PowerBI-widget – Konfigurationsguide
Den här guiden beskriver två säkerhetsmetoder för att implementera PowerBI-widgeten i företagsmiljöer.
PowerBI-widgeten kan laddas ner här: gobright
Översikt
PowerBI-widgeten stöder två metoder för autentisering och behörighetshantering:
- Alternativ 1: Direkt tjänsteenhet – Enkel konfiguration, tjänsteenheten tilldelas direkt
- Alternativ 2: Säkerhetsgrupp – rekommenderas för företag, med användning av Entra ID-säkerhetsgrupper
Förutsättningar (båda alternativen)
Läs igenom följande steg, eftersom de gäller för båda alternativen.
1. Registrering av Azure AD-appar
1. Gå till Azure-portalen > Azure Active Directory > Registreringar av appar
2. Klicka på Ny registrering
3. Konfigurera:
- Namn: PowerBI-Widget-App (eller det namn du föredrar)
- Konto typer som stöds: Endast konton i denna organisationskatalog
- Omdirigerings-URI: Lämna tomt
4. Klicka på Registrera
2. Konfigurera appregistrering
Efter registreringen, anteckna följande:
- Applikation (klient) ID
- Directory (hyresgäst) ID
3. Skapa en klienthemlighet
1. Gå till Hantera > Certifikat och hemligheter
2. Klicka på +Ny klienthemlighet
3. Konfigurera:
- Beskrivning: PowerBI-Widget-Secret
- Giltighetstid: 24 månader (rekommenderat)
- Klicka på Lägg till
4. Kopiera det hemliga värdet omedelbart – du kommer inte att se det igen
4. API-behörigheter (krävs inte)
Viktigt: Inga ytterligare API-behörigheter krävs i Azure AD för denna widget.
Tjänsteprincipalen får åtkomst via:
1. Power BI-administratörsinställningar (konfigureras nedan)
2. Behörigheter för direktarbetsytan (konfigureras nedan)
Standardbehörigheten User.Read kan behållas, men ytterligare Power BI API-behörigheter behövs inte eftersom åtkomst beviljas på Power BI-tjänstenivå, inte via Azure AD API-behörigheter.
När du har följt stegen ovan väljer du det alternativ du vill gå vidare med och följer de tillhörande anvisningarna.
Alternativ 1: Direkt tjänsteleverantör (enkel installation)
Konfiguration av Power BI Admin Center
1. Gå till Power BI-administratörsportalen > Inställningar för hyresgäster
2. Konfigurera följande inställningar:
Utvecklingsinställningar
- ✅ Aktiverat: Tjänsteenheter kan anropa Fabrics offentliga API:er
- Gäller: Hela organisationen
Inställningar för inbäddat innehåll
- ✅ Aktiverat: Bädda in innehåll i appar
- Gäller: Hela organisationen
Konfiguration av åtkomst till arbetsytan
1. Gå till din PowerBI-arbetsyta
2. Klicka på Hantera åtkomst
3. Klicka +Lägg till personer eller grupper
4. Sök efter din tjänsteprincipal:
- Format: [Appnamn] (App-ID: [Applikations-klient-ID])
5. Välj behörighetsnivå:
- Medlem (rekommenderas) – Full tillgång till innehållet i arbetsytan
- Bidragsgivare – Kan skapa/redigera innehåll
- Läsare – Läsbehörighet (minimikrav)
6. Klicka på Lägg till
Alternativ 2: Säkerhetsgrupp (rekommenderas för företag)
Steg 1: Skapa en säkerhetsgrupp för Entra ID
1. Gå till Azure Portal > Azure Active Directory > Grupper
2. Klicka på Ny grupp
3. Konfigurera:
- Grupptyp: Säkerhet
- Gruppnamn: PowerBI-Service-Principals
- Gruppbeskrivning: Säkerhetsgrupp för tjänsteprincipaler för PowerBI-widgeten
- Medlemstyp: Tilldelad
4. Klicka på Skapa
Steg 2: Lägg till tjänsteprincipen i säkerhetsgruppen
1. Öppna den skapade säkerhetsgruppen
2. Gå till Hantera > Medlemmar > Lägg till medlemmar
3. Sök efter din tjänsteprincipal:
- Format: [Appnamn] (App-ID: [Applikations-klient-ID])
- Exempel: PowerBI-Widget-App (AppId: 12345678-1234-1234-1234-123456789abc)
4. Markera och klicka Välj
Steg 3: Konfiguration av Power BI Admin Center
1. Gå till Power BI-administratörsportalen > Inställningar för hyresgäster
