גישה לנתונים ב-BigQuery ב-Power BI באמצעות איחוד זהויות של כוח עבודה ו-Microsoft Entra

במדריך הזה מוסבר איך לאפשר למשתמשים שנמצאים בקבוצות Microsoft Entra לגשת לנתונים ב-BigQuery ב-Power BI באמצעות איחוד שירותי אימות הזהות של כוח העבודה.

‫Microsoft Entra הוא ספק הזהויות (IdP). טענות לגבי קבוצות מ-Microsoft Entra ממופות ל- Google Cloud. לקבוצות ניתנת הרשאת ניהול זהויות והרשאות גישה (IAM) לגישה לנתוני BigQuery.

המדריך הזה כולל הוראות ל-Power BI Desktop או ל-Power BI באינטרנט.

לפני שמתחילים

  1. ודאו שיש לכם ארגון מוגדר ב- Google Cloud .

  2. התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

    gcloud init

    אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  3. צריכה להיות לכם גישה ל-Microsoft Entra ול-Microsoft Graph.
  4. צריך לוודא שהגדרתם את Power BI.

עלויות

איחוד שירותי אימות הזהות של כוח עבודה זמין כתכונה ללא עלות. עם זאת, רישום מפורט ביומני הביקורת של איחוד שירותי אימות הזהות של כוח עבודה מתבצע באמצעות Cloud Logging. מידע על התמחור של Logging זמין במאמר התמחור של Google Cloud Observability.

התפקידים הנדרשים

בקטע הזה מתוארים התפקידים שנדרשים לאדמינים ולמשאבים.

תפקידים לאדמינים

כדי לקבל את ההרשאות שנדרשות להגדרה של איחוד זהויות של כוח עבודה, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של מאגר זהויות של כוח עבודה ב-IAM (roles/iam.workforcePoolAdmin) בארגון. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

לחלופין, התפקיד הבסיסי ב-IAM 'בעלים' (roles/owner) כולל גם הרשאות להגדרה של איחוד זהויות. בסביבת ייצור לא מומלץ להקצות תפקידים בסיסיים, אבל אפשר להעניק אותם בסביבת פיתוח או בסביבת בדיקה.

תפקידים לזהויות מאוחדות

‫Power BI שולח את הפרמטר userProject במהלך החלפת האסימון. לכן, אתם צריכים לבקש מהאדמין להקצות את התפקיד Service Usage Consumer (roles/serviceusage.serviceUsageConsumer) לזהויות המאוחדות בפרויקט לחיוב.

כדי להקצות את התפקיד לקבוצה של זהויות מאוחדות, מריצים את הפקודה הבאה:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/serviceusage.serviceUsageConsumer" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה פרויקט החיוב.
  • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה.
  • GROUP_ID: מזהה הקבוצה, לדוגמה: admin-group@altostrat.com. רשימה של מזהי ישויות מורשות נפוצים מופיעה במאמר מזהי ישויות מורשות.

יצירת מאגר זהויות של כוח העבודה

בקטע הזה מוסבר איך ליצור את מאגר הזהויות של כוח העבודה. בהמשך המדריך הזה נסביר איך ליצור את ספק מאגר הזהויות של כוח העבודה.

gcloud

כדי ליצור את מאגר הזהויות של כוח העבודה, מריצים את הפקודה הבאה:

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_POOL_ID: המזהה שבחרתם כדי לייצג את Google Cloud מאגר כוח העבודה. המזהה של המאגר חייב להיות ייחודי באופן גלובלי בכל מאגרי הזהויות של כוח העבודה ב- Google Cloud. מידע על הפורמט של המזהה מופיע בקטע פרמטרים של שאילתה במאמרי העזרה של ה-API.
  • ORGANIZATION_ID: מזהה הארגון (מספרי) של Google Cloud הארגון שלכם במאגר הזהויות של כוח העבודה. מאגרי זהויות של כוח עבודה זמינים בכל הפרויקטים והתיקיות בארגון.
  • DISPLAY_NAME: אופציונלי. השם המוצג של מאגר הזהויות של כוח העבודה.
  • DESCRIPTION: אופציונלי. תיאור של מאגר הזהויות של כוח העבודה.
  • SESSION_DURATION: אופציונלי. משך הסשן, שמוצג כמספר עם התוספת s—לדוגמה, 3600s. משך הסשן קובע לכמה זמן יהיו פעילים אסימוני הגישה, המסוף (איחוד), החיבור לסשן והחיבור ל-CLI של gcloud מהמאגר של כוח העבודה. Google Cloud משך הסשן מוגדר כברירת מחדל לשעה אחת (3,600 שניות). ערך משך הסשן צריך להיות בין 15 דקות (900 שניות) ל-12 שעות (43,200 שניות).

