PowerBI-widget – Konfigurationsvejledning
Denne vejledning beskriver to sikkerhedsmetoder til implementering af PowerBI-widgeten i virksomhedsmiljøer.
PowerBI-widgeten kan downloades her: gobright
Oversigt
PowerBI-widgeten understøtter to modeller for godkendelse og autorisation:
- Mulighed 1: Direkte tjenesteenhed – Enkel opsætning, hvor tjenesteenheden tildeles direkte
- Mulighed 2: Sikkerhedsgruppe – anbefalet til virksomheder, ved brug af Entra ID-sikkerhedsgrupper
Forudsætninger (begge muligheder)
Gennemgå følgende trin, da de gælder for begge muligheder.
1. Registrering af Azure AD-app
1. Gå til Azure-portalen > Azure Active Directory > App-registreringer
2. Klik Ny registrering
3. Konfigurer:
- Navn: PowerBI-Widget-App (eller det navn, du foretrækker)
- Understøttede kontotyper: Kun konti i denne organisationsmappe
- Omdirigerings-URI: Lad feltet være tomt
4. Klik Registrer dig
2. Konfigurer app-registrering
Efter tilmeldingen skal du notere følgende:
- Applikation (klient) ID
- Directory (lejer) ID
3. Opret en klientnøgle
1. Gå til Administrer > Certifikater og hemmeligheder
2. Klik på +Ny klienthemmelighed
3. Konfigurer:
- Beskrivelse: PowerBI-Widget-Secret
- Udløbsdato: 24 måneder (anbefalet)
- Klik på Tilføj
4. Kopier den hemmelige værdi med det samme – du får det aldrig at se igen
4. API-tilladelser (ikke påkrævet)
Vigtigt: Der kræves ingen yderligere API-tilladelser i Azure AD til denne widget.
Tjenesteenheden får adgang via:
1. Power BI-administratorindstillinger (konfigureret nedenfor)
2. Direkte arbejdsområde-tilladelser (konfigureret nedenfor)
Standardtilladelsen User.Read kan bibeholdes, men yderligere Power BI API-tilladelser er unødvendige, da adgangen gives på Power BI-tjenesteniveau og ikke via Azure AD API-tilladelser.
Når du har gennemført ovenstående trin, skal du vælge den mulighed, du ønsker at fortsætte med, og følge de tilhørende instruktioner.
Mulighed 1: Direkte tjenesteudbyder (enkel opsætning)
Konfiguration af Power BI Admin Center
1. Gå til Power BI-administratorportal > Indstillinger for lejere
2. Konfigurer følgende indstillinger:
Udviklerindstillinger
- ✅ Aktiveret: Serviceprincipaler kan kalde Fabric's offentlige API'er
- Gælder for: Hele organisationen
Indstillinger for indlejret indhold
- ✅ Aktiveret: Indsæt indhold i apps
- Gælder for: Hele organisationen
Konfiguration af adgang til arbejdsområdet
1. Gå til din PowerBI-arbejdsområde
2. Klik Administrer adgang
3. Klik +Tilføj personer eller grupper
4. Søg efter din serviceprincipal:
- Format: [Appnavn] (App-id: [Applikations-klient-id])
5. Vælg tilladelsesniveau:
- Medlem (anbefales) – Fuld adgang til indholdet i arbejdsområdet
- Bidragyder – Kan oprette/redigere indhold
- Seer – Skrivebeskyttet adgang (kræves som minimum)
6. Klik på Tilføj
Mulighed 2: Sikkerhedsgruppe (anbefales til virksomheder)
Trin 1: Opret en Entra ID-sikkerhedsgruppe
1. Gå til Azure Portal > Azure Active Directory > Grupper
2. Klik på Ny gruppe
3. Konfigurer:
- Gruppetype: Sikkerhed
- Gruppenavn: PowerBI-Service-Principals
- Gruppebeskrivelse: Sikkerhedsgruppe for tjenesteenheder i PowerBI-widget
- Medlemskabstype: Tildelt
4. Klik på Opret
Trin 2: Tilføj tjenesteenheden til sikkerhedsgruppen
1. Åbn den oprettede sikkerhedsgruppe
2. Gå til Administrer > Medlemmer > Tilføj medlemmer
3. Søg efter din serviceprincipal:
- Format: [Appnavn] (App-id: [Applikations-klient-id])
- Eksempel: PowerBI-Widget-App (AppId: 12345678-1234-1234-1234-123456789abc)
4. Vælg og klik Vælg
Trin 3: Konfiguration af Power BI Admin Center
1. Gå til Power BI-administratorportal > Indstillinger for lejere
2. Konfigurer følgende indstillinger:
Udviklerindstillinger
