Condividi tramite

Architettura di Power Automate per desktop

  • Articolo

Importante

Power Automate può utilizzare due differenti metodi per connettersi ai servizi cloud allo scopo di ricevere processi di esecuzione di flussi. La prima opzione è la connettività diretta, mentre la seconda opzione richiede l'installazione del gateway dati locale.

Il flusso di dati tra il desktop e il cloud è lo stesso in entrambi i modi; solo l'applicazione e l'account utente che avvia le richieste Web sono diversi.

Connettività diretta del desktop presidiato/non presidiato al servizio cloud

UIFlowService è un servizio Windows che viene installato con Power Automate nella macchina desktop. Per impostazione predefinita, è impostato per avviarsi automaticamente e viene eseguito NT SERVICE\UIFlowService per il nuovo utente. Questo utente viene creato durante l'installazione.

Diagramma di connettività diretta desktop.

Inoltro di Azure è un servizio che facilita i canali di comunicazione che vengono stabiliti interamente effettuando richieste in uscita al servizio. Raggiunge questa funzionalità stabilendo una connessione WebSocket o utilizzando il polling lungo HTTP, se necessario.

Nota

I servizi cloud Inoltro di Azure e Power Automate sono entrambi risorse cloud in Azure. Puoi trovare altre informazioni su Inoltro di Azure in Che cos'è Inoltro di Azure.

Le richieste Web in uscita dal servizio UIFlowService nel computer desktop a Inoltro di Azure nel cloud usano il protocollo HTTPS per inviare le richieste al nome FQDN *.servicebus.windows.net sulla porta 443.

Gli indirizzi IP di destinazione per Inoltro di Azure sono disponibili in Intervalli IP di Azure e tag di servizio per il cloud pubblico con nome ServiceBus. Documenti simili sono disponibili per gli altri cloud nazionali di Azure. Non è necessario che le porte in entrata siano aperte sul computer desktop.

Connettività desktop presidiato/non presidiato al servizio cloud utilizzando il gateway dati locale

Nota

Power Automate ora offre connettività diretta al cloud senza l'uso di gateway dati locali. Puoi trovare maggiori informazioni in Connettività diretta del desktop presidiato/non presidiato al servizio cloud.

UIFlowService è un servizio Windows che viene installato con Power Automate nella macchina desktop. Il servizio Windows gateway dati locale è un componente installato separatamente che funge da gateway di comunicazione tra UIFlowService e Inoltro di Azure.

Connettività desktop utilizzando il diagramma del gateway dati locale.

Per impostazione predefinita, il servizio gateway dati è impostato per avviarsi automaticamente e viene eseguito come nuovo utente NT SERVICE\PBIEgwService. Questo utente viene creato durante l'installazione.

Inoltro di Azure è un servizio che facilita i canali di comunicazione che vengono stabiliti interamente effettuando richieste in uscita al servizio. Raggiunge questa funzionalità stabilendo una connessione WebSocket o utilizzando il polling lungo HTTP, se necessario.

Nota

I servizi cloud Inoltro di Azure e Power Automate sono entrambi risorse cloud in Azure. Puoi trovare altre informazioni su Inoltro di Azure in Che cos'è Inoltro di Azure.

I dettagli su questo flusso di dati sono documentati in Regolare le impostazioni di comunicazione. I requisiti del firewall per l'esecuzione sono esattamente gli stessi dell'opzione di connettività diretta, ma un servizio e un account utente diversi effettueranno le richieste in uscita.

Altre richieste web in uscita di Power Automate

Power Automate effettua alcune richieste Web in uscita aggiuntive in fase di runtime. Queste richieste sono documentate in Servizi di flusso desktop richiesti per il runtime.

Gli endpoint CRL sono necessari solo se utilizzi il gateway dati locale. Usano HTTP sulla porta 80 e sono avviati da UIFlowService.

Ciclo di vita delle credenziali di sessione

  1. Una macchina desktop viene registrata accedendo al gateway dati locale o registrandosi in Power Automate utilizzando la funzione di connettività diretta. Questo processo genera una chiave pubblica e privata da utilizzare per la comunicazione sicura con questo computer.

  2. La richiesta di registrazione del computer viene inviata dall'applicazione desktop ai servizi cloud di Power Automate. La richiesta contiene la chiave pubblica del computer appena generata. Questa chiave viene archiviata insieme alla registrazione del computer nel cloud.

  3. Una volta completata la richiesta, il computer viene correttamente registrato e appare nel portale Web di Power Automate come risorsa gestibile. Tuttavia, il computer non può essere utilizzato da un flusso finché non viene stabilita una connessione con il computer stesso.

  4. Per stabilire una connessione Power Automate nel portale Web, gli utenti devono selezionare una macchina disponibile e fornire il nome utente e le credenziali della password dell'account da utilizzare per eseguire il flusso desktop.

    Gli utenti possono selezionare qualsiasi computer precedentemente registrato, compresi i computer condivisi con loro. Quando viene salvata una connessione, le credenziali vengono crittografate utilizzando la chiave pubblica associata al computer e archiviate in questa forma crittografata.

    Il servizio cloud sta archiviando le credenziali utente crittografate per il computer. Tuttavia, non può decrittografare le credenziali perché la chiave privata esiste solo sul computer desktop. L'utente può eliminare questa connessione in qualsiasi momento e verranno eliminate anche le credenziali crittografate archiviate.

  5. Quando viene eseguito dal cloud, un flusso desktop usa una connessione stabilita in precedenza selezionata nell'azione Esegui un flusso creato con Power Automate per desktop.

  6. Quando il processo di flusso desktop viene inviato dal cloud al desktop, include le credenziali crittografate archiviate nella connessione. Queste credenziali vengono quindi decrittografate sul desktop utilizzando la chiave privata segreta e vengono utilizzate per accedere con l'account utente specificato.

Diagramma del ciclo di vita delle credenziali di sessione.

Sebbene il flusso di dati logico vada dal cloud al desktop, la connessione viene stabilita dal desktop al cloud. Il flusso usa Inoltro di Azure per connettersi al cloud tramite una richiesta Web in uscita.

Se viene creato un cluster gateway utilizzando il gateway dati locale, la chiave privata utilizzata per decrittografare le credenziali viene generata su tutti i computer del cluster. La chiave privata viene generata utilizzando la chiave di ripristino richiesta durante la registrazione del computer. La chiave di ripristino non viene mai inviata al cloud.

Se un gruppo di computer viene creato utilizzando la connettività diretta, la chiave privata del gruppo viene crittografata utilizzando una password di gruppo definita dall'utente. Quindi, viene inviata al cloud per l'archiviazione come parte della richiesta di registrazione del computer.

La chiave privata crittografata è condivisa con altri computer che si uniscono al gruppo. Tuttavia, poiché l'utente deve prima fornire la password per decrittografare questa chiave privata, il servizio non può leggere le credenziali archiviate nella connessione.