Compartilhar via

Conectar-se ao Servidor de Relatórios do Power BI e ao SSRS de aplicativos móveis do Power BI

  • Artigo

Este artigo mostra como configurar seu ambiente para dar suporte à autenticação OAuth com o aplicativo móvel do Power BI para estabelecer conexão com o Servidor de Relatórios do Power BI e o SQL Server Reporting Services 2016 ou posterior.

Requisitos

É necessário ter o Windows Server para os servidores WAP (Proxy de aplicativo Web) e AD FS (Serviços de Federação do Active Directory). Não é necessário ter um domínio de nível funcional do Windows.

Para que os usuários possam adicionar uma conexão do Servidor de Relatório ao aplicativo móvel do Power BI, você deve permitir acesso à pasta base do Servidor de Relatório.

Observação

A partir de 1.º de março de 2025, o aplicativo Power BI Mobile não poderá mais se conectar ao Servidor de Relatórios usando o protocolo OAuth por meio do AD FS configurado no Windows Server 2016. Os clientes que usam o OAuth com o AD FS configurado no Windows Server 2016 e o WAP (Proxy de Aplicativo Web) precisarão atualizar seu servidor do AD FS para o Windows Server 2019 ou posterior, ou usar o proxy de aplicativo do Microsoft Entra. Após a atualização do Windows Server, talvez os usuários do aplicativo Power BI Mobile precisem entrar novamente no Servidor de Relatórios.

Essa atualização é necessária devido a uma alteração na biblioteca de autenticação usada pelo aplicativo móvel. A alteração não afeta de maneira nenhuma o suporte da Microsoft para o AD FS no Windows Server 2016, mas apenas a capacidade do aplicativo Power BI Mobile de se conectar a ele.

Configuração DNS (Serviços de nomes de domínio)

A URL pública é a URL à qual o aplicativo móvel do Power BI se conecta. Por exemplo, ela pode ser semelhante à seguinte.

https://reports.contoso.com

Seu registro DNS de relatórios para o endereço IP público do servidor WAP (Proxy do Aplicativo Web). Também é necessário configurar um registro de DNS público para seu servidor AD FS. Por exemplo, talvez você tenha configurado o servidor AD FS com a seguinte URL.

https://fs.contoso.com

Seu registro DNS de fs para o endereço IP público do servidor WAP (Proxy do Aplicativo Web), uma vez que ele será publicado como parte do aplicativo WAP.

Certificados

É necessário configurar certificados para o aplicativo WAP e para o servidor AD FS. Esses certificados devem fazer parte de uma autoridade de certificado válida que seus dispositivos móveis reconheçam.

Configuração do Reporting Services

Não há muito o que configurar no lado do Reporting Services. Você só precisa ter certeza de que:

SPN (Nome da Entidade de Serviço)

O SPN é um identificador exclusivo para um serviço que usa a autenticação Kerberos. É necessário certificar-se de que você tenha um SPN HTTP apropriado presente para o servidor de relatório.

Para obter informações sobre como configurar o SPN (Nome da Entidade de Serviço) adequado para seu servidor de relatório, consulte Registrar um SPN (Nome da Entidade de Serviço) para um servidor de relatório.

Habilitando a autenticação do tipo negociar

Para habilitar um servidor de relatório para usar a autenticação Kerberos, é necessário configurar o Tipo de Autenticação do servidor de relatório para ser RSWindowsNegotiate. Faça isso no arquivo rsreportserver.config.

<AuthenticationTypes>  
    <RSWindowsNegotiate />  
    <RSWindowsKerberos />  
    <RSWindowsNTLM />  
</AuthenticationTypes>

Para obter mais informações, consulte Modify a Reporting Services Configuration File (Modificar um arquivo de configuração de serviços) e Configurar a Autenticação do Windows no servidor de relatório.

Configuração do AD FS (Serviços de Federação do Active Directory)

É necessário configurar o AD FS em um servidor do Windows em seu ambiente. A configuração pode ser feita por meio do Gerenciador do Servidor e selecionando Adicionar Funções e Recursos em Gerenciar. Para obter mais informações, consulte Serviços de Federação do Active Directory.

