嵌入式分析访问令牌

客户解决方案的嵌入使用非交互式身份验证流。 在 供客户使用的嵌入式解决方案 中，用户无需登录 Microsoft Entra ID 即可访问 Power BI。 相反，Web 应用程序使用保留的 Microsoft Entra 身份，通过 Microsoft Entra ID 进行身份验证并生成嵌入令牌。 保留标识可以是 服务主体 或 主用户：

• 服务主体 Web 应用使用 Microsoft Entra 服务主体对象 对 Microsoft Entra ID 进行身份验证，并获取 仅限应用的Microsoft Entra 令牌。 Microsoft Entra ID 建议使用此 仅限应用的 身份验证方法。

  使用服务主体时，需要在 Power BI 服务管理员设置中启用 Power BI API 访问。 启用访问权限允许 Web 应用访问 Power BI REST API。 若要在工作区上使用 API 操作，服务主体账号必须是工作区 的成员 或管理员。

• 主用户 Web 应用使用用户帐户对 Microsoft Entra ID 进行身份验证，并获取 Microsoft Entra 令牌。 主用户帐户需要拥有 Power BI Pro 或 Premium Per User （PPU） 许可证。

  使用主用户帐户时，需要定义应用的 委托权限 （也称为范围）。 主用户或 租户管理员 在使用 Power BI REST API 时必须同意使用这些权限。

针对 Microsoft Entra ID 成功进行身份验证后，Web 应用会生成 嵌入令牌 ，以允许用户访问特定的 Power BI 内容。

下图显示了 为客户解决方案嵌入 的身份验证流。

1. Web 应用用户使用身份验证方法针对 Web 应用进行身份验证。

2. Web 应用使用服务主体或主用户来对 Microsoft Entra ID 进行身份验证。

3. Web 应用从 Microsoft Entra ID 获取 Microsoft Entra 令牌，并使用它来访问 Power BI REST API。 选择的身份验证方法授予对 Power BI REST APIS 的访问权限，具体取决于身份验证方法是服务主体还是主用户。

4. Web 应用调用 嵌入令牌 REST API 操作并请求嵌入令牌。 嵌入令牌指定可嵌入哪些 Power BI 内容。

5. REST API 将嵌入令牌返回到 Web 应用。

6. Web 应用将嵌入令牌传递给用户的 Web 浏览器。

7. Web 应用用户使用嵌入令牌访问 Power BI。

贵组织方案的嵌入功能使用交互式身份验证流。 Web 应用用户使用自己的 Power BI 凭据针对 Microsoft Entra ID 进行身份验证。 他们需要同意在应用注册到 Microsoft Entra ID 时设置的 API 权限。 Microsoft权限请求对话框窗口要求用户授予这些权限。 授予同意后，用户可以嵌入用户有权访问的 Power BI 内容。

此图展示了“在您的组织中嵌入”解决方案的身份验证流程示例。

1. Web 应用用户访问 Web 应用。

2. Web 应用将 Web 应用用户重定向到 Microsoft Entra ID。

3. Web 应用用户使用其 Power BI 凭据针对 Microsoft Entra ID 进行身份验证。

4. Microsoft Entra ID 使用 Microsoft Entra 令牌将 Web 应用用户重定向回 Web 应用。 在隐式授予方案中，访问令牌将返回到用户的浏览器。

5. Web 应用将 Microsoft Entra 令牌传递给用户的 Web 浏览器。

6. Power BI Web 应用使用 Microsoft Entra 令牌来嵌入 Power BI 内容，例如 Web 应用用户有权访问的报表和仪表板。