Arquitectura de Power Automate para escritorio
Importante
- Las puertas de enlace para flujos de escritorio ya no se admiten. Cambie a nuestras funcionalidades de administración de máquinas. Más información sobre el cambio de puertas de enlace a conectividad directa.
Hay dos métodos diferentes que Power Automate puede utilizar para conectarse a los servicios en la nube para recibir trabajos de ejecución de flujo. La primera opción es la conectividad directa, mientras que la segunda opción requiere la instalación de la puerta de enlace de datos local.
El flujo de datos entre el escritorio y la nube es el mismo en ambas opciones, solo varían la aplicación y la cuenta de usuario que inicia las solicitudes web.
Conectividad directa de escritorio atendida desatendida al servicio en la nube
UIFlowService es un servicio de Windows que se instala con Power Automate en la máquina de escritorio. De forma predeterminada, está configurado para iniciarse automáticamente y se ejecuta como el nuevo usuario NT SERVICE\UIFlowService. Este usuario se crea durante la instalación.
Azure Relay es un servicio que facilita los canales de comunicación que se establecen íntegramente mediante la realización de solicitudes salientes al servicio. Para proporcionar esta funcionalidad, establece una conexión WebSocket o utiliza el sondeo largo de HTTP, si es necesario.
Nota
Los servicios en la nube Azure Relay y Power Automate son recursos en la nube de Azure. Puede encontrar más información sobre Azure Relay en ¿Qué es Azure Relay?.
Las solicitudes web salientes de UIFlowService en la máquina de escritorio a Azure Relay en la nube usan HTTPS para realizar solicitudes a FQDN *.servicebus.windows.net a través del puerto 443.
En Intervalos IP y etiquetas de servicio de Azure se pueden encontrar las direcciones IP de destino de Azure Relay para la nube pública con el nombre ServiceBus. Están disponibles documentos similares para las otras nubes nacionales de Azure. No es necesario abrir puertos de entrada en la máquina de escritorio.
Conectividad de escritorio atendida/desatendida al servicio en la nube mediante la puerta de enlace de datos local
Nota
Power Automate ahora ofrece conectividad directa a la nube sin el uso de puertas de enlace de datos locales. Puede obtener más información en Conectividad directa de escritorio atendida/desatendida al servicio en la nube.
UIFlowService es un servicio de Windows que se instala con Power Automate en la máquina de escritorio. El servicio de Windows puerta de enlace de datos local es un componente que se instala por separado y que actúa como puerta de enlace de comunicaciones entre UIFlowService y Azure Relay.
De forma predeterminada, el servicio de puerta de enlace de datos está configurado para iniciarse automáticamente y se ejecuta como el nuevo usuario NT SERVICE\PBIEgwService. Este usuario se crea durante la instalación.
Azure Relay es un servicio que facilita los canales de comunicación que se establecen íntegramente mediante la realización de solicitudes salientes al servicio. Para proporcionar esta funcionalidad, establece una conexión WebSocket o utiliza el sondeo largo de HTTP, si es necesario.
Nota
Los servicios en la nube Azure Relay y Power Automate son recursos en la nube de Azure. Puede encontrar más información sobre Azure Relay en ¿Qué es Azure Relay?.
Los detalles sobre este flujo de datos están documentados en Ajustar la configuración de comunicación. Los requisitos del firewall para la ejecución son exactamente los mismos que los de la opción de conectividad directa, pero las solicitudes salientes las realizarán un servicio y una cuenta de usuario diferentes.
Otras solicitudes web salientes de Power Automate
Power Automate realiza algunas solicitudes web salientes adicionales en tiempo de ejecución, que se documentan en Servicios de flujos de escritorio necesarios para tiempo de ejecución.
Los puntos de conexión de CRL solo son necesarios si se utiliza la puerta de enlace de datos local. Usan HTTP a través del puerto 80 y los inicia UIFlowService.
Ciclo de vida de la credencial de sesión
Una máquina de escritorio se registra iniciando sesión en la puerta de enlace de datos local o registrándose en Power Automate utilizando la función de conectividad directa. Este proceso genera una clave pública y una clave privada que se utilizarán para establecer una comunicación segura con esta máquina.
La aplicación envía la solicitud de registro de la máquina a los servicios en la nube de Power Automate. La solicitud contiene la clave pública recién generada de la máquina. Esta clave se almacena junto con el registro de la máquina en la nube.
Cuando se completa la solicitud, la máquina está registrada correctamente y aparece en el portal web Power Automate como recurso administrable. Sin embargo, un flujo no puede utilizar la máquina mientras no se establezca una conexión con ella.
Para establecer una conexión Power Automate en el portal web, los usuarios deben seleccionar una máquina disponible y proporcionar las credenciales de nombre de usuario y contraseña de la cuenta que se utilizará para ejecutar el flujo de escritorio.
Los usuarios pueden seleccionar cualquier máquina previamente registrada, incluidas las máquinas que se han compartido con ellos. Cuando se guarda una conexión, las credenciales se cifran con la clave pública asociada a la máquina y se almacenan con esta forma cifrada.
El servicio en la nube almacena las credenciales de usuario cifradas para la máquina. Sin embargo, no puede descifrar las credenciales, ya que la clave privada solo existe en la máquina de escritorio. El usuario puede eliminar esta conexión en cualquier momento; también se eliminarán las credenciales cifradas almacenadas.
Cuando un flujo de escritorio se ejecuta desde la nube, utiliza una conexión establecida previamente, seleccionada en la acción Ejecutar un flujo creado con Power Automate para escritorio.
Cuando el trabajo de flujo de escritorio se envía desde la nube al escritorio, incluye las credenciales cifradas almacenadas en la conexión. Estas credenciales se descifran en el escritorio mediante la clave privada secreta y se usan para iniciar sesión como la cuenta de usuario especificada.
Aunque el flujo de datos lógico es de la nube al escritorio, la conexión se establece desde el escritorio a la nube. Utiliza Azure Relay para conectarse a la nube mediante una solicitud web saliente.
Si se crea un clúster de puerta de enlace con la puerta de enlace de datos local, la clave privada que se usa para descifrar las credenciales se genera en todas las máquinas del clúster. La clave privada se genera utilizando la clave de recuperación que se solicita durante el registro de la máquina. La clave de recuperación nunca se envía a la nube.
Si se crea un grupo de máquinas mediante conectividad directa, la clave privada del grupo se cifra mediante una contraseña de grupo definida por el usuario. Después se envía a la nube para su almacenamiento como parte de la solicitud de registro de la máquina.
La clave privada cifrada se compartirá con otras máquinas que se unan al grupo. Sin embargo, como el usuario debe proporcionar primero la contraseña para descifrar esta clave privada, el servicio no puede leer ninguna credencial almacenada en la conexión.