Importante

A partir de 1.º de março de 2025, os aplicativos Power BI Mobile não poderão mais se conectar ao Servidor de Relatórios por meio do AD FS configurado no Windows Server 2016. Confira a nota no início deste artigo.

Criar um grupo de aplicativos

Na tela Gerenciamento do AD FS, crie um grupo de aplicativos para o Reporting Services, que inclua as informações dos aplicativos Power BI Mobile.

É possível criar o grupo de aplicativos com as etapas a seguir.

  1. Dentro do aplicativo de Gerenciamento do AD FS, clique com botão direito do mouse em Grupos de Aplicativos e selecione Adicionar Grupo de Aplicativos…

    Adicionar Aplicativo no AD FS

  2. No Assistente para Adicionar Grupo de Aplicativos, forneça um nome para o grupo de aplicativos e selecione Aplicativo nativo acessando uma API Web.

    Assistente de Grupo de Aplicativos 01 do AD FS

  3. Selecione Avançar.

  4. Forneça um nome para o aplicativo que você está adicionando.

  5. Enquanto a ID do cliente estiver sendo automaticamente gerada para o seu, insira 484d54fc-b481-4eee-9505-0258a1913020 para iOS e Android.

  6. Adicione as seguintes URLs de Redirecionamento:

    Entradas para o Power BI para Celulares – iOS:
    msauth://code/mspbi-adal://com.microsoft.powerbimobile
    msauth://code/mspbi-adalms://com.microsoft.powerbimobilems
    mspbi-adal://com.microsoft.powerbimobile
    mspbi-adalms://com.microsoft.powerbimobilems

    Os aplicativos Android só precisam das seguintes etapas:
    urn:ietf:wg:oauth:2.0:oob

    Assistente de Grupo de Aplicativos 02 do AD FS

  7. Selecione Avançar.

  8. Forneça a URL do seu Servidor de Relatório. Esta é a URL externa que atingirá o Proxy de aplicativo Web. Ela deve estar no formato a seguir.

    Observação

    Esta URL diferencia maiúsculas de minúsculas!

    https://<report server url>/reports

    Assistente de Grupo de Aplicativos 03 do AD FS

  9. Selecione Avançar.

  10. Escolha a Política de Controle de Acesso que atenda às necessidades da sua organização.

    Assistente de Grupo de Aplicativos 04 do AD FS

  11. Selecione Avançar.

  12. Selecione Avançar.

  13. Selecione Avançar.

  14. Selecione Fechar.

Depois de concluir, você deverá ver que as propriedades do seu grupo de aplicativos são semelhantes ao seguinte.

Assistente de Grupo de Aplicativos do AD FS

Agora, execute o seguinte comando do PowerShell no servidor do AD FS para garantir o suporte para a atualização de token.

Set-AdfsApplicationPermission -TargetClientRoleIdentifier '484d54fc-b481-4eee-9505-0258a1913020' -AddScope 'openid'

Configuração WAP (Proxy de aplicativo Web)

Habilite a função do Windows Proxy do Aplicativo Web (Função) em um servidor no seu ambiente. Ele deve estar em um servidor Windows. Para obter mais informações, consulte Proxy de aplicativo Web no Windows Server e Publicar aplicativos usando pré-autenticação do AD FS.

Configuração de delegação restrita

Para fazer a transição da autenticação OAuth para a autenticação do Windows, é necessário usar a delegação restrita com transição de protocolos. Isso faz parte da configuração do Kerberos. Já definimos o SPN do Reporting Services na configuração do Reporting Services.

É necessário configurar a delegação restrita na conta do computador do servidor WAP dentro do Active Directory. Pode ser necessário trabalhar com um administrador de domínio, caso você não tenha direitos no Active Directory.

Para configurar a delegação restrita, siga as etapas abaixo.

  1. Em um computador com as ferramentas do Active Directory instaladas, abra Usuários e Computadores do Active Directory.

  2. Localize a conta do computador do servidor WAP. Por padrão, isso esta no contêiner de computadores.

  3. Clique com botão direito do mouse no servidor WAP e acesse Propriedades.

  4. Selecione a guia Delegação.

  5. Selecione Confiar no computador para delegação apenas a serviços especificados e Usar qualquer protocolo de autenticação.

    WAP restrito

    Isso configura a delegação restrita para essa conta do computador do servidor WAP. Em seguida, é necessário especificar os serviços aos quais este computador tem permissão para delegar.

  6. Selecione Adicionar na caixa de serviços.

    WAP restrito 02

  7. Selecione Usuários ou Computadores...

  8. Insira a conta de serviço que está sendo usada para os Reporting Services. Essa é a conta em que você adicionou o SPN dentro da configuração do Reporting Services.

  9. Selecione o SPN para o Reporting Services e selecione OK.

    Observação

    Você pode ver apenas o SPN NetBIOS. Na verdade, ele selecionará os SPNs NetBIOS e FQDN se ambos existirem.

    WAP restrito 03

  10. O resultado deverá ser semelhante ao seguinte quando a caixa de seleção Expandido estiver marcada.

    WAP restrito 04

  11. Selecione OK.

Adicionar aplicativo WAP

Embora seja possível publicar aplicativos no Console de gerenciamento de acesso a relatórios, nós queremos criar o aplicativo por meio do PowerShell. Confira o comando para adicionar o aplicativo.

Add-WebApplicationProxyApplication -Name "Contoso Reports" -ExternalPreauthentication ADFS -ExternalUrl https://reports.contoso.com/ -ExternalCertificateThumbprint "0ff79c75a725e6f67e3e2db55bdb103efc9acb12" -BackendServerUrl https://ContosoSSRS/ -ADFSRelyingPartyName "Reporting Services - Web API" -BackendServerAuthenticationSPN "http/ContosoSSRS.contoso.com" -UseOAuthAuthentication
Parâmetro Comentários
ADFSRelyingPartyName O nome da API Web criada como parte do Grupo de Aplicativos no AD FS.
ExternalCertificateThumbprint O certificado a ser usado para os usuários externos. É importante que o certificado seja válido em dispositivos móveis e que venha de uma autoridade de certificação confiável.
BackendServerUrl A URL para o Servidor de Relatório do servidor WAP. Se o servidor WAP estiver em uma Rede de Perímetro pode ser necessário usar um nome de domínio totalmente qualificado. Certificar-se de que você pode acessar essa URL no navegador da Web no servidor WAP.
BackendServerAuthenticationSPN O SPN criado como parte da configuração do Reporting Services.

Configurando a autenticação integrada do aplicativo WAP

Depois de adicionar o aplicativo WAP, é necessário definir BackendServerAuthenticationMode para usar IntegratedWindowsAuthentication. É necessária a ID do aplicativo WAP para defini-la.

Get-WebApplicationProxyApplication "Contoso Reports" | fl

Adicionar Grupo de Aplicativos

Execute o seguinte comando para definir BackendServerAuthenticationMode usando a ID do aplicativo WAP.

Set-WebApplicationProxyApplication -id 30198C7F-DDE4-0D82-E654-D369A47B1EE5 -BackendServerAuthenticationMode IntegratedWindowsAuthentication

Assistente para Adicionar Grupo de Aplicativos

Conectando-se ao aplicativo Power BI para Celulares

Dentro do aplicativo móvel do Power BI, conecte-se à sua instância do Reporting Services. Para fazer isso, forneça a URL Externa para seu aplicativo WAP.

Digite o endereço do servidor

Ao selecionar Conectar, você será direcionado para a página de entrada do AD FS. Insira credenciais válidas para seu domínio.

Iniciar sessão no AD FS

Depois de selecionar Entrar, você verá os elementos do seu servidor do Reporting Services.

Autenticação multifator

É possível habilitar a autenticação multifator para habilitar a segurança adicional do seu ambiente. Para saber mais, consulte Configurar a autenticação multifator do Microsoft Entra como provedor de autenticação com o AD FS.

Solução de problemas

Você recebe o erro "Falha ao entrar no servidor SSRS"

Erro

É possível configurar o Fiddler para funcionar como um proxy para seus dispositivos móveis para ver até onde a solicitação chegou. Para habilitar um proxy do Fiddler para seu dispositivo de telefone, é necessário configurar o CertMaker para iOS e Android no computador que estiver executando o Fiddler. Esse é um complemento da Telerik para o Fiddler.

Se as credenciais funcionarem com êxito usando o Fiddler, é possível que você tenha um problema de certificado com o aplicativo WAP ou com o servidor AD FS.

Conteúdo relacionado