Delen via

Architectuur van Power Automate voor bureaublad

  • Artikel

Belangrijk

Er zijn twee verschillende methoden die Power Automate kan gebruiken om verbinding te maken met de cloudservices om stroomuitvoeringstaken te ontvangen. De eerste optie is directe connectiviteit, terwijl voor de tweede optie de on-premises-gegevensgateway moet worden geïnstalleerd.

De gegevensstroom tussen het bureaublad en de cloud is in beide opties hetzelfde, alleen de applicatie en het gebruikersaccount die de webaanvragen initieert, zijn anders.

Bewaakte/onbeheerde bureaublad directe connectiviteit met de cloudservice

De UIFlowService is een Windows-service die met Power Automate wordt geïnstalleerd op de desktopcomputer. Het is standaard ingesteld om automatisch te starten en wordt uitgevoerd als de nieuwe gebruiker NT SERVICE\UIFlowService. Deze gebruiker wordt aangemaakt tijdens de installatie.

Direct connectiviteitsdiagram voor het bureaublad.

Azure Relay is een service die communicatiekanalen faciliteert die volledig tot stand worden gebracht door uitgaande verzoeken aan de service te doen. Het bereikt deze functionaliteit door een WebSocket-verbinding tot stand te brengen of indien nodig HTTP long-polling te gebruiken.

Notitie

Het Azure Relay en Power Automate cloudservices zijn beide cloudresources in Azure. U kunt meer informatie over Azure Relay vinden in Wat is Azure Relay.

De uitgaande webaanvragen van de UIFlowService op de desktopcomputer naar de Azure Relay in de cloud gebruiken HTTPS om aanvragen in te dienen bij FQDN *.servicebus.windows.net via poort 443.

Bestemmings-IP-adressen voor de Azure Relay zijn te vinden op Azure IP-bereiken en servicetags voor de openbare cloud onder de naam ServiceBus. Soortgelijke documenten zijn beschikbaar voor de andere nationale Azure-clouds. Er hoeven geen inkomende poorten geopend te zijn op de desktopcomputer.

Bewaakte/onbeheerde desktopverbinding met de cloudservice met behulp van de on-premises-gegevensgateway

Notitie

Power Automate biedt nu directe connectiviteit met de cloud zonder het gebruik van on-premises gegevensgateways. Meer informatie vind je in Bewaakte/onbeheerde desktop directe connectiviteit met de cloudservice.

De UIFlowService is een Windows-service die met Power Automate wordt geïnstalleerd op de desktopcomputer. De on-premises gegevensgateway Windows-service is een afzonderlijk geïnstalleerd onderdeel dat fungeert als een communicatiegateway tussen UIFlowService en Azure Relay.

Desktopconnectiviteit met behulp van het on-premises-gegevensgatewaydiagram.

De gegevensgatewayservice is standaard ingesteld om automatisch te starten en wordt uitgevoerd als de nieuwe gebruiker NT SERVICE\PBIEgwService. Deze gebruiker wordt aangemaakt tijdens de installatie.

Azure Relay is een service die communicatiekanalen faciliteert die volledig tot stand worden gebracht door uitgaande verzoeken aan de service te doen. Het bereikt deze functionaliteit door een WebSocket-verbinding tot stand te brengen of indien nodig HTTP long-polling te gebruiken.

Notitie

Het Azure Relay en Power Automate cloudservices zijn beide cloudresources in Azure. U kunt meer informatie over Azure Relay vinden in Wat is Azure Relay.

De details over deze gegevensstroom zijn gedocumenteerd in Communicatie-instellingen aanpassen. De firewallvereisten voor uitvoering zijn precies hetzelfde als de directe connectiviteitsoptie, maar een andere service en gebruikersaccount zullen de uitgaande verzoeken doen.

Andere uitgaande webverzoeken in Power Automate

Power Automate maakt enkele extra uitgaande webverzoeken tijdens runtime, die gedocumenteerd zijn in Bureaubladstroomservices die vereist zijn voor runtime.

