Ga naar inhoud

Toegang verlenen

In dit artikel wordt de methode beschreven voor het gebruik van service-principal en toepassings-id voor ingesloten Power BI-analyses, met de nadruk op verificatie met behulp van toepassings-id en geheim.

Stap 1: Een Azure AD-app maken

Cloud: De Azure AD-app moet al geconfigureerd zijn. Als u de naam van de Azure AD-app bent vergeten, kunt u naar de pagina Module-instellingen in Business Central navigeren om de naam te achterhalen.

OnPrem: Stel een Azure AD-app in via de Azure Portal of PowerShell. Verkrijg de applicatie-ID en het maken van geheime berichten. Het proces omvat het registreren van de app, het instellen van certificaten en geheimen en het vastleggen van de client-id en service-principalgegevens (als u PowerShell gebruikt).

Stap 2: Een Azure AD-beveiligingsgroep maken

Als u de service-principal toegang wilt verlenen tot Power BI-inhoud en -API's, maakt u een beveiligingsgroep in Azure AD en voegt u de service-principal toe aan deze groep. Dit kan handmatig worden gedaan in Azure of met behulp van PowerShell.

Info

Als u toegang tot service-principal voor de hele organisatie wilt inschakelen, slaat u deze stap over.

Er zijn twee manieren om een Azure AD-beveiligingsgroep te maken:

  • PowerShell gebruiken

Een beveiligingsgroep maken met behulp van PowerShell

Met het volgende voorbeeldscript wordt een nieuwe beveiligingsgroep gemaakt. De service-principal die u eerder hebt gemaakt, wordt ook toegevoegd aan de nieuwe beveiligingsgroep.

  • Voordat u het script uitvoert, vervangt u <app-client-ID> door de client-ID die u eerder hebt vastgelegd voor uw nieuwe app.
  • Nadat u het script hebt uitgevoerd, maakt u een notitie van de object-id van de nieuwe beveiligingsgroep, die u kunt vinden in de scriptuitvoer.
Powershell
# Sign in as an admin.
Connect-MgGraph -Scopes "Application.ReadWrite.All"

# Get the service principal that you created earlier.
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '<app-client-ID>'"

# Create an Azure AD security group.
$group = New-MgGroup -DisplayName "securitygroup1" -SecurityEnabled -MailEnabled:$False -MailNickName "notSet"
Write-Host "Object ID of new security group: " $($group.Id)

# Add the service principal to the group.
New-MgGroupMember -GroupId $($group.Id) -DirectoryObjectId $($servicePrincipal.Id)

Stap 3: Schakel de beheerdersinstellingen van de Power BI-service in

Power BI-beheerder moet instellingen inschakelen waarmee de Azure AD-app toegang heeft tot Power BI-inhoud en API's. Dit kan worden ingesteld in de Power BI-beheerportal, onder de sectie Tenantinstellingen > Ontwikkelaarsinstellingen.

Als een Azure AD-app toegang wil geven tot de Power BI-inhoud en API's, moet een Power BI-beheerder de volgende instellingen inschakelen:

  • Service-principals toestaan Power BI-API's te gebruiken

Ga in de Power BI-beheerportal naar Tenantinstellingen en schuif omlaag naar Ontwikkelaarsinstellingen.

Schakel Service-principals toestaan Power BI-API's te gebruiken in voor de hele organisatie of voor de specifieke beveiligingsgroep die u in Azure AD hebt gemaakt.

Warning

  • Service-principals hebben toegang tot alle tenantinstellingen waarvoor ze zijn ingeschakeld. Afhankelijk van uw beheerdersinstellingen omvat dit specifieke beveiligingsgroepen of de hele organisatie.
  • Als u de toegang tot de service-principal wilt beperken tot specifieke tenantinstellingen, moet u alleen toegang toestaan tot specifieke beveiligingsgroepen. U kunt ook een toegewezen beveiligingsgroep maken voor service-principals en deze uitsluiten van de gewenste tenantinstellingen.

Stap 4: Voeg de service-principal toe aan uw werkruimte

Verleen de Azure AD-app toegang tot de Power BI-werkruimte door de service-principal of de beveiligingsgroep toe te voegen aan uw werkruimte als lid of beheerder. Dit kan handmatig, via PowerShell of met behulp van de API.

Er zijn drie manieren om een service-principal of de bijbehorende beveiligingsgroep toe te voegen aan uw werkruimte:

  • Gebruik de API voor groepen - groepsgebruiker toevoegen

Handmatig een service-principal of beveiligingsgroep toevoegen

  • Schuif in de Power BI-service naar de werkruimte waarvoor u toegang wilt inschakelen. Selecteer in het menu Meer de optie Toegang tot werkruimte. Voeg in het deelvenster Toegang onder Beheerders, leden of inzenders toevoegen een van de volgende opties toe:
  • Uw servicedirecteur. De naam van uw service-principal is de weergavenaam van uw Azure AD-app, zoals deze wordt weergegeven op het overzichtstabblad van uw Azure AD-app.

  • De beveiligingsgroep die uw service-principal bevat.

  • Selecteer in het vervolgkeuzemenu de optie Lid of Beheerder.

  • Selecteer Toevoegen.

Een service-principal toevoegen als lid van een werkruimte met behulp van PowerShell

Met het volgende script wordt een service-principal toegevoegd als lid van de werkruimte. Voordat u het script uitvoert:

  • Vervang &lt;service-principal-object-ID> door de object-ID die u eerder hebt vastgelegd voor uw nieuwe service-principal.
  • Vervang &lt;workspace-name&gt; door de naam van de workspace waartoe u de service-principal toegang wilt geven.

'''powershell title="Powershell"

Meld u aan bij Power BI.

Inloggen-PowerBI

Stel de service-principal-id in.

$SPObjectID = ""

Krijg de werkruimte.

$pbiWorkspace = Get-PowerBIWorkspace -Filter "naam eq ''"

Voeg de service-principal toe aan de werkruimte.

Add-PowerBIWorkspaceUser -ID \((\)pbiWorkspace.Id) -AccessRight Member -PrincipalType App -Identifier \((\)SPObjectID) '''

Overwegingen en beperkingen

  • Specifieke machtigingen zijn vereist voor gebruik met de gegevensbron Azure Analysis Services.