2. Konfigurera följande inställningar:
Utvecklingsinställningar
- ✅ Aktiverat: Tjänsteenheter kan anropa Fabrics offentliga API:er
- Tillämpa på: Specifika säkerhetsgrupper
- Säkerhetsgrupper: Lägg till din säkerhetsgrupp:
- PowerBI-tjänsteprincipaler
Inställningar för inbäddat innehåll
- ✅ Aktiverat: Bädda in innehåll i appar
- Tillämpa på: Specifika säkerhetsgrupper
- Säkerhetsgrupper: Samma säkerhetsgrupp som ovan:
- PowerBI-tjänsteprincipaler
Steg 4: Konfiguration av åtkomst till arbetsytan
1. Gå till din PowerBI-arbetsyta
2. Klicka på Hantera åtkomst
3. Klicka +Lägg till personer eller grupper
4. Sök efter din säkerhetsgrupp:
- PowerBI-tjänsteprincipaler
5. Välj behörighetsnivå:
- Medlem (rekommenderas) – Full tillgång till innehållet i arbetsytan
- Bidragsgivare – Kan skapa/redigera innehåll
- Läsare – Läsbehörighet (minimikrav)
6. Klicka på Lägg till
Widgetinställningar
Obligatoriska parametrar
{
“tenantID”: “your-tenant-id”,
“clientID”: “your-application-client-id”,
“clientSecret”: “your-client-secret”,
“inputUrl”: “https://app.powerbi.com/groups//reports/”
}
URL-format som stöds
- Rapporter: https://app.powerbi.com/groups//reports/
- Specifika sidor: https://app.powerbi.com/groups//reports//ReportSection
- Instrumentpaneler: https://app.powerbi.com/groups//dashboards/
Jämförelse av säkerhetsfunktioner
| Aspekt | Ansvarig för direkt service | Säkerhetsgrupp |
|---|---|---|
| Installationskomplexitet | Enkelt | Måttlig |
| Skalbarhet för företag | Användarhandbok per app | Centraliserad hantering |
| Behörighetshantering | Enskilda uppdateringar | Gruppbaserade uppdateringar |
| Revisionsspår | Appspecifik | Gruppbaserad |
| Bäst för | Enskild app/POC | Implementering i företag |
| Säkerhet | ✅ Säker | ✅ Säkrare |
| Underhåll | Större ansträngning | Mindre ansträngning |
Felsökning
Vanliga problem
Fel: ”Obehörig” eller ”Token har gått ut”
- Kontrollera att klienthemligheten inte har gått ut
- Kontrollera att API-behörigheter beviljas med administratörens godkännande
- Se till att tjänsteprincipalen/säkerhetsgruppen har åtkomst till arbetsytan
Fel: ”Tjänstprincipen hittades inte”
- Vänta 10–15 minuter efter att du har skapat appregistreringen
- Kontrollera att tjänsteenheten har lagts till i säkerhetsgruppen (alternativ 2)
- Kontrollera att Power BI-administratörsinställningarna tillåter tjänsteprincipaler
Fel: ”Åtkomst till arbetsytan nekad”
- Kontrollera behörigheterna för arbetsytan (minst: Läsbehörighet)
- Kontrollera arbetsytans synlighet (får inte vara en personlig arbetsyta)
- Se till att säkerhetsgruppen har rätt åtkomst till arbetsytan (alternativ 2)
Fel: ”Minst en datamängd krävs” (Dashboards)
- Detta sköts automatiskt av widgeten
- Förekommer i statiska instrumentpaneler (bilder, endast text)
- Widgeten har en reservlösning
Bästa praxis
1. Använd säkerhetsgrupper i företagsmiljöer
2. Byt ut klienthemligheter regelbundet (var 12–24 månader)
3. Bevilja de behörigheter som krävs (visningsbehörighet räcker för inbäddning)
4. Övervaka användningen av tjänsteprinciper via Azure AD:s granskningsloggar
5. Dokumentera medlemskap i säkerhetsgrupper för efterlevnad
6. Testa med användare som inte är administratörer för att kontrollera att behörigheterna stämmer
Säkerhetsanvisningar
- Flödet för klientautentiseringsuppgifter ger åtkomst på applikationsnivå (inte användarspecifik)
- Behörigheter som gäller för en viss arbetsyta begränsar åtkomsten till endast de tilldelade arbetsytorna
- Ingen interaktiv autentisering krävs – lämpligt för widgets på serversidan
- Säkerhetsgrupper ger bättre styrning och granskningsmöjligheter
- Regelbunden rotation av lösenord upprätthåller säkerhetsnivån
