Power BI のシングルサインオンを設定する

Strategy One (2025 年 9 月) では、Power BI でのシングルサインオン (SSO) のサポートが追加されました。SSO を使用する前に、 Mosaic Studio環境で有効にする必要があります。SSO を有効にするには、次の手順を参照してください。

前提条件

トークンベースの機能フラグを削除する

トークンベースの機能フラグを削除する必要があるのは、Strategy One (2025 年 9 月) より前のバージョンを使用している場合のみです。

トークンベース認証を使用している Strategy One (2025 年 9 月) より前の Strategyバージョンを使用していて、代わりに SSO を使用する場合は、次の手順を使用してトークンベースの機能フラグを削除します。

次のようなパスにあるconfigOverride.propertiesファイルを変更します: /usr/local/tomcat/webapps/0/WEB-INF/classes/config
次の行を削除します: features.usl.universalAccess.powerBI.SSO=true
Library サーバーを再起動します。

Active Directory で Universal Semantic Layer サービスアカウントを設定する

IT 管理者と協力して、Mosaic 環境のサービスアカウントを作成し、キータブを生成します。

Active Directory に、Mosaic のサービスアカウントとして機能するユーザーアカウントを作成します。
サービスアカウントの AES128 および AES256 暗号化を有効にします。
次の形式を使用して、環境 URL と外部ロードバランサー URL の両方のサービスプリンシパル名をサービスアカウントに追加します。
- HTTP/<Environment URL>, HTTP/<External Load Balancer URL>
- たとえば、HTTP/abc.company.com@COMPANY.COM, HTTP/xxxxx.us-east-1.elb.amazongaws.com@COMPANY.COM
Microsoft の ktpass.exe などのツールを使用して keytab ファイルを生成します。

Keytab を生成する

universal-semantic:/etc/trino/abc.company.keytab

次の形式を使用します。

コピー

ktpass -princ HTTP/abc.company.com@COMPANY.COM -mapuser mosaic-svc@company.com -pass
            plain_text_pwd -ptype KRB5_NT_PRINCIPAL -out abc.company.keytab -kvno {keyVersionNumber} -crypto All

構成更新ファイル

次のファイルには構成の変更が必要です。更新の詳細については、以下のセクションを参照してください。

インスタンスベースの構成ファイルパス

<MSTR_INSTALL_PATH>/UniversalSemantic/etc/krb5.conf
<MSTR_INSTALL_PATH>/UniversalSemantic/etc/usermapping.json
<MSTR_INSTALL_PATH>/UniversalSemantic/etc/config.properties

コンテナーベースの構成ファイルパス

/etc/trino/krb5.conf
/etc/trino/usermapping.json
/etc/trino/config.properties

universal-semantic:/etc/trino/krb5.conf

サンプルの krb5.conf がインストールに含まれています。

コピー

# Kerberos configuration file for
            # Set the default_realm for your environment.
            [libdefaults]
            default_realm = EXAMPLE.COM

環境の default_realm を設定し、ファイルを保存します。

コピー

# Kerberos configuration file
            # Set the default_realm for your environment.
            [libdefaults]
            default_realm = COMPANY.COM

universal-semantic:/etc/trino/config.properties

Kerberos に必要な構成プロパティは、デフォルトでコメントアウトされています。これらのプロパティは、環境に合わせてコメント解除し、変更する必要があります。以下に、ガイダンスとして必要なプロパティとサンプル値を示します。

コンテナーの場合、管理者は etc/trino/krb5.properties.example からプロパティをコピーし、必要に応じて変更する必要があります。

コピー

http-server.authentication.type=HEADER, KERBEROS
            http-server.authentication.krb5.service-name=HTTP
            http.authentication.krb5.config=etc/krb5.conf
            http-server.authentication.krb5.principal-hostname=abc.company.com
            http-server.authentication.krb5.keytab=etc/abc.company.keytab
            http-server.authentication.krb5.user-mapping.file=etc/user-mapping.json

            header-authenticator.config-files=etc/jwt-authenticator.properties, etc/oauth2-authenticator.properties,
            etc/ldap-authenticator.properties, etc/basic-authenticator.properties

universal-semantic:/etc/trino/user-mapping.json

次の例では、レルム名に company.com が示されています。IT 管理者からの名前でレルム名を更新します。

コピー

{
            "rules": [
            {
            "pattern": "(?<user>.+)@(?<realm>.+)",
            "user": "${user}@company.com"
            },
            {
            "pattern": "(?<realm>.+)\\(?(?<user>.+)\\)?",
            "user": "${user}@company.com"
            }
            ]
            }

変更を加えた後、Universal Semantic Layer サービスを再起動します。

Library 構成

次のパスにあるconfigOverride.propertiesファイルを開きます: /usr/local/tomcat/webapps/0/WEB-INF/classes/config/configOverride.properties
次のパスに追加することで、認証モード67108864を Library に追加します。
コピー
```
auth.modes.available=1,67108864
```
Library Admin コントロールパネルを開きます。パネルへのアクセスの詳細については、Library 管理コントロールパネルを参照してください。
左ナビゲーションペインで、Library Serverをクリックします。
認証モードで、Trustedの横のチェックボックスをオンにします。
プロバイダードロップダウンリストを展開し、カスタムを選択します。
保存をクリックします。
Library サービスを再起動します。

Power BI DAX に SSO を使用する

SSO を有効にした後、Power BI で使用します。詳細については、シングルサインオンを使用してPower BI DAXに接続するを参照してください。

Power BI のシングル サインオンを設定する