy applicazione Web Windows in un server nell'ambiente in uso. Deve essere in un server Windows. Per altre informazioni, vedere Proxy applicazione Web in Windows Server e Pubblicazione di applicazioni con la preautenticazione di AD FS.

Configurazione della delega vincolata

Per passare dall'autenticazione OAuth all'autenticazione di Windows, è necessario usare la delega vincolata con transizione del protocollo. Fa parte della configurazione di Kerberos. È già stato definito il nome SPN di Reporting Services all'interno della configurazione di Reporting Services.

È necessario configurare la delega vincolata nell'account del computer Server WAP all'interno di Active Directory. Potrebbe essere necessario collaborare con un amministratore di dominio se non si dispone dei diritti per Active Directory.

Per configurare la delega vincolata, eseguire le operazioni seguenti.

  1. Sul computer in cui sono installati gli strumenti di Active Directory, avviare Utenti e computer di Active Directory.

  2. Trovare l'account del computer per il server WAP. Per impostazione predefinita, si trova nel contenitore dei computer.

  3. Fare clic con il pulsante destro sul server WAP e passare a Proprietà.

  4. Selezionare la scheda Delega.

  5. Selezionare Computer attendibile per la delega solo ai servizi specificati e quindi Utilizza un qualsiasi protocollo di autenticazione.

    Vincolato da WAP

    Consente di impostare una delega vincolata per l'account di computer Server WAP. È quindi necessario specificare i servizi che questo computer è autorizzato a delegare.

  6. Selezionare Aggiungi... nella casella Servizi.

    Vincolato da WAP 02

  7. Selezionare Utenti o computer…

  8. Immettere l'account del servizio che si sta usando per Reporting Services. Si tratta dell'account a cui è stato aggiunto il nome SPN all'interno della configurazione di Reporting Services.

  9. Selezionare il nome SPN per Reporting Services e quindi OK.

    Nota

    Potrebbe essere visualizzato solo il nome SPN di NetBIOS. Se esistono entrambi, verranno effettivamente selezionati i nomi SPN di NetBIOS e FQDN.

    Vincolato da WAP 03

  10. Il risultato dovrebbe essere simile al seguente quando la casella di controllo Espansa è selezionata.

    Vincolato da WAP 04

  11. Seleziona OK.

Aggiungere applicazione WAP

Mentre è possibile pubblicare applicazioni nella console di gestione di accesso ai report, è consigliabile creare l'applicazione con PowerShell. Ecco il comando per aggiungere l'applicazione.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parametro Commenti
ADFSRelyingPartyName Il nome dell'API Web creato come parte del gruppo di applicazioni all'interno di AD FS.
ExternalCertificateThumbprint Il certificato da usare per gli utenti esterni. È importante che il certificato sia valido per i dispositivi mobili e provenga da un'autorità di certificazione attendibile.
BackendServerUrl L'URL per il server di report dal server WAP. Se il server WAP si trova in una rete perimetrale, è necessario usare un nome di dominio completo. Assicurarsi che sia possibile raggiungere l'URL dal browser Web nel server WAP.
BackendServerAuthenticationSPN Il nome SPN creato come parte della configurazione di Reporting Services.

Impostazione dell'autenticazione integrata per l'applicazione WAP

Dopo aver aggiunto l'applicazione WAP, è necessario impostare BackendServerAuthenticationMode in modo da usare IntegratedWindowsAuthentication. A tale scopo, è necessario l'ID dell'applicazione WAP.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Aggiungi gruppo di applicazioni

Eseguire il comando seguente per impostare il nome BackendServerAuthenticationMode usando l'ID dell'applicazione WAP.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Aggiunta guidata gruppo di applicazioni

Connessione con l'app Power BI per dispositivi mobili

All'interno dell'app Power BI per dispositivi mobili è consigliabile connettersi all'istanza di Reporting Services. A tale scopo, specificare l'URL esterno per l'applicazione WAP.

Digitare l'indirizzo del server

Quando si seleziona Connetti si verrà indirizzati alla pagina di accesso di AD FS. Immettere le credenziali valide per il dominio.

Accedere ad AD FS

Dopo aver selezionato Accedi, vengono visualizzati gli elementi dal server di Reporting Services.

Autenticazione a più fattori

È possibile abilitare l'autenticazione a più fattori per applicare una protezione aggiuntiva per l'ambiente. Per altre informazioni, vedere Configurare l'autenticazione a più fattori di Microsoft Entra come provider di autenticazione con AD FS.

Risoluzione dei problemi

Viene visualizzato l'errore "Non è stato possibile accedere al server SSRS"

Errore

È possibile impostare Fiddler in modo che funga da proxy per i dispositivi mobili e visualizzi l'avanzamento della richiesta. Per abilitare un proxy di Fiddler per il dispositivo telefonico, è necessario configurare CertMaker per iOS e Android nel computer che esegue Fiddler. Il componente aggiuntivo è di Telerik per Fiddler.

Se l'accesso funziona correttamente quando si usa Fiddler, potrebbe essere un problema di certificato con l'applicazione WAP o il server AD FS.

Contenuto correlato