Power Automate Untuk arsitektur desktop

  • Artikel

Penting

  • Selenium IDE tidak digunakan lagi dan tidak akan berfungsi lagi setelah 28 Februari 2023. Migrasikan alur Anda ke Power Automate untuk desktop atau hapus.
  • Gateway untuk alur desktop sekarang tidak digunakan lagi kecuali untuk wilayah Tiongkok. Beralih ke kemampuan manajemen mesin kami.

Ada dua metode berbeda yang Power Automate dapat digunakan untuk terhubung ke layanan cloud untuk menerima pekerjaan eksekusi alur. Opsi pertama adalah konektivitas langsung, sedangkan opsi kedua memerlukan gateway data lokal untuk diinstal.

Aliran data antara desktop dan cloud sama di kedua opsi; Hanya aplikasi dan akun pengguna yang memulai permintaan web yang berbeda.

Konektivitas langsung desktop yang dihadiri / tanpa pengawasan ke layanan cloud

UIFlowService adalah layanan Windows yang diinstal dengan Power Automate pada mesin desktop. Secara default, ini diatur untuk memulai secara otomatis dan berjalan sebagai pengguna baru NT SERVICE\UIFlowService. Pengguna ini dibuat selama instalasi.

Diagram konektivitas langsung desktop.

Azure Relay adalah layanan yang memfasilitasi saluran komunikasi yang dibuat sepenuhnya dengan membuat permintaan keluar ke layanan. Ini mencapai fungsi ini baik dengan membuat koneksi WebSocket atau menggunakan polling panjang HTTP, jika perlu.

Catatan

Azure Relay dan Power Automate layanan cloud keduanya adalah sumber daya cloud di Azure. Anda dapat menemukan informasi selengkapnya tentang Azure Relay di Apa itu Azure Relay.

Permintaan web keluar dari UIFlowService pada komputer desktop ke Azure Relay di cloud menggunakan HTTPS untuk membuat permintaan ke FQDN *.servicebus.windows.net melalui port 443.

Alamat IP tujuan untuk Azure Relay dapat ditemukan di Rentang IP Azure dan Tag Layanan untuk cloud publik dengan nama ServiceBus. Dokumen serupa tersedia untuk cloud nasional Azure lainnya. Tidak ada port masuk yang diperlukan untuk dibuka di komputer desktop.

Konektivitas desktop berhadir/tanpa pengawasan ke layanan cloud menggunakan gateway data lokal

Catatan

Power Automate Sekarang menawarkan konektivitas langsung ke cloud tanpa menggunakan gateway data lokal. Anda dapat menemukan informasi selengkapnya di konektivitas langsung desktop Berhadir/Tanpa Pengawasan ke layanan cloud.

UIFlowService adalah layanan Windows yang diinstal dengan Power Automate pada mesin desktop. Layanan Windows gateway data lokal adalah komponen yang diinstal secara terpisah yang bertindak sebagai gateway komunikasi antara UIFlowService dan Azure Relay.

Konektivitas desktop menggunakan diagram gateway data lokal.

Secara default, layanan gateway data diatur untuk memulai secara otomatis dan dijalankan sebagai pengguna baru NT SERVICE\PBIEgwService. Pengguna ini dibuat selama instalasi.

Azure Relay adalah layanan yang memfasilitasi saluran komunikasi yang dibuat sepenuhnya dengan membuat permintaan keluar ke layanan. Ini mencapai fungsi ini baik dengan membuat koneksi WebSocket atau menggunakan polling panjang HTTP, jika perlu.

Catatan

Azure Relay dan Power Automate layanan cloud keduanya adalah sumber daya cloud di Azure. Anda dapat menemukan informasi selengkapnya tentang Azure Relay di Apa itu Azure Relay.

Detail tentang aliran data ini didokumentasikan dalam pengaturan komunikasi Adjust. Persyaratan firewall untuk eksekusi persis sama dengan opsi konektivitas langsung, tetapi layanan dan akun pengguna yang berbeda akan membuat permintaan keluar.

Permintaan web keluar lainnya Power Automate

Power Automate membuat beberapa permintaan web keluar tambahan saat runtime, yang didokumentasikan dalam layanan alur Desktop yang diperlukan untuk runtime.

Titik akhir CRL hanya diperlukan jika Anda menggunakan gateway data lokal. Mereka menggunakan HTTP melalui port 80 dan diprakarsai oleh UIFlowService.

Titik akhir WebDriver hanya diperlukan jika Anda menggunakan alur desktop Selenium IDE dan memiliki browser yang diperbarui secara otomatis. Titik akhir ini menggunakan HTTPS melalui port 443 dan dimulai oleh proses Microsoft.Flow.RPA.Agent.exe menggunakan akun pengguna yang menjalankan alur desktop.

Siklus hidup kredensial sesi

  1. Mesin desktop didaftarkan dengan masuk ke gateway data lokal atau mendaftar di dalam Power Automate menggunakan fitur konektivitas langsung. Proses ini menghasilkan kunci publik dan pribadi yang akan digunakan untuk komunikasi yang aman dengan mesin ini.

  2. Permintaan pendaftaran mesin dikirim oleh aplikasi desktop ke Power Automate layanan cloud. Permintaan berisi kunci publik komputer yang baru dibuat. Kunci ini disimpan bