Partager via

Architecture de Power Automate pour le bureau

  • Article

Important

Power Automate a deux méthodes différentes possibles pour se connecter aux services cloud afin de recevoir des tâches d’exécution de flux. La première option est la connectivité directe, tandis que la seconde option nécessite l’installation de la passerelle de données locale.

Le flux de données entre le bureau et le cloud est le même dans les deux options, seuls l’application et le compte utilisateur qui initient les requêtes web sont différents.

Connectivité directe du bureau « attended »/« unattended » au service cloud

Le service UIFlowService est un service Windows installé avec Power Automate sur la machine de bureau. Par défaut, il est configuré pour démarrer automatiquement et s’exécute en tant que nouvel utilisateur NT SERVICE\UIFlowService. Cet utilisateur est créé lors de l’installation.

Diagramme de connectivité directe de bureau.

Azure Relay est un service qui facilite les canaux de communication qui sont entièrement établis en faisant des demandes sortantes au service. Il réalise cette fonctionnalité soit en établissant une connexion WebSocket, soit en utilisant une interrogation longue HTTP, si nécessaire.

Note

Les services Azure Relay et les services cloud Power Automate sont tous deux des ressources cloud dans Azure. Vous trouverez plus d’informations sur Azure Relay dans la Présentation d’Azure Relay.

Les requêtes web sortantes entre UIFlowService sur la machine de bureau et Azure Relay dans le cloud, utilisent HTTPS pour envoyer des requêtes au FQDN *.servicebus.windows.net sur le port 443.

Vous pouvez trouver les adresses IP de destination pour Azure Relay sur Plages IP Azure et balises de service pour le cloud public sous le nom ServiceBus. Des documents similaires sont disponibles pour les autres clouds nationaux Azure. Aucun port entrant ne doit être ouvert sur la machine de bureau.

Connectivité de bureau « attended »/« unattended » au service cloud à l’aide de la passerelle de données local

Note

Power Automate offre désormais une connectivité directe au cloud sans utiliser de passerelles de données locales. Vous pouvez trouver plus d’informations dans Connectivité directe du bureau « attended »/« unattended » au service cloud.

Le service UIFlowService est un service Windows installé avec Power Automate sur la machine de bureau. Le service Windows passerelle de données locale est un composant installé séparément qui agit comme une passerelle de communication entre UIFlowService et Azure Relay.

Connectivité de bureau à l’aide du diagramme de passerelle de données locale.

Par défaut, le service de passerelle de données locale est configuré pour démarrer automatiquement et s’exécute en tant que nouvel utilisateur NT SERVICE\PBIEgwService. Cet utilisateur est créé lors de l’installation.

Azure Relay est un service qui facilite les canaux de communication qui sont entièrement établis en faisant des demandes sortantes au service. Il réalise cette fonctionnalité soit en établissant une connexion WebSocket, soit en utilisant une interrogation longue HTTP, si nécessaire.

Note

Les services Azure Relay et les services cloud Power Automate sont tous deux des ressources cloud dans Azure. Vous trouverez plus d’informations sur Azure Relay dans la Présentation d’Azure Relay.

Les détails de ce flux de données sont documentés dans Ajuster les paramètres de communication. Les exigences du pare-feu pour l’exécution sont exactement les mêmes que pour l’option de connectivité directe, mais un service et un compte d’utilisateur différents effectueront les demandes sortantes.

Autres requêtes web Power Automate sortantes

Power Automate effectue des requêtes web sortantes supplémentaires au moment de l’exécution, qui sont documentées dans Services de flux de bureau requis pour l’exécution.

Les points de terminaison CRL sont requis uniquement si vous utilisez la passerelle de données locale. Ils utilisent HTTP sur le port 80 et sont initiés par UIFlowService.

Cycle de vie des identifiants de session

  1. Une machine de bureau est inscrite en se connectant à la passerelle de données locale ou en s’inscrivant dans Power Automate en utilisant la fonction de connectivité directe. Ce processus génère une clé publique et privée à utiliser pour une communication sécurisée avec cette machine.

  2. La demande d’enregistrement de la machine est envoyée par l’application de bureau aux services cloud Power Automate. La requête contient la clé publique de la machine nouvellement générée. Cette clé est stockée avec l’enregistrement de la machine dans le cloud.

  3. Une fois la demande terminée, la machine est enregistrée et apparaît dans le portail Web Power Automate en tant que ressource pouvant être gérée. Cependant, la machine ne peut pas être utilisée par un flux tant qu’une connexion n’est pas établie avec celui-ci.

  4. Pour établir une connexion Power Automate au portail web, les utilisateurs doivent sélectionner une machine disponible et fournir le nom d’utilisateur et le mot de passe du compte à utiliser pour exécuter le flux de bureau.

    Les utilisateurs peuvent sélectionner n’importe quelle machine précédemment enregistrée, y compris les machines qui ont été partagées avec eux. Lorsqu’une connexion est enregistrée, les informations d’identification sont cryptées à l’aide de la clé publique associée à la machine et stockées sous cette forme cryptée.

    Le service cloud stocke les informations d’identification de l’utilisateur chiffrées pour la machine. Cependant, il ne peut pas déchiffrer les informations d’identification car la clé privée n’existe que sur l’ordinateur de bureau. L’utilisateur peut supprimer cette connexion à tout moment et les informations d’identification cryptées stockées seront également supprimées.

  5. Lorsqu’un flux de bureau est exécuté à partir du cloud, il utilise une connexion préalablement établie sélectionnée dans l’action Exécuter un flux créé avec Power Automate pour le bureau.

  6. Lorsque la tâche de flux de bureau est envoyée du cloud vers le bureau, elle inclut les informations d’identification chiffrées stockées dans la connexion. Ces informations d’identification sont ensuite déchiffrées sur le bureau à l’aide de la clé privée secrète, et elles sont utilisées pour se connecter en tant que compte d’utilisateur donné.

Diagramme du cycle de vie des identifiants de session.

Bien que le flux de données logique aille du cloud au bureau, la connexion est établie du bureau au cloud. Il utilise un service Azure Relay pour se connecter au cloud à l’aide d’une requête web sortante.

Si un cluster de passerelle est créé à l’aide de la passerelle de données locale, la clé privée utilisée pour déchiffrer les informations d’identification est générée sur toutes les machines du cluster. La clé privée est générée à l’aide de la clé de récupération demandée lors de l’enregistrement de la machine. La clé de récupération n’est jamais envoyée au cloud.

Si un groupe de machines est créé à l’aide d’une connectivité directe, la clé privée du groupe est chiffrée à l’aide d’un mot de passe de groupe défini par l’utilisateur. Ensuite, elle est envoyée au cloud à des fins de stockage dans le cadre de la demande d’enregistrement de la machine.

La clé privée chiffrée est partagée avec d’autres machines qui rejoignent le groupe. Cependant, comme l’utilisateur doit d’abord fournir le mot de passe pour déchiffrer cette clé privée, le service ne peut pas lire les informations d’identification stockées dans la connexion.