Compartilhar via

Arquitetura do Power Automate para área de trabalho

  • Artigo

Importante

Existem dois métodos diferentes que o Power Automate pode usar para se conectar aos serviços de nuvem a fim de receber trabalhos de execução do fluxo. A primeira opção é conectividade direta, e a segunda opção exige a instalação do gateway de dados local.

O fluxo de dados entre a área de trabalho e a nuvem é o mesmo em ambas as opções; somente o aplicativo e a conta de usuário que inicia as solicitações da Web são diferentes.

Conectividade direta do desktop assistida/autônoma com o serviço de nuvem

O UIFlowService é um serviço Windows instalado com o Power Automate no computador desktop. Por padrão, ele é definido para iniciar automaticamente e ser executado como o novo usuário NT SERVICE\UIFlowService. Esse usuário é criado durante a instalação.

Diagrama da conectividade direta do desktop.

A Retransmissão do Azure é um serviço que facilita canais de comunicação estabelecidos inteiramente por meio de solicitações de saída para o serviço. Ele consegue essa funcionalidade estabelecendo uma conexão WebSocket ou usando a sondagem longa HTTP, caso necessário.

Observação

A Retransmissão do Azure e os serviços de nuvem do Power Automate são ambos recursos de nuvem no Azure. É possível encontrar mais informações sobre a Retransmissão do Azure em O que é Retransmissão do Azure?.

As solicitações da Web de saída do UIFlowService no computador desktop para a Retransmissão do Azure na nuvem usam HTTPS para fazer solicitações ao FQDN *.servicebus.windows.net pela porta 443.

Os endereços IP de destino para Retransmissão do Azure podem ser encontrados em Intervalos de IP do Azure e Marcas de Serviço para nuvem pública com o nome ServiceBus. Há documentos semelhantes disponíveis para as outras nuvens nacionais do Azure. Nenhuma porta de entrada precisa estar aberta no computador desktop.

Conectividade do desktop assistida/autônoma com o serviço de nuvem usando o gateway de dados local

Observação

O Power Automate já oferece conectividade direta com a nuvem sem o uso de gateways de dados locais. É possível encontrar mais informações em Conectividade direta do desktop assistida/autônoma com o serviço de nuvem.

O UIFlowService é um serviço Windows instalado com o Power Automate no computador desktop. O serviço Windows gateway de dados local é um componente instalado separadamente que funciona como um gateway de comunicação entre o UIFlowService e a Retransmissão do Azure.

Conectividade do desktop usando o diagrama do gateway de dados local.

Por padrão, o serviço do gateway de dados é definido para iniciar automaticamente e ser executado como o novo usuário NT SERVICE\PBIEgwService. Esse usuário é criado durante a instalação.

A Retransmissão do Azure é um serviço que facilita canais de comunicação estabelecidos inteiramente por meio de solicitações de saída para o serviço. Ele consegue essa funcionalidade estabelecendo uma conexão WebSocket ou usando a sondagem longa HTTP, caso necessário.

Observação

A Retransmissão do Azure e os serviços de nuvem do Power Automate são ambos recursos de nuvem no Azure. É possível encontrar mais informações sobre a Retransmissão do Azure em O que é Retransmissão do Azure?.

Os detalhes sobre esse fluxo de dados estão documentados em Ajustar configurações de comunicação. Os requisitos do firewall para execução são exatamente os mesmos da opção de conectividade direta, mas um serviço e uma conta de usuário diferentes farão as solicitações de saída.

Outras solicitações da Web de saída do Power Automate

O Power Automate faz algumas solicitações da Web de saída adicionais em runtime, documentadas em Serviços do fluxo da área de trabalho obrigatórios para runtime.

Os pontos de extremidade CRL só serão obrigatórios se você usar o gateway de dados local. Eles usam HTTP na porta 80 e são iniciados pelo UIFlowService.

Ciclo de vida da credencial da sessão

  1. Um computador desktop é registrado ao entrar no gateway de dados local ou ao se registrar dentro do Power Automate usando o recurso de conectividade direta. Esse processo gera uma chave pública e uma chave privada a serem usadas na comunicação segura com esse computador.

  2. A solicitação de registro do computador é enviada pelo aplicativo da área de trabalho para os serviços de nuvem do Power Automate. A solicitação contém a chave pública do computador recém-gerada. Essa chave é armazenada com o registro do computador na nuvem.

  3. Quando a solicitação é concluída, o computador está registrado com êxito e é exibido no portal da Web do Power Automate como um recurso que pode ser gerenciado. No entanto, o computador não pode ser usado por um fluxo até uma conexão ser estabelecida.

  4. Para estabelecer uma conexão do Power Automate no portal da Web, os usuários devem selecionar um computador disponível e fornecer as credenciais do nome de usuário e da senha da conta a serem usadas para executar o fluxo da área de trabalho.

    Os usuários podem selecionar qualquer computador registrado anteriormente, inclusive computadores que tenham sido compartilhados com eles. Quando uma conexão é salva, as credenciais são criptografadas usando-se a chave pública associada ao computador e armazenadas nessa forma criptografada.

    O serviço de nuvem está armazenando as credenciais do usuário criptografadas para o computador. No entanto, ele não consegue descriptografar as credenciais porque a chave privada só existe no computador desktop. O usuário pode excluir essa conexão a qualquer momento, e as credenciais criptografadas armazenadas também serão excluídas.

  5. Quando é executado pela nuvem, um fluxo da área de trabalho usa uma conexão previamente estabelecida selecionada na ação Executar um fluxo criado com o Power Automate para desktop.

  6. Quando é enviado pela nuvem para a área de trabalho, o trabalho de fluxo da área de trabalho inclui as credenciais criptografadas armazenadas na conexão. Em seguida, essas credenciais são descriptografadas na área de trabalho usando a chave privada secreta e usadas para entrar usando a conta de usuário indicada.

Diagrama do ciclo de vida da credencial da sessão.

Embora o fluxo de dados lógico seja da nuvem para a área de trabalho, a conexão é estabelecida da área de trabalho para a nuvem. Ele usa uma Retransmissão do Azure para se conectar à nuvem usando uma solicitação da Web de saída.

Caso um cluster de gateway seja criado usando-se o gateway de dados local, a chave privada usada para descriptografar as credenciais é gerada em todos os computadores do cluster. A chave privada é gerada usando-se a chave de recuperação solicitada durante o registro do computador. A chave de recuperação jamais é enviada para a nuvem.

Caso um grupo de computadores seja criado usando-se conectividade direta, a chave privada do grupo é criptografada com uma senha de grupo definida pelo usuário. Em seguida, ela é enviada à nuvem para armazenamento como parte da solicitação do computador de registro.

A chave privada criptografada é compartilhada com outros computadores que ingressam no grupo. No entanto, como o usuário deve primeiro fornecer a senha para descriptografar essa chave privada, o serviço não consegue ler nenhuma credencial armazenada na conexão.