- ✅ Aktiveret: Serviceprincipaler kan kalde Fabric's offentlige API'er
- Gælder for: Bestemte sikkerhedsgrupper
- Sikkerhedsgrupper: Tilføj din sikkerhedsgruppe:
- PowerBI-tjenesteenheder
Indstillinger for indlejret indhold
- ✅ Aktiveret: Indsæt indhold i apps
- Gælder for: Bestemte sikkerhedsgrupper
- Sikkerhedsgrupper: Samme sikkerhedsgruppe som ovenfor:
- PowerBI-tjenesteenheder
Trin 4: Konfiguration af adgang til arbejdsområdet
1. Gå til dit PowerBI-arbejdsområde
2. Klik på Administrer adgang
3. Klik +Tilføj personer eller grupper
4. Søg efter din sikkerhedsgruppe:
- PowerBI-tjenesteenheder
5. Vælg tilladelsesniveau:
- Medlem (anbefales) – Fuld adgang til indholdet i arbejdsområdet
- Bidragyder – Kan oprette/redigere indhold
- Seer – Skrivebeskyttet adgang (kræves som minimum)
6. Klik på Tilføj
Widget-konfiguration
Nødvendige parametre
{
“tenantID”: “your-tenant-id”,
“clientID”: “your-application-client-id”,
“clientSecret”: “your-client-secret”,
“inputUrl”: “https://app.powerbi.com/groups//reports/”
}
Understøttede URL-formater
- Rapporter: https://app.powerbi.com/groups//reports/
- Specifikke sider: https://app.powerbi.com/groups//reports//ReportSection
- Dashboards: https://app.powerbi.com/groups//dashboards/
Sikkerhedssammenligning
| Aspekt | Leder af den direkte service | Sikkerhedsgruppe |
|---|---|---|
| Kompleksitet ved opsætning | Enkelt | Moderat |
| Skalerbarhed i virksomheden | Brugervejledning pr. app | Centraliseret styring |
| Tilladelsesstyring | Individuelle opdateringer | Opdateringer baseret på grupper |
| Revisionsspor | App-specifik | Gruppebaseret |
| Bedst til | Enkeltstående app/POC | Implementering i virksomheder |
| Sikkerhed | ✅ Sikker | ✅ Mere sikker |
| Vedligeholdelse | Større indsats | Mindre indsats |
Fejlfinding
Almindelige problemer
Fejl: »Uautoriseret« eller »Token er udløbet«
- Kontroller, at klientnøglen ikke er udløbet
- Kontroller, at API-tilladelser er tildelt med administratorens godkendelse
- Sørg for, at serviceprincipalen/sikkerhedsgruppen har adgang til arbejdsområdet
Fejl: „Serviceprincip ikke fundet“
- Vent 10–15 minutter efter oprettelsen af app-registreringen
- Kontroller, at tjenesteenheden er føjet til sikkerhedsgruppen (Mulighed 2)
- Kontroller, at Power BI-administratorindstillingerne tillader tjenesteenheder
Fejl: »Adgang til arbejdsområdet nægtet«
- Kontroller rettighederne til arbejdsområdet (minimum: Visning)
- Kontroller synligheden af arbejdsområdet (det må ikke være et personligt arbejdsområde)
- Sørg for, at sikkerhedsgruppen har den rette adgang til arbejdsområdet (mulighed 2)
Fejl: »Der skal være mindst 1 datasæt« (Dashboards)
- Dette klares automatisk af widgeten
- Opstår ved statiske dashboards (billeder, kun tekst)
- Widgetten indeholder en fallback-funktion
Gode eksempler
1. Brug sikkerhedsgrupper i virksomhedsmiljøer
2. Skift klienthemmeligheder regelmæssigt (hver 12.–24. måned)
3. Tildel de nødvendige minimumsrettigheder (visningsrettigheder er tilstrækkeligt til indlejring)
4. Overvåg brugen af tjenesteenheder via Azure AD-revisionslogfiler
5. Dokumenter medlemskab af sikkerhedsgrupper med henblik på overholdelse af reglerne
6. Test med brugere uden administratorrettigheder for at kontrollere, at tilladelserne er korrekte
Sikkerhedshenvisninger
- Klientlegitimationsoplysningerne giver adgang på applikationsniveau (ikke brugerspecifik)
- Tilladelser, der er begrænset til arbejdsområder, begrænser adgangen til kun de tildelte arbejdsområder
- Der kræves ingen interaktiv godkendelse – egnet til widgets på serversiden
- Sikkerhedsgrupper giver bedre styrings- og revisionsmuligheder
- Regelmæssig udskiftning af adgangskoder sikrer et højt sikkerhedsniveau
