Einbetten eines Berichts mit tokenbasierter Identität (SSO)

GILT FÜR: Die App besitzt die Daten Der Benutzer besitzt die Daten

Die tokenbasierte Identität ermöglicht es einem ISV, ein Microsoft Entra-Zugriffstoken zu verwenden, um die Identität eines Kunden an eine Azure SQL-Datenbank zu übergeben, die im Mandanten des Kunden verwaltet wird.

ISV-Kunden, die ihre Daten in Azure SQL-Datenbank speichern und verwalten, können ihre Daten bei der Integration in Power BI Embedded in die ISV-App in ihrem Mandanten schützen.

Geben Sie beim Generieren des Einbettungstokens die Identität des Benutzers oder der Benutzerin in Azure SQL an, indem Sie das Microsoft Entra-Zugriffstoken dieses Benutzers oder dieser Benutzerin für den Azure SQL-Server übergeben. Anhand des Zugriffstokens werden dann nur die relevanten Daten für diese*n Benutzer*in für diese bestimmte Sitzung per Pull aus Azure SQL abgerufen.

Schematische Zeichnung, die zeigt, wie ein ISV die effektive Identität an den SQL-Mandanten übergibt und ein Kunde ein Einbettungstoken zurückgibt.

Important

Einschränkungen für app-owns-data-SSO:

In Szenarien, in denen die App die Daten besitzt (Dienstprinzipal- oder Masterbenutzerauthentifizierung), wird SSO für DirectQuery-Datenquellen nur mit Azure SQL-Datenbank unterstützt.
Beim Generieren eines Einbettungstokens mit SSO müssen Sie eine IdentityBlob für jede Datenquelle bereitstellen, für die SSO aktiviert ist. Das Auslassen des IdentityBlob bewirkt, dass die Tokengenerierung oder Abfrageausführung fehlschlägt.

Einrichten der tokenbasierten Identität

Die tokenbasierte Identität funktioniert nur für DirectQuery-Modelle in einer Kapazität, die mit einer Azure SQL-Datenbank-Instanz verbunden und so konfiguriert ist, dass sie die Microsoft Entra-Authentifizierung zulässt. Die Datenquelle des semantischen Modells muss für die Verwendung der OAuth2-Anmeldeinformationen des Endbenutzers konfiguriert sein, um eine tokenbasierte Identität verwenden zu können. Weitere Informationen zur Microsoft Entra-Authentifizierung für Azure SQL-Datenbank.

Überprüfen Sie vor dem Konfigurieren der tokenbasierten Identität Folgendes:

Ihre DirectQuery-Datenquelle ist Azure SQL-Datenbank (die einzige unterstützte SSO-Datenquelle für App-eigene Datenszenarien).
Die Azure SQL-Datenbank ist für Microsoft Entra authentication konfiguriert.
Sie haben das Microsoft Entra-Zugriffstoken des Benutzers, das als IdentityBlob an den Azure SQL Server übergeben werden soll.

Einrichten im Portal
Einrichten mit der API

Wählen Sie im Power BI-Portal semantisches Modell> Weitere Optionen (drei Punkte) > Einstellungen > Anmeldeinformationen für die Datenquelle > Anmeldeinformationen bearbeiten aus.
Aktivieren Sie das Optionsfeld OAuth2.

Senden Sie einen API-Aufruf vom Typ Gateways – Datenquelle aktualisieren mit "useEndUserOAuth2Credentials" = True und "credentialType": "OAuth2" für das gewünschte semantische Modell. Der Anforderungstext sollte in etwa wie folgt aussehen:

{
  "credentialDetails": {
    "credentials": "{\"credentialData\":[{\"name\":\"accessToken\",\"value\":\"eyJ…\"}]}",
    "credentialType": "OAuth2",
    "encryptedConnection": "Encrypted",
    "encryptionAlgorithm": "None",
    "privacyLevel": "Organizational",
    "useEndUserOAuth2Credentials": true
  }
}

Generieren eines Identitätstokens

Um ein Zugriffstoken für Azure SQL zu erstellen, muss die App die delegierte Berechtigung für den Zugriff auf Azure SQL-Datenbank und Data Warehouse für die Azure SQL-Datenbank-API in der Microsoft Entra-App-Registrierungskonfiguration im Azure-Portal besitzen.

