针对你提到的场景——通过自定义会话Cookie参数sess实现双因素认证，确保只有持有有效会话的用户才能通过PowerBI网关访问本地SSAS，我整理了几个实际可行的解决方向，帮你绕过当前的文档空白问题：

1. 利用PowerBI的URL参数+SSAS CustomData传递验证 #

这是最直接的路径，核心是把URL中的sess参数传递到SSAS的CustomData属性中，再在SSAS侧做验证：

• 步骤1：在PowerBI中提取URL参数
  在PowerBI数据集里创建一个度量值或计算列，用URLParameters("sess")获取报表URL中携带的sess值（注意这个函数在PowerBI服务中需要确保启用了报表级参数传递）。
• 步骤2：配置SSAS连接传递CustomData
  在PowerBI数据集的数据源设置中，编辑SSAS连接，启用「允许自定义数据」选项。然后在连接字符串中添加CustomData=<sess值>，或者在DAX查询开头加入SET CUSTOMDATA = '<sess值>'，把提取到的sess参数注入到SSAS连接上下文里。
• 步骤3：SSAS侧验证会话
  在SSAS的MDX/DAX查询中，通过CUSTOMDATA()函数读取传递过来的sess值，然后编写MDX/DAX逻辑连接本地MSSQL数据库，验证会话是否存在且未过期。如果验证失败，可以通过RLS或者自定义查询逻辑拒绝数据访问。

2. 网关层面拦截验证（更灵活的控制） #

如果PowerBI到SSAS的参数传递遇到瓶颈，可以把验证逻辑放到网关层：

• 开发自定义网关插件（利用PowerBI网关的扩展能力），监听网关转发给SSAS的请求，从中提取sess参数（可以从请求头或查询字符串中获取）。
• 插件直接连接MSSQL数据库验证会话有效性：如果会话无效，直接返回错误响应，阻止请求到达SSAS；如果有效，则正常转发请求。
• 这个方案的优势是不用修改PowerBI数据集或SSAS的配置，所有验证逻辑集中在网关层，便于维护。

3. 结合RLS实现会话级访问控制 #

把会话验证和行级安全（RLS）结合，间接实现认证：

• 在PowerBI数据集里创建一个RLS角色，编写DAX规则，比如：

  [IsValidSession] = 
      VAR CurrentSession = URLParameters("sess")
      RETURN
          CALCULATE(
              COUNTROWS(SessionsTable),
              SessionsTable[SessionId] = CurrentSession,
              SessionsTable[ExpiryTime] > NOW()
          ) > 0
  

  这里的SessionsTable是通过DirectQuery连接到本地MSSQL的会话表。
• 把这个RLS角色应用到数据集，当用户访问报表时，PowerBI会自动验证sess参数对应的会话是否有效，无效则无法获取任何数据。

为什么之前的尝试没成功？ #

• EffectiveIdentity：这个功能是用来模拟用户身份的，主要用于传递AD用户信息，不是为自定义会话参数设计的，所以不适合你的场景。
• CustomData：如果之前没成功，大概率是没有正确配置网关的「允许自定义数据传递」选项，或者参数没有从报表URL正确传递到数据集的SSAS连接上下文里——需要确保PowerBI服务、网关、SSAS三者的参数传递链路是通的。

额外防护建议（补充IP限制） #

虽然你等不及微软的官方IP过滤功能，但可以临时通过以下方式实现类似效果：

• 在本地SSAS服务器的防火墙中，只允许PowerBI网关服务器的IP访问。
• 在网关服务器上，配置防火墙规则，只允许PowerBI服务的官方IP段访问网关。

内容的提问来源于stack exchange，提问作者HrMartinussen