IP-adres Power BI Online toevoegen aan Invantive Cloud firewall

We krijgen bij het vernieuwen van de data via Power Bi Online de volgende melding:

itgenboe031
Bridge Online-toegang is niet geautoriseerd vanaf IP-adres ‘::ffff:…’.
Voeg het IP-adres als een geautoriseerd IP-adres toe aan de database ‘…’.
Gebruik ‘*’ om IP-adresvalidatie volledig uit te schakelen, wat een groot beveiligingsrisico kan opleveren.

We voegen dit adres toe maar de volgende keer is er weer een ander IP-adres dat moet worden toegevoegd. Enig idee hoe dit op te lossen? Is er een vaste lijst van IP-adressen van Microsoft die moet worden toegevoegd? Ik kan wel “*” invullen, maar liever niet.

Microsoft biedt een lijst van alle IP-adressen waar Power BI Online / Power BI Service kan connecteren, maar dit gaat om meerdere honderdduizenden IP-adressen over de gehele wereld. Achterliggend probleem is dat Power BI Online ook op Azure draait en daardoor in principe vanaf elk IP-adres op Azure kan proberen te verbinden.

Microsoft heeft dit voor haar eigen databaseplatform opgelost door een vinkje aan te bieden dat toegang vanaf Azure toestaat, maar dit schakelt dan de firewall uit voor extreem veel IP-adressen.

In principe zou Invantive ook een dergelijk vinkje kunnen introduceren, maar we hebben daar beveiligingstechnisch nogal wat moeite mee. Het ziet er simpel uit, maar is qua netto-risico vergelijkbaar met “*” invullen wat toch duidelijker een rood vlaggetje laat verschijnen bij beveiligingsbewuste gebruikers.

Het is helaas nog een securitypunt voor Azure dat sterke authenticatie niet eenvoudig te realiseren is, vergelijkbaar met het meegebakken zitten van client secrets in de standaard Power BI drivers die op een desktop geïnstalleerd worden.

We adviseren te kiezen tussen het opvoeren van IP-adressen of bewust invullen van “*”.

Suggesties voor een ander alternatief zijn welkom. Zolang gebruikers maar niet onterecht slaap gesust worden qua beveiliging willen we graag de software voorzien van een beter alternatief.

Gerelateerd Wiki: Corrigeer itgenboe031 en itgenboe030 melding bij Power BI Verversen (Bridge Online toegang is niet geautoriseerd vanaf IP-adres ...))

Dank voor het antwoord.

Eigenlijk zeg je, vrijwel alle automatische vernieuwing via PowerBI online is niet geheel te doen zonder met * in de Bridge Client IP-adreslijst te werken?

Want via Azure kan je dit vinkje inderdaad aanbieden, maar je geeft aan dat dit de poort openzet voor honderdduizenden IP-adressen.

En ook via Cloud Invantive kan het niet anders dan “*” in te vullen, omdat er anders iedere dag een ander IP adres moet worden toegevoegd aan de lijst.

Klopt dat zo?

Klopt, er is verzuimd te vermelden dat de Microsoft IP-adreslijst voor Azure regelmatig muteert.

Oke bedankt. Dit is ook hoe andere klanten van jullie het oplossen?

Het is ons gangbare advies indien PowerBI.com gebruikt moet worden voor de automatische verversing met de kanttekening dat dan altijd teruggegaan wordt van “kennis, locatie” naar enkel “kennis”.

Merk op dat zelfs bij opvoeren enkel van de IP-adressen dat deze IP-adressen een proxy zijn: achter elk IP-adres kunnen ettelijke duizenden personen zitten.

Deze vraag is automatisch gesloten na tenminste 2 weken inactiviteit nadat een mogelijk passend antwoord is gegeven. Het laatste gegeven antwoord is gemarkeerd als oplossing.

Gelieve een nieuwe vraag te stellen via een apart topic als het probleem opnieuw optreedt. Gelieve in de nieuwe vraag een link naar dit topic op te nemen door de URL er van in de tekst te plakken.