המסוף

כדי ליצור את מאגר הזהויות של כוח העבודה:

  1. במסוף Google Cloud , עוברים לדף Workforce Identity Pools:

    כניסה לדף Workforce Identity Pools

  2. בוחרים את הארגון שרוצים ליצור בו מאגר זהויות של כוח העבודה. מאגרי זהויות של כוח עבודה זמינים בכל הפרויקטים והתיקיות בארגון.

  3. לוחצים על Create pool ומבצעים את הפעולות הבאות:

    1. בשדה Name, מזינים את שם התצוגה של המאגר. מזהה המאגר נוצר אוטומטית מהשם בזמן ההקלדה, והוא מוצג מתחת לשדה שם. כדי לעדכן את מזהה המאגר, לוחצים על עריכה לצד מזהה המאגר.

    2. אופציונלי: בשדה Description (תיאור), מזינים תיאור של המאגר.

    3. כדי ליצור את מאגר הזהויות של כוח העבודה, לוחצים על Next.

משך הסשן במאגר הזהויות של כוח העבודה הוא שעה (3,600 שניות) כברירת מחדל. משך הסשן קובע לכמה זמן יהיו פעילים אסימוני הגישה, המסוף (איחוד) והחיבור לסשן והחיבור ל-ה-CLI של gcloud מהמאגר של כוח העבודה. Google Cloud אחרי שיוצרים את המאגר, אפשר לעדכן את המאגר כדי להגדיר משך סשן בהתאמה אישית. משך הסשן צריך להיות בין 15 דקות (900 שניות) ל-12 שעות (43,200 שניות).

רישום אפליקציה חדשה ב-Microsoft Entra

בקטע הזה מוסבר איך ליצור אפליקציה של Microsoft Entra באמצעות Microsoft Azure Portal.

  1. רישום אפליקציה חדשה ב-Microsoft Entra.

  2. באפליקציית Microsoft Entra שרשמתם, יוצרים סוד לקוח חדש. רושמים בצד את סוד הלקוח.

  3. נותנים הרשאות API לאפליקציית Microsoft Entra כדי שהיא תוכל לגשת למידע על משתמשים וקבוצות מ-Active Directory. כדי להעניק הרשאות ל-Microsoft Graph API:

    1. באפליקציה, בוחרים באפשרות API Permissions (הרשאות API).
    2. בקטע Configured permissions, לוחצים על Add a permission.
    3. בתיבת הדו-שיח Request API permissions (בקשת הרשאות API), בוחרים באפשרות Microsoft Graph.
    4. בוחרים באפשרות הרשאות לאפליקציה.
    5. בתיבת הדו-שיח בחירת הרשאות, מבצעים את הפעולות הבאות:
      1. בשדה החיפוש, מזינים User.ReadBasic.All.
      2. לוחצים על User.ReadBasic.All.
      3. לוחצים על הוספת הרשאות.
    6. בתיבת הדו-שיח Request API permissions (בקשת הרשאות API), בוחרים באפשרות Microsoft Graph.
    7. בוחרים באפשרות הרשאות לאפליקציה.
    8. בתיבת הדו-שיח בחירת הרשאות, מבצעים את הפעולות הבאות:
      1. בשדה החיפוש, מזינים GroupMember.Read.All.
      2. לוחצים על GroupMember.Read.All.
      3. לוחצים על הוספת הרשאות.
    9. בקטע ההרשאות שהוגדרו, לוחצים על הענקת הסכמת אדמין ל (שם הדומיין).
    10. כשמופיעה בקשה לאישור, לוחצים על כן.

  4. כדי לגשת לערכים שנדרשים להגדרה של ספק מאגר כוח העבודה בהמשך המדריך הזה, מבצעים את הפעולות הבאות:

    1. עוברים לדף Overview (סקירה כללית) של אפליקציית Microsoft Entra.
    2. לוחצים על נקודות קצה.

