Acceder a datos de BigQuery en Power BI con la federación de identidades de los empleados y Microsoft Entra

En esta guía se explica cómo permitir que los usuarios que pertenecen a grupos de Microsoft Entra accedan a datos de BigQuery en Power BI mediante la federación de identidades de la plantilla.

Microsoft Entra es el proveedor de identidades (IdP). Las reclamaciones de grupos de Microsoft Entra se asignan a Google Cloud. Se concede a los grupos permiso de Gestión de Identidades y Accesos (IAM) para acceder a los datos de BigQuery.

En esta guía se proporcionan instrucciones para Power BI Desktop o Web.

Antes de empezar

1. Asegúrate de que tienes una organización de Google Cloud configurada.

2. Instala Google Cloud CLI. Después de la instalación, inicializa la CLI de Google Cloud ejecutando el siguiente comando:

   gcloud init

   Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

3. Debes tener acceso a Microsoft Entra y Microsoft Graph.
4. Debes tener configurado Power BI.

Costes

La federación de identidades para los trabajadores está disponible como función gratuita. Sin embargo, el registro de auditoría detallado de la federación de identidades de Workforce usa Cloud Logging. Para obtener información sobre los precios de Logging, consulta los precios de Google Cloud Observability.

Roles obligatorios

En esta sección se describen los roles necesarios para los administradores y los recursos.

Roles de administrador

Para obtener los permisos que necesitas para configurar la federación de identidades de Workforce, pide a tu administrador que te conceda el rol de administrador de grupos de Workforce de gestión de identidades y accesos (roles/iam.workforcePoolAdmin) en la organización. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

También puedes usar el rol básico Propietario de gestión de identidades y accesos (roles/owner), que incluye permisos para configurar la federación de identidades. No debes conceder roles básicos en un entorno de producción, pero sí puedes hacerlo en un entorno de desarrollo o de pruebas.

Roles de identidades federadas

Power BI envía el parámetro userProject durante el intercambio de tokens. Por este motivo, debes pedirle a tu administrador que conceda el rol de consumidor de uso de servicios (roles/serviceusage.serviceUsageConsumer) a las identidades federadas en el proyecto de facturación.

Para asignar el rol a un grupo de identidades federadas, ejecuta el siguiente comando:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --role="roles/serviceusage.serviceUsageConsumer" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Haz los cambios siguientes:

• PROJECT_ID: el ID de proyecto de facturación.
• WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce.
• GROUP_ID: el ID del grupo. Por ejemplo, admin-group@altostrat.com. Para ver una lista de los identificadores de principales comunes, consulta Identificadores de principales.

Crear un grupo de identidades de Workforce

En esta sección se describe cómo crear el grupo de identidades de la fuerza de trabajo. Crearás el proveedor de grupos de identidades de empleados más adelante en esta guía.

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

Registrar una aplicación de Microsoft Entra

En esta sección se muestra cómo crear una aplicación de Microsoft Entra mediante el portal de Microsoft Azure.

1. Registra una nueva aplicación de Microsoft Entra.

2. En la aplicación de Microsoft Entra que has registrado, crea un secreto de cliente. Anota el secreto de cliente.

3. Concede permisos de API a tu aplicación de Microsoft Entra para que pueda acceder a la información de usuarios y grupos de Active Directory. Para conceder permisos a la API Microsoft Graph, sigue estos pasos:

   1. En tu aplicación, selecciona Permisos de API.
   2. En Permisos configurados, haz clic en Añadir un permiso.
   3. En el cuadro de diálogo Solicitar permisos de API, selecciona Microsoft Graph.
   4. Selecciona Permisos de aplicaciones.
   5. En el cuadro de diálogo Seleccionar permisos, haz lo siguiente:
      1. En el campo de búsqueda, introduce User.ReadBasic.All.
      2. Haz clic en User.ReadBasic.All.
      3. Haz clic en Añadir permisos.
   6. En el cuadro de diálogo Solicitar permisos de API, selecciona Microsoft Graph.
   7. Selecciona Permisos de aplicaciones.
   8. En el cuadro de diálogo Seleccionar permisos, haz lo siguiente:
      1. En el campo de búsqueda, introduce GroupMember.Read.All.
      2. Haz clic en GroupMember.Read.All.
      3. Haz clic en Añadir permisos.
   9. En Permisos configurados, haz clic en Conceder consentimiento de administrador para (nombre de dominio).
   10. Cuando se te pida que confirmes la acción, haz clic en Sí.

