Partilhar via

Arquitetura do Power Automate para computadores

  • Artigo

Importante

Existem dois métodos diferentes que o Power Automate pode usar para se ligar aos serviços de cloud de forma a receber trabalhos de execução de fluxo. A primeira opção é a conectividade direta, enquanto a segunda opção requer a instalação do gateway de dados no local.

O fluxo de dados entre o ambiente de trabalho e a cloud é o mesmo em ambas as opções; apenas a aplicação e a conta de utilizador que inicia os pedidos Web são diferentes.

Conectividade direta do ambiente de trabalho com/sem assistência ao serviço cloud

O UIFlowService é um serviço Windows que está instalado no Power Automate na máquina de ambiente de trabalho. Por predefinição, está definido para iniciar automaticamente e é executado como o NT SERVICE\UIFlowService do novo utilizador. Este utilizador é criado durante a instalação.

Diagrama de conectividade direta do ambiente de trabalho.

O Azure Relay é um serviço que facilita os canais de comunicação que são estabelecidos inteiramente através da realização de pedidos de saída ao serviço. Consegue esta funcionalidade através do estabelecimento de uma ligação WebSocket ou, se necessário, através da utilização de consultas longas de HTTP.

Nota

Os serviços cloud Azure Relay e Power Automate são ambos recursos cloud em Azure. Pode encontrar mais informações sobre Azure Relay em O Que é o Azure Relay.

Os pedidos Web de saída do UIFlowService no computador de ambiente de trabalho para o Azure Relay na cloud utilizam HTTPS para efetuar pedidos para FQDN *.servicebus.windows.net através da porta 443.

Os endereços IP de destino para o Azure Relay podem ser encontrados em Intervalos IP e Etiquetas de Serviço do Azure para a cloud pública sob o nome ServiceBus. Documentos semelhantes estão disponíveis para as outras clouds nacionais do Azure. Não são necessárias portas de entrada abertas no computador de ambiente de trabalho.

Conectividade do ambiente de trabalho com/sem assistência ao serviço cloud utilizando o gateway de dados no local.

Nota

O Power Automate agora oferece conectividade direta à nuvem sem a utilização de gateways de dados no local. Pode encontrar mais informações em Conectividade direta do ambiente de trabalho com/sem assistência ao serviço cloud.

O UIFlowService é um serviço Windows que está instalado no Power Automate na máquina de ambiente de trabalho. O serviço Windows do gateway de dados no local é um componente instalado separadamente que funciona como uma gateway de comunicações entre o UIFlowService e o Azure Relay.

Diagrama da conectividade do ambiente de trabalho utilizando o gateway de dados no local.

Por predefinição, o serviço do gateway de dados está definido para iniciar automaticamente e é executado como o NT SERVICE\PBIEgwService do novo utilizador. Este utilizador é criado durante a instalação.

O Azure Relay é um serviço que facilita os canais de comunicação que são estabelecidos inteiramente através da realização de pedidos de saída ao serviço. Consegue esta funcionalidade através do estabelecimento de uma ligação WebSocket ou, se necessário, através da utilização de consultas longas de HTTP.

Nota

Os serviços cloud Azure Relay e Power Automate são ambos recursos cloud em Azure. Pode encontrar mais informações sobre Azure Relay em O Que é o Azure Relay.

Os detalhes sobre este fluxo de dados são documentados em Ajustar as definições de comunicação. Os requisitos de firewall para a execução são exatamente os mesmos que a opção de conectividade direta, mas os pedidos de saída serão feitos por um serviço e uma conta de utilizador diferentes.

Outros pedidos Web de saída do Power Automate

O Power Automate faz alguns pedidos Web adicionais de saída em runtime, que são documentados em Serviços de fluxo de ambiente de trabalho necessários para runtime.

Os pontos finais CRL só são necessários se utilizar o gateway de dados no local. Utilizam HTTP através da porta 80 e são iniciados pelo UIFlowService.

Ciclo de vida das credenciais de sessão

  1. Uma máquina de ambiente de trabalho é registada iniciando sessão no gateway de dados no local ou registando no interior do Power Automate utilizando a funcionalidade de conectividade direta. Este processo gera uma chave pública e privada a ser utilizada para uma comunicação segura com este computador.

  2. O pedido de registo do computador é enviado pela aplicação de ambiente de trabalho para os serviços cloud do Power Automate. O pedido contém a chave pública do computador recentemente gerada. Esta chave é armazenada juntamente com o registo do computador na cloud.

  3. Quando o pedido termina, o computador é registado com êxito e aparece no portal Web do Power Automate web como um recurso que pode ser gerido. No entanto, o computador não pode ser utilizado por um fluxo até que seja estabelecida uma ligação ao mesmo.

  4. Para estabelecer uma ligação ao Power Automate no portal Web, os utilizadores têm de selecionar uma máquina disponível e fornecer o nome de utilizador e as credenciais de palavra-passe da conta para utilizar para executar o fluxo do ambiente de trabalho.

    Os utilizadores podem selecionar qualquer computador previamente registado, incluindo computadores que tenham sido partilhados com eles. Quando uma ligação é guardada, as credenciais são encriptadas utilizando a chave pública associada ao computador e armazenada neste formulário encriptado.

    O serviço cloud está a armazenar as credenciais de utilizador encriptadas para o computador. No entanto, não pode desencriptar as credenciais porque a chave privada só existe no computador de ambiente de trabalho. O utilizador pode eliminar esta ligação em qualquer altura e as credenciais encriptadas armazenadas também serão eliminadas.

  5. Quando um fluxo de ambiente de trabalho é executado a partir da cloud, utiliza uma ligação previamente estabelecida selecionada na ação Executar um fluxo criado com o Power Automate para ambiente de trabalho.

  6. Quando a tarefa de fluxo de ambiente de trabalho é enviada da cloud para o ambiente de trabalho, inclui as credenciais encriptadas armazenadas na ligação. Estas credenciais são então desencriptadas no ambiente de trabalho utilizando a chave privada secreta e são utilizadas para iniciar sessão como a conta de utilizador fornecida.

Diagrama do ciclo de vida das credenciais da sessão.

Embora o fluxo de dados lógico seja da cloud para o ambiente de trabalho, a ligação é estabelecida do ambiente de trabalho para a cloud. Utiliza o Azure Relay para se ligar à cloud utilizando um pedido Web de saída.

Se um cluster de gateway for criado utilizando o gateway de dados no local, a chave privada utilizada para desencriptar as credenciais é gerada em todos os computadores do cluster. A chave privada é gerada utilizando a chave de recuperação que é solicitada durante o registo do computador. A chave de recuperação nunca é enviada para a cloud.

Se um grupo de computadores for criado utilizando conectividade direta, a chave privada do grupo é encriptada utilizando uma palavra-passe de grupo definida pelo utilizador. Depois, é enviada para a cloud para armazenamento como parte do pedido do computador de registo.

A chave privada encriptada é partilhada com outros computadores que se juntam ao grupo. No entanto, uma vez que o utilizador deve primeiro fornecer a palavra-passe para desencriptar esta chave privada, o serviço não pode ler quaisquer credenciais armazenadas na ligação.