De CRL-eindpunten zijn alleen vereist als u de on-premises-gegevensgateway gebruikt. Ze gebruiken HTTP via poort 80 en worden geïnitieerd door de UIFlowService.

Levenscyclus van sessie-inloggegevens

  1. Een desktopcomputer wordt geregistreerd door in te loggen op de on-premises gegevensgateway of door binnen Power Automate te registreren met behulp van de directe connectiviteitsfunctie. Dit proces genereert een openbare en privésleutel die moet worden gebruikt voor veilige communicatie met deze machine.

  2. Het verzoek om machineregistratie wordt door de bureaubladtoepassing naar de Power Automate cloud diensten. Het verzoek bevat de openbare sleutel van de nieuw gegenereerde machine. Deze sleutel wordt samen met de machineregistratie in de cloud opgeslagen.

  3. Wanneer het verzoek is voltooid, is de machine succesvol geregistreerd en verschijnt deze in de Power Automate webportaal als een middel dat kan worden beheerd. De machine kan echter niet door een stroom worden gebruikt totdat er verbinding mee is gemaakt.

  4. Om een Power Automate-verbinding tot stand te brengen in de webportal, moeten gebruikers een beschikbare computer selecteren en de gebruikersnaam en het wachtwoord opgeven van het account dat moet worden gebruikt om de bureaubladstroom uit te voeren.

    Gebruikers kunnen elke eerder geregistreerde machine selecteren, inclusief machines die met hen zijn gedeeld. Wanneer een verbinding wordt opgeslagen, worden de inloggegevens gecodeerd met de openbare sleutel die aan de machine is gekoppeld en in deze gecodeerde vorm opgeslagen.

    De cloudservice slaat de versleutelde gebruikersreferenties voor de machine op. Het kan de inloggegevens echter niet decoderen omdat de privésleutel alleen op de desktopcomputer bestaat. De gebruiker kan deze verbinding op elk moment verwijderen en de opgeslagen versleutelde inloggegevens worden ook verwijderd.

  5. Wanneer een bureaubladstroom vanuit de cloud wordt uitgevoerd, gebruikt deze een eerder tot stand gebrachte verbinding die is geselecteerd in de actie Een stroom uitvoeren die is gebouwd met Power Automate voor bureaublad.

  6. Wanneer de bureaubladstroomtaak van de cloud naar het bureaublad wordt verzonden, bevat deze de versleutelde inloggegevens die in de verbinding zijn opgeslagen. Deze inloggegevens worden vervolgens op het bureaublad gedecodeerd met behulp van de geheime privésleutel en worden gebruikt om in te loggen als het opgegeven gebruikersaccount.

Levenscyclus van sessie-inloggegevens diagram.

Hoewel de logische datastroom van de cloud naar het bureaublad gaat, wordt de verbinding van het bureaublad naar de cloud tot stand gebracht. Het gebruikt Azure Relay om verbinding te maken met de cloud via een uitgaande webaanvraag.

Als een gatewaycluster wordt gemaakt met behulp van de on-premises-gegevensgateway, wordt de persoonlijke sleutel die wordt gebruikt om referenties te ontsleutelen, gegenereerd op alle machines in het cluster. De privésleutel wordt gegenereerd met behulp van de herstelsleutel die wordt gevraagd tijdens de machineregistratie. De herstelsleutel wordt nooit naar de cloud gestuurd.

Als een computergroep wordt gemaakt met behulp van directe connectiviteit, wordt de privésleutel van de groep versleuteld met een door de gebruiker gedefinieerd groepswachtwoord. Vervolgens wordt het naar de cloud gestuurd voor opslag als onderdeel van het verzoek van de registermachine.

De versleutelde privésleutel wordt gedeeld met andere machines die lid worden van de groep. Omdat de gebruiker echter eerst het wachtwoord moet opgeven om deze persoonlijke sleutel te ontsleutelen, kan de service geen opgeslagen referenties in de verbinding lezen.