4. Para acceder a los valores que necesita para configurar el proveedor del grupo de trabajadores más adelante en esta guía, haga lo siguiente:

   1. Ve a la página Resumen de la aplicación Microsoft Entra.
   2. Haz clic en Puntos de conexión.

   3. Ten en cuenta los siguientes valores:

      • ID de cliente: el ID de la aplicación de Microsoft Entra que has registrado anteriormente en esta guía.
      • Secreto de cliente: el secreto de cliente que has generado anteriormente en esta guía.
      • ID de cliente: el ID de cliente de la aplicación de Microsoft Entra que has registrado anteriormente en esta guía.
      • URI del emisor: el URI del documento de metadatos de OpenID Connect, sin /.well-known/openid-configuration. Por ejemplo, si la URL del documento de metadatos de OpenID Connect es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.well-known/openid-configuration, el URI del emisor es https://login.microsoftonline.com/d41ad248-019e-49e5-b3de-4bdfe1fapple/v2.0/.

Crear un proveedor de grupos de identidades de empleados

Para crear el proveedor, ejecuta el siguiente comando:

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global \
    --display-name=DISPLAY_NAME \
    --issuer-uri=ISSUER_URI \
    --client-id=https://analysis.windows.net/powerbi/connector/GoogleBigQuery \
    --attribute-mapping=ATTRIBUTE_MAPPING \
    --web-sso-response-type=id-token \
    --web-sso-assertion-claims-behavior=only-id-token-claims \
    --extra-attributes-issuer-uri=APP_ISSUER_URI \
    --extra-attributes-client-id=APP_CLIENT_ID \
    --extra-attributes-client-secret-value=APP_CLIENT_SECRET \
    --extra-attributes-type=EXTRA_GROUPS_TYPE \
    --extra-attributes-filter=EXTRA_FILTER \
    --detailed-audit-logging

Haz los cambios siguientes:

• WORKFORCE_PROVIDER_ID: un ID de proveedor único. El prefijo gcp- está reservado y no se puede usar en un ID de proveedor.

• WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce al que conectar tu IdP.

• DISPLAY_NAME: nombre visible opcional para el proveedor.

• ISSUER_URI: el valor del URI del emisor, con el formato https://sts.windows.net/TENANT_ID. Sustituye TENANT_ID por el ID de inquilino que has anotado anteriormente.

• ATTRIBUTE_MAPPING: una asignación del grupo y, opcionalmente, otros atributos de la reclamación de Microsoft Entra a atributos deGoogle Cloud , por ejemplo: google.groups=assertion.groups, google.subject=assertion.sub. El grupo tendrá acceso a los datos de BigQuery más adelante en esta guía.

  Para obtener más información, consulta Asignación de atributos.

• APP_ISSUER_URI: el URI del emisor de la aplicación de Microsoft Entra que has anotado anteriormente.

• APP_CLIENT_ID: el ID de cliente del emisor que has anotado antes.

• APP_CLIENT_SECRET: el secreto de cliente del emisor que has anotado anteriormente.

• EXTRA_GROUPS_TYPE: el tipo de identificador de grupo, que puede ser uno de los siguientes:

  • azure-ad-groups-mail: las direcciones de correo de grupo se obtienen del proveedor de identidades. Por ejemplo: admin-group@altostrat.com.

  • azure-ad-groups-id: los UUIDs que representan los grupos se obtienen del IdP. Por ejemplo: abcdefgh-0123-0123-abcdef.

• EXTRA_FILTER: el filtro usado para solicitar que se transfieran aserciones específicas desde el IdP. Especificando --extra-attributes-type=azure-ad-groups-mail, --extra-attributes-filter filtros para las reclamaciones de grupo de un usuario que se transfieren desde el IdP. De forma predeterminada, se obtienen todos los grupos asociados al usuario. Los grupos que se utilicen deben tener habilitadas las opciones de correo y seguridad. Para obtener más información, consulta Usar el parámetro de consulta $search.

  En el siguiente ejemplo se filtran los grupos asociados a direcciones de correo de usuario que empiezan por gcp:

  --extra-attributes-filter='"mail:gcp"'

  En el siguiente ejemplo se filtran los grupos asociados a usuarios cuyas direcciones de correo empiezan por gcp y cuyo displayName contiene example:

  --extra-attributes-filter='"mail:gcp" AND "displayName:example"'

• La federación de identidades de Workforce registra información de auditoría detallada recibida de tu proveedor de identidades en Logging. El registro de auditoría detallado puede ayudarte a solucionar problemas con la configuración de tu proveedor de identidades de la plantilla. Para saber cómo solucionar problemas de asignación de atributos con registros de auditoría detallados, consulta Errores generales de asignación de atributos. Para obtener información sobre los precios de Logging, consulta la página de precios de Google Cloud Observability.

