通过

Power Automate 桌面版体系结构

  • 项目

重要提示

Power Automate 可以使用两种不同的方法连接到云服务来接收流执行作业。 第一个选项是直接连接,第二个选项需要安装本地数据网关。

桌面和云之间的数据流在这两个选项中相同;仅启动 Web 请求的应用程序和用户帐户不同。

到云服务的有人参与/无人参与桌面直接连接

UIFlowService 是一个 Windows 服务,它与 Power Automate 一起安装在台式计算机上。 默认情况下,它设置为自动启动并以新用户 NT SERVICE\UIFlowService 身份运行。 此用户在安装期间创建。

桌面直接连接图。

Azure 中继是一项服务,通过向服务发送传出请求促进完全建立的通信渠道。 它通过建立 WebSocket 连接或使用 HTTP 长轮询(如果需要)实现此功能。

备注

Azure 中继和 Power Automate 云服务都是 Azure 中的云资源。 您可以在什么是 Azure 中继中找到有关 Azure 中继的详细信息。

从台式机上的 UIFlowService 到云中的 Azure 中继的传出 Web 请求使用 HTTPS 通过端口 443 发出对 FQDN *.servicebus.windows.net 的请求。

对于名为 ServiceBus 的公有云,可以在 Azure IP 范围和服务标记中找到 Azure 中继的目标 IP 地址。 类似文档可用于其他 Azure 国家云。 无需在台式机上打开任何入站端口。

使用本地数据网关的到云服务的有人参与/无人参与桌面连接

备注

Power Automate 现在无需使用本地数据网关即可直接连接到云。 您可以在到云服务的有人参与/无人参与桌面直接连接中找到详细信息。

UIFlowService 是一个 Windows 服务,它与 Power Automate 一起安装在台式计算机上。 本地数据网关 Windows 服务是单独安装的组件,可用作 UIFlowService 和 Azure 中继之间的通信网关。

使用本地数据网关的桌面连接图。

默认情况下,数据网关服务设置为自动启动并以新用户 NT SERVICE\PBIEgwService 身份运行。 此用户在安装期间创建。

Azure 中继是一项服务,通过向服务发送传出请求促进完全建立的通信渠道。 它通过建立 WebSocket 连接或使用 HTTP 长轮询(如果需要)实现此功能。

备注

Azure 中继和 Power Automate 云服务都是 Azure 中的云资源。 您可以在什么是 Azure 中继中找到有关 Azure 中继的详细信息。

有关此数据流的详细信息记录在调整通信设置中。 执行的防火墙要求与直接连接选项完全相同,但不同的服务和用户帐户将进行传出请求。

其他 Power Automate 传出 Web 请求

Power Automate 会在运行时发起一些额外的传出 Web 请求,这些请求记录在运行时所需的桌面流服务中。

仅在使用本地数据网关时,才需要 CRL 终结点。 它们使用基于端口 80 的 HTTP,并由 UIFlowService 启动。

会话凭据生命周期

  1. 通过登录到本地数据网关或使用直接连接功能在 Power Automate 内注册来注册台式计算机。 此流程将生成一个公钥和私钥,以用于与此计算机的安全通信。

  2. 计算机注册请求由桌面应用程序发送到 Power Automate 云服务。 该请求包含新生成的计算机公钥。 该密钥与计算机注册一起存储在云中。

  3. 请求完成后,计算机会成功注册,并在 Power Automate Web 门户中显示为可管理的资源。 但是,在建立与它的连接之前,流不能使用该计算机。

  4. 要在 Web 门户中建立 Power Automate 连接,用户必须选择可用的计算机并提供用于运行桌面流的帐户的用户名和密码凭据。

    用户可以选择任何之前注册的计算机,包括已与他们共享的计算机。 在保存连接时,使用与计算机关联并存储在此加密窗体中的公钥加密凭据。

    云服务将存储计算机的加密用户凭据。 但是,无法解密凭据,因为私钥只存在于台式机上。 用户可以随时删除此连接,存储的加密凭据也将删除。

  5. 当从云运行桌面流时,使用在运行使用 Power Automate 桌面版生成的流操作中选择的先前建立的连接。

  6. 在将桌面流作业从云发送到桌面时,它包括存储在连接中的加密凭据。 然后,使用机密私钥在桌面上解密这些凭据,它们用于以给定用户帐户登录。

会话凭据生命周期图。

虽然逻辑数据流从云到桌面,但建立从桌面到云的连接。 它使用 Azure 中继通过传出 Web 请求连接到云。

如果使用本地数据网关创建网关群集,则用于解密凭据的私钥在群集中的所有计算机上生成。 使用在计算机注册期间请求的恢复密钥生成私钥。 恢复密钥从不会发送到云。

如果使用直接连接创建计算机组,将使用用户定义的组密码加密组的私钥。 然后,将其发送到云以存储为注册计算机请求的一部分。

将与加入该组的其他计算机共享加密的私钥。 但是,由于用户必须先提供密码才能解密此私钥,因此服务无法读取连接中的任何存储凭据。