Uno de los equipos de Renault analiza la implementación del acceso externo a un informe de Power BI a través de un portal de Salesforce.
¿Qué pasaría si, en lugar de utilizar un módulo complementario, incrustáramos nuestros paneles en un componente Lightning a través de un iframe ?
Uno de los equipos del departamento BI & Analytics de Renault en la placa de América tomó esta decisión. El contexto: un proyecto para abrir informes de Power BI a clientes externos.
Ya se habían establecido hitos, pero con Microstrategy en el back-end . El acceso se realizó a través de un portal de Internet (Michelin MyPortal) basado en Salesforce.
El primer panel implementado (Fleet Business Insights) estaba dirigido a administradores y distribuidores de flotas. También era necesario garantizar el acceso al equipo comercial de Renault, que ya accedía a Salesforce mediante la integración con Azure Active Directory. Y, por supuesto, al equipo del proyecto.
Para los usuarios externos, surgieron dudas sobre la autenticación y la gestión de derechos: ¿podríamos crear cuentas de invitados en Azure AD ? ¿Deberíamos preferir OAuth o SAML?…
Un mecanismo de autenticación dual
En el escenario previsto, los usuarios externos no necesitaban acceso a la red interna de Michelin (cuentas MyPortal independientes). Así, hemos segmentado la autenticación en dos sistemas.
Dar acceso a Michelin a usuarios externos no era una opción. Por lo tanto, se decidió utilizar una cuenta de servicio para recuperar los datos del lago de datos y cargar el panel .
Cuando un usuario accede a la aplicación web , pasa por la cuenta de servicio para contactar con Azure AD, que le envía un token confirmando la posibilidad de cargar el informe. Esta comunicación se realiza exclusivamente del lado del servidor: no existe dentro de la sesión web.
Luego, la aplicación web llama a las API REST de Power BI, que pasan un token de sesión al usuario. Este último especifica qué contenido se puede incrustar y desde qué URL se puede acceder a él.
Este método supone que el usuario de la aplicación web tiene permiso para acceder a ella. Aquí es donde entra en juego el segundo mecanismo de autenticación. Los titulares de cuentas MyPortal primero se separan en grupos (internos versus externos). Luego podemos filtrar el acceso con mayor precisión en dos niveles. Por un lado, los cuadros de mando . Por otro, la URL incrustada en el iframe .
Las pruebas de seguridad implicaron, entre otras cosas:
– Un intento de desconectarse y luego reenviar inmediatamente la solicitud
– Un intento de conectarse directamente a la URL llamada por el componente Lightning
– Una verificación de la posible posibilidad de ver los datos destinados a otro usuario. Fuente: Ed-Silicon, desde Francia, traducido al español. (CB)
Ilustración principal © Summit Art Creations – Adobe Stock
Contacto