  Para inhabilitar el registro de auditoría detallado de un proveedor de grupos de identidades de fuerza de trabajo, omite la marca --detailed-audit-logging al ejecutar gcloud iam workforce-pools providers create. Para inhabilitar el registro de auditoría detallado, también puedes actualizar el proveedor.

Crear políticas de gestión de identidades y accesos

En esta sección, creará una política de permiso de gestión de identidades y accesos que asigne el rol Lector de datos de BigQuery (roles/bigquery.dataViewer) al grupo asignado en el proyecto en el que se almacenan sus datos de BigQuery. Esta política permite que todas las identidades del grupo vean los datos de las tablas y vistas de BigQuery almacenadas en el proyecto.

Para crear la política, ejecuta el siguiente comando:

gcloud projects add-iam-policy-binding BIGQUERY_PROJECT_ID \
    --role="roles/bigquery.dataViewer" \
    --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"

Haz los cambios siguientes:

• BIGQUERY_PROJECT_ID: el ID del proyecto en el que se almacenan los datos y los metadatos de BigQuery.
• WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce

• GROUP_ID: el identificador del grupo, que depende del valor de --extra-attributes-type que se haya usado para crear el proveedor de identidades de Workforce, tal como se indica a continuación:

  • azure-ad-groups-mail: el identificador del grupo es una dirección de correo electrónico. Por ejemplo: admin-group@altostrat.com

  • azure-ad-groups-id: el identificador de grupo es un UUID del grupo. Por ejemplo: abcdefgh-0123-0123-abcdef

Acceder a datos de BigQuery desde Power BI Desktop

Para acceder a los datos de BigQuery desde Power BI Desktop, haz lo siguiente:

1. Abre Power BI.
2. Haz clic en Obtener datos.
3. Haz clic en Base de datos.
4. En la lista de bases de datos, selecciona Google BigQuery (Microsoft Entra ID) (Beta).
5. Haz clic en Conectar.

6. Rellena los siguientes campos obligatorios:

   • ID de proyecto de facturación: el ID de proyecto de facturación.

   • URI de audiencia: el Google Cloud URI, con el siguiente formato:

     //iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
     

     Haz los cambios siguientes:

     • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce.

     • WORKFORCE_PROVIDER_ID: el ID del proveedor del grupo de identidades de Workforce.

7. Haz clic en Aceptar.

8. Haz clic en Siguiente.

9. Haz clic en Seleccionar los datos.

Si se te pide que inicies sesión, usa una identidad de Microsoft Entra que sea miembro del grupo.

Ahora puede usar datos de BigQuery en Power BI Desktop.

Acceder a los datos de BigQuery desde Power BI Web

Para acceder a los datos de BigQuery desde Power BI Web, haz lo siguiente:

1. Ve a Power BI Web.

2. Haga clic en Power Query para añadir una nueva fuente de datos.

3. Haz clic en Obtener datos.

4. En la lista, busca y selecciona Google BigQuery (Microsoft Entra ID) (Beta).

5. Rellena los siguientes campos obligatorios:

   • ID de proyecto de facturación: el Google Cloud proyecto de facturación

   • URI de audiencia: el URI de audiencia, con el siguiente formato:

     //iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/providers/WORKFORCE_PROVIDER_ID
     

     Haz los cambios siguientes:

     • WORKFORCE_POOL_ID: el ID del grupo de identidades de Workforce

     • WORKFORCE_PROVIDER_ID: el ID del proveedor del grupo de identidades de Workforce

6. Haz clic en Credenciales de conexión > Tipo de autenticación.

7. Selecciona Cuenta de organización.

8. Haz clic en Iniciar sesión.

9. Haz clic en Siguiente.

10. Haz clic en Seleccionar los datos.

Ahora puede usar datos de BigQuery en Power BI Web.

Siguientes pasos

• Para eliminar usuarios de la federación de identidades de la plantilla y sus datos, consulta Eliminar usuarios de la federación de identidades de la plantilla y sus datos.
• Para obtener información sobre la compatibilidad de los productos con Workforce Identity Federation, consulta el artículo Federación de identidades: productos admitidos y limitaciones. Google Cloud