    3. שימו לב לערכים הבאים:

      • מזהה לקוח: המזהה של אפליקציית Microsoft Entra שרשמתם קודם במדריך הזה.
      • Client Secret: סוד הלקוח שיצרתם קודם במדריך הזה.
      • Tenant ID: מזהה הדייר של אפליקציית Microsoft Entra שרשמתם קודם במדריך הזה.
      • Issuer URI: ה-URI של מסמך המטא-נתונים של OpenID Connect, בלי /.well-known/openid-configuration. לדוגמה, אם כתובת ה-URL של מסמך המטא-נתונים של OpenID Connect היא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, אז ה-URI של המנפיק הוא https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

יצירת ספק של מאגר זהויות של כוח עבודה

כדי ליצור את הספק, מריצים את הפקודה הבאה:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=https://analysis.windows.net/powerbi/connector/GoogleBigQuery \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=APP_ISSUER_URI \
    --extra-attributes-client-id=APP_CLIENT_ID \
    --extra-attributes-client-secret-value=APP_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_GROUPS_TYPE \
    --extra-attributes-filter=EXTRA_FILTER \
    --detailed-audit-logging

מחליפים את מה שכתוב בשדות הבאים:

  • WORKFORCE_PROVIDER_ID: מזהה ספק ייחודי. התוספת לשם של מאפיין gcp- שמורה ואי אפשר להשתמש בה במזהה של ספק.

  • WORKFORCE_POOL_ID: מזהה מאגר הזהויות של כוח העבודה שאליו רוצים לחבר את ה-IdP.

  • DISPLAY_NAME: שם תצוגה ידידותי למשתמש בשביל הספק (לא חובה).

  • ISSUER_URI: הערך של ה-URI של המנפיק, בפורמט https://sts.windows.net/TENANT_ID. מחליפים את TENANT_ID במזהה הדייר שרשמתם קודם.

  • ATTRIBUTE_MAPPING: מיפוי של הקבוצה, ואופציונלית של מאפיינים אחרים מההצהרה של Microsoft Entra, למאפיינים. לדוגמה: google.groups=assertion.groups, google.subject=assertion.sub.Google Cloud בהמשך המדריך מוסבר איך לתת לקבוצה גישה לנתוני BigQuery.

    מידע נוסף זמין במאמר בנושא מיפוי מאפיינים.

  • APP_ISSUER_URI: ה-URI של המנפיק של אפליקציית Microsoft Entra שרשמתם קודם.

  • APP_CLIENT_ID: מזהה הלקוח של מנפיק האישורים שרשמתם קודם.

  • APP_CLIENT_SECRET: סוד הלקוח של הנפקן שרשמתם קודם.

  • EXTRA_GROUPS_TYPE: סוג מזהה הקבוצה, שיכול להיות אחד מהערכים הבאים:

    • azure-ad-groups-mail: כתובות האימייל של הקבוצות מאוחזרות מ-IdP – לדוגמה: admin-group@altostrat.com.

    • azure-ad-groups-id: מזהים ייחודיים אוניברסליים (UUID) שמייצגים את הקבוצות מאוחזרים מספק הזהויות. לדוגמה: abcdefgh-0123-0123-abcdef.

  • EXTRA_FILTER: המסנן שמשמש לבקשת טענות ספציפיות שיועברו מה-IdP. על ידי ציון מסננים של --extra-attributes-type=azure-ad-groups-mail, --extra-attributes-filter לגבי טענות לגבי קבוצות של משתמשים שמועברות מספק הזהויות. כברירת מחדל, כל הקבוצות שמשויכות למשתמש מאוחזרות. הקבוצות שבהן משתמשים צריכות להיות מופעלות לאימייל ולאבטחה. מידע נוסף זמין במאמר בנושא שימוש בפרמטר השאילתה $search.

    בדוגמה הבאה מופיעים מסננים לקבוצות שמשויכות לכתובות אימייל של משתמשים שמתחילות ב-gcp: 

    --extra-attributes-filter='"mail:gcp"'
     בדוגמה הבאה מסננים קבוצות שמשויכות למשתמשים עם כתובות אימייל שמתחילות ב-gcp ועם displayName שמכיל את example: 
    --extra-attributes-filter='"mail:gcp" AND "displayName:example"'

  • איחוד שירותי אימות הזהות של כוח עבודה יוצר יומני ביקורת מפורטים שכוללים מידע שהתקבל מ-IdP ב-Logging. רישום מפורט ביומן הביקורת יכול לעזור לכם לפתור בעיות בהגדרות של ספק הזהויות של כוח העבודה. כדי ללמוד איך לפתור בעיות במיפוי מאפיינים באמצעות רישום מפורט ביומן הביקורת, אפשר לעיין במאמר בנושא בעיות כלליות במיפוי מאפיינים. למידע על התמחור של Logging, ראו תמחור של Google Cloud Observability.

    כדי להשבית את הרישום המפורט ביומן הביקורת של ספק מאגר זהויות של כוח עבודה, משמיטים את הדגל --detailed-audit-logging כשמריצים את הפקודה gcloud iam workforce-pools providers create. כדי להשבית את רישום הביקורת המפורט, אפשר גם לעדכן את הספק.

יצירת מדיניות IAM

בקטע הזה יוצרים מדיניות הרשאה של IAM שמעניקה את התפקיד BigQuery Data Viewer (roles/bigquery.dataViewer) לקבוצה הממופה בפרויקט שבו מאוחסנים הנתונים שלכם ב-BigQuery. המדיניות מאפשרת לכל הזהויות שנכללות בקבוצה לצפות בנתונים מטבלאות ומתצוגות מפורטות של BigQuery שמאוחסנות בפרויקט.

כדי ליצור את המדיניות, מריצים את הפקודה הבאה:

gcloud projects add-iam-policy-binding BIGQUERY_PROJECT_ID \
    --role="roles/bigquery.dataViewer" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

מחליפים את מה שכתוב בשדות הבאים:

  • BIGQUERY_PROJECT_ID: מזהה הפרויקט שבו מאוחסנים הנתונים והמטא-נתונים שלכם ב-BigQuery.
  • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה

  • GROUP_ID: מזהה הקבוצה, שתלוי בערך של --extra-attributes-type ששימש ליצירת ספק מאגר הזהויות של כוח העבודה, באופן הבא:

    • azure-ad-groups-mail: מזהה הקבוצה הוא כתובת אימייל, לדוגמה: admin-group@altostrat.com

    • azure-ad-groups-id: מזהה הקבוצה הוא UUID של הקבוצה, לדוגמה: abcdefgh-0123-0123-abcdef

גישה לנתונים ב-BigQuery מ-Power BI Desktop

כדי לגשת לנתוני BigQuery מ-Power BI Desktop:

  1. פותחים את Power BI.
  2. לוחצים על קבלת נתונים.
  3. לוחצים על מסד נתונים.
  4. ברשימת מסדי הנתונים, בוחרים באפשרות Google BigQuery (Microsoft Entra ID) (בטא).
  5. לוחצים על Connect.

  6. ממלאים את שדות החובה הבאים:

    • מזהה פרויקט לחיוב: מזהה הפרויקט לחיוב.

    • Audience URI: ה-URI‏ Google Cloud , בפורמט הבא:

      //iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      מחליפים את מה שכתוב בשדות הבאים:

      • WORKFORCE_POOL_ID: המזהה של מאגר הזהויות של כוח העבודה.

      • WORKFORCE_PROVIDER_ID: המזהה של ספק הזהויות של כוח העבודה.

  7. לוחצים על אישור.

  8. לוחצים על הבא.

  9. לוחצים על בחירת הנתונים.

אם תתבקשו להיכנס, תצטרכו להשתמש בזהות Microsoft Entra שמשויכת לקבוצה.

עכשיו אפשר להשתמש בנתונים מ-BigQuery ב-Power BI Desktop.

גישה לנתוני BigQuery מ-Power BI Web

כדי לגשת לנתוני BigQuery מ-Power BI Web:

  1. עוברים אל Power BI Web.

  2. לוחצים על Power query כדי להוסיף מקור נתונים חדש.

  3. לוחצים על שליפת נתונים.

  4. ברשימה, מחפשים את האפשרות Google BigQuery (Microsoft Entra ID) (Beta) ובוחרים בה.

  5. ממלאים את שדות החובה הבאים:

    • מזהה פרויקט החיוב: Google Cloud פרויקט החיוב

    • Audience URI: ה-URI של הקהל, בפורמט הבא:

      //iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID

      מחליפים את מה שכתוב בשדות הבאים:

      • WORKFORCE_POOL_ID: מאגר הזהויות של כוח עבודה

      • WORKFORCE_PROVIDER_ID: המזהה של ספק הזהויות של כוח העבודה

  6. לוחצים על Connection Credentials (פרטי כניסה לחיבור) > Authentication kind (סוג האימות).

  7. בוחרים באפשרות חשבון ארגוני.

  8. לוחצים על כניסה.

  9. לוחצים על הבא.

  10. לוחצים על בחירת הנתונים.

עכשיו אפשר להשתמש בנתונים מ-BigQuery ב-Power BI Web.

המאמרים הבאים