PowerBI-widget – konfigurasjonsveiledning
Denne veiledningen dekker to sikkerhetstilnærminger for utrulling av PowerBI-widgeten i bedriftsmiljøer.
PowerBI-widgeten kan lastes ned herfra: gobright
Oversikt
PowerBI-widgeten støtter to autentiserings- og autorisasjonsmønstre:
- Alternativ 1: Direkte tjenesteprinsipp – Enkel oppsett, tjenesteprinsipp direkte tilordnet
- Alternativ 2: Sikkerhetsgruppe – Anbefalt av bedrifter, ved bruk av Entra ID-sikkerhetsgrupper
Forutsetninger (begge alternativer)
Gjennomgå følgende trinn, ettersom de gjelder for begge alternativene.
1. Registrering av Azure AD-app
1. Gå til Azure-portalen > Azure Active Directory > App registreringer
2. Klikk Ny registrering
3. Konfigurer:
- Navn: PowerBI-Widget-App (eller ditt foretrukne navn)
- Støttede kontotyper: Kontoer kun i denne organisasjonskatalogen
- Omdirigerings-URI: La stå tomt
4. Klikk Register
2. Konfigurer appregistrering
Etter registrering, noter ned:
- Søknad (klient) ID
- Katalog (leietaker) ID
3. Opprett klienthemmelighet
1. Gå til Administrer > Sertifikater og hemmeligheter
2. Klikk på + Ny klienthemmelighet
3. Konfigurer:
- Beskrivelse: PowerBI-Widget-Secret
- Utløper: 24 måneder (anbefalt)
- Klikk på Legg til
4. Kopier den hemmelige verdien umiddelbart – du vil ikke se den igjen
4. API-tillatelser (ikke nødvendig)
Viktig : Ingen ytterligere API-tillatelser kreves i Azure AD for denne widgeten.
Tjenesteoppdragsgiveren får tilgang gjennom:
1. Power BI-administratorinnstillinger (konfigurert nedenfor)
2. Direkte arbeidsområdetillatelser (konfigurert nedenfor)
Standardtillatelsen User.Read kan beholdes, men ytterligere PowerBI API-tillatelser er unødvendige siden tilgang gis på Power BI-tjenestenivå, ikke gjennom Azure AD API-tillatelser.
Når du har fullført trinnene ovenfor, velger du alternativet du vil fortsette med og følger de tilhørende instruksjonene.
Alternativ 1: Direkte tjenesteprinsipp (enkelt oppsett)
Konfigurasjon av Power BI-administrasjonssenteret
1. Gå til Power BI-administratorportal > Leietakerinnstillinger
2. Konfigurer disse innstillingene:
Utviklerinnstillinger
- ✅ Aktivert: Tjenesteprinsipper kan kalle offentlige Fabric API-er
- Gjelder for: Hele organisasjonen
Innstillinger for innebygging av innhold
- ✅ Aktivert: Bygg inn innhold i apper
- Gjelder for: Hele organisasjonen
Konfigurasjon av tilgang til arbeidsområde
1. Gå til din PowerBI-arbeidsområde
2. Klikk Administrer tilgang
3. Klikk +Legg til personer eller grupper
4. Søk etter tjenesteprinsippet ditt:
- Format: [Appnavn] (App-ID: [Applikasjonsklient-ID])
5. Velg tillatelsesnivå:
- Medlem (anbefales) – Full tilgang til innhold i arbeidsområdet
- Bidragsyter – Kan opprette/redigere innhold
- Leser – Skrivebeskyttet tilgang (minimum kreves)
6. Klikk på Legg til
Alternativ 2: Sikkerhetsgruppe (anbefalt for bedrifter)
Trinn 1: Opprett Entra ID-sikkerhetsgruppe
1. Gå til Azure Portal > Azure Active Directory > Grupper
2. Klikk på Ny gruppe
3. Konfigurer:
- Gruppetype: Sikkerhet
- Gruppenavn: PowerBI-Service-Principals
- Gruppebeskrivelse: Sikkerhetsgruppe for PowerBI-widgettjenesteprinsipper
- Medlemskapstype: Tildelt
4. Klikk på Opprett
Trinn 2: Legg til tjenesteprinsippet i sikkerhetsgruppen
1. Åpne den opprettede sikkerhetsgruppen
2. Gå til Administrer > Medlemmer > Legg til medlemmer
3. Søk etter tjenesteprinsippet ditt:
- Format: [Appnavn] (App-ID: [Applikasjonsklient-ID])
- Eksempel: PowerBI-Widget-App (AppId: 12345678-1234-1234-1234-123456789abc)
4. Velg og klikk Velge
Trinn 3: Konfigurasjon av Power BI-administrasjonssenteret
1. Gå til Power BI-administratorportal > Leietakerinnstillinger
2. Konfigurer disse innstillingene:
Utviklerinnstillinger
- ✅ Aktivert: Tjenesteprinsipper kan kalle offentlige Fabric API-er
- Gjelder for: Spesifikke sikkerhetsgrupper
- Sikkerhetsgrupper: Legg til sikkerhetsgruppen din:
- PowerBI-tjenesteprinsipper
Innstillinger for innebygging av innhold
- ✅ Aktivert: Bygg inn innhold i apper
- Gjelder for: Spesifikke sikkerhetsgrupper
- Sikkerhetsgrupper: Samme sikkerhetsgruppe som ovenfor:
- PowerBI-tjenesteprinsipper
Trinn 4: Konfigurasjon av tilgang til arbeidsområde
1. Gå til PowerBI-arbeidsområdet ditt
2. Klikk på Administrer tilgang
3. Klikk +Legg til personer eller grupper
4. Søk etter sikkerhetsgruppen din:
- PowerBI-tjenesteprinsipper
5. Velg tillatelsesnivå:
- Medlem (anbefales) – Full tilgang til innhold i arbeidsområdet
- Bidragsyter – Kan opprette/redigere innhold
- Leser – Skrivebeskyttet tilgang (minimum kreves)
6. Klikk på Legg til
Widget-konfigurasjon
Nødvendige parametere
{
“tenantID”: “your-tenant-id”,
“clientID”: “your-application-client-id”,
“clientSecret”: “your-client-secret”,
“inputUrl”: “https://app.powerbi.com/groups//reports/”
}
Støttede URL-formater
- Rapporter: https://app.powerbi.com/groups//reports/
- Spesifikke sider: https://app.powerbi.com/groups//reports//ReportSection
- Dashbord: https://app.powerbi.com/groups//dashboards/
Sikkerhetssammenligning
| Aspekt | Direkte tjenesteleder | Sikkerhetsgruppe |
|---|---|---|
| Oppsettkompleksitet | Enkel | Moderat |
| Skalerbarhet for bedrifter | Manuell per app | Sentralisert administrasjon |
| Tillatelseshåndtering | Individuelle oppdateringer | Gruppebaserte oppdateringer |
| Revisjonsspor | Appspesifikk | Gruppebasert |
| Best for | Enkelt app/POC | Implementering av bedrifter |
| Sikkerhet | ✅ Sikker | ✅ Sikrere |
| Vedlikehold | Høyere innsats | Lavere innsats |
Feilsøking
Vanlige problemer
Feil: «Uautorisert» eller «Token utløpt»
- Bekreft at klienthemmeligheten ikke er utløpt
- Sjekk at API-tillatelser er gitt med administratorsamtykke
- Sørg for at tjenesteoppdragsgiveren/sikkerhetsgruppen har tilgang til arbeidsområdet
Feil: «Tjenesteprinsipper ikke funnet»
- Vent 10–15 minutter etter at du har opprettet appregistreringen
- Bekreft at tjenesteprinsippet er lagt til sikkerhetsgruppen (alternativ 2)
- Kontroller at Power BI-administratorinnstillingene tillater tjenesteprinsipper
Feil: «Ingen tilgang til arbeidsområde»
- Bekreft tillatelser for arbeidsområde (minimum: Viewer)
- Sjekk synligheten av arbeidsområdet (må ikke være et personlig arbeidsområde)
- Sørg for at sikkerhetsgruppen har riktig tilgang til arbeidsområdet (alternativ 2)
Feil: «Minst ett datasett kreves» (Dashboards)
- Dette håndteres automatisk av widgeten
- Forekommer med statiske dashbord (bilder, kun tekst)
- Widgeten inkluderer håndtering av reserve
Beste praksis
1. Bruk sikkerhetsgrupper for bedriftsmiljøer
2. Roter klienthemmeligheter regelmessig (hver 12.–24. måned)
3. Gi minimum nødvendige tillatelser (tilstrekkelig visningsnivå for innebygging)
4. Overvåk bruken av tjenesteprinsipper gjennom revisjonslogger for Azure AD
5. Dokumenter medlemskap i sikkerhetsgruppen for samsvar
6. Test med brukere som ikke er administratorer for å bekrefte at tillatelsene er riktige
Sikkerhetsnotater
- Klientlegitimasjonsflyt gir tilgang på applikasjonsnivå (ikke brukerspesifikk)
- Tillatelser knyttet til arbeidsområde begrenser kun tilgang til tildelte arbeidsområder
- Ingen interaktiv autentisering kreves – egnet for serverside-widgeter
- Sikkerhetsgrupper gir bedre styrings- og revisjonsmuligheter
- Regelmessig hemmelig rotasjon opprettholder sikkerhetsposisjonen