Screenshot: Konfigurationseinstellungen der Microsoft Entra-App-Registrierung im Azure-Portal Authentifizieren und Abrufen eines Tokens für Benutzer*innen vom Azure AD v2-Endpunkt für den folgenden Bereich: https://database.windows.net/.default

Hilfe finden Sie in den folgenden MSAL-Codebeispielen:

Codebeispiele für die Authentifizierung und Autorisierung von Microsoft Identity Platform – Microsoft Entra | Microsoft Learn
Microsoft-Identitätsplattform und der OAuth 2.0-Autorisierungscode-Flow

Generieren des Einbettungstokens

Um einen Bericht mit tokenbasierter Identität einzubetten, generieren Sie ein Einbettungstoken, das die Tokenbasisidentität des gewünschten ISV-Benutzers oder der gewünschten ISV-Benutzerin enthält. Sehen Sie sich die folgenden Beispiele zum Generieren von Einbettungstoken für verschiedene Szenarien an.

Note

Sie müssen einen datasourceIdentities Eintrag mit einem gültigen identityBlob für jede Azure-SQL-Datenquelle mit aktiviertem SSO einschließen. Fehlt bei einer SSO-fähigen Datenquelle das identityBlob, schlägt der Generierungsaufruf für den Einbettungstoken fehl, oder die Abfrageausführung gibt einen Fehler zurück.

{
  "datasets": [
    {
      "id": "66ba5010-xxxx-xxxx-xxxx-f2bf0125abeb",
    }
  ],
  "reports": [
    {
      "allowEdit": false,
      "id": "9e6da541-xxxx-xxxx-xxxx-7d9442827cce"
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": "YourServerName.database.windows.net",
            "database": "YourDataBaseName"
          }
        }
      ]
    }
  ]
}

{
  "reports": [
    {
      "allowEdit": false,
      "id": "2b0a27c7-xxxx-xxxx-xxxx-4d2036b42f90"
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": "YourServerName.database.windows.net",
            "database": "YourDataBaseName"
          }
        }
      ]
    }
  ]
}

{
  "datasets": [
    {
      "id": "fff1a505-xxxx-xxxx-xxxx-e69f81e5b974",
    }
  ],
  "reports": [
    {
      "allowEdit": false,
      "id": "10ce71df-xxxx-xxxx-xxxx-814a916b700d"
    }
  ],
  "identities": [
    {
      "username": "YourUsername",
      "datasets": [
        "fff1a505-xxxx-xxxx-xxxx-e69f81e5b974"
      ],
      "roles": [
        "YourRole"
      ]
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": "YourServerName.database.windows.net",
            "database": "YourDataBaseName"
          }
        }
      ]
    }
  ]
}

{
  "datasets": [
    {
      "id": "35a4a948-xxxx-xxxx-xxxx-2e6ad7a02dc7",
      "xmlaPermissions": "ReadOnly"
    },
    {
      "id": "064ef46d-xxxx-xxxx-xxxx-fd6dda7a467b",
      "xmlaPermissions": "ReadOnly"
    }
  ],
  "reports": [
    {
      "allowEdit": false,
      "id": "9e81ebf7-xxxx-xxxx-xxxx-5a6294b43d55"
    }
  ],
  "identities": [
    {
      "username": "YourUsename",
      "datasets": [
        "35a4a948-xxxx-xxxx-xxxx-2e6ad7a02dc7"
      ],
      "roles": [
        "YourRole"
      ]
    }
  ],
  "datasourceIdentities": [
    {
      "identityBlob": "eyJ…",
      "datasources": [
        {
          "datasourceType": "Sql",
          "connectionDetails": {
            "server": " YourServerName.database.windows.net",
            "database": " YourDatabaseName "
          }
        }
      ]
    }
  ]
}

Das folgende Beispiel zeigt einen eingebetteten Power BI-Bericht mit SSO und RLS, die auf das Dataset angewendet werden:

Screenshot: Eingebetteter Power BI-Bericht mit SSO und RLS, die auf das Dataset angewendet werden

Feedback

War diese Seite hilfreich?

Last updated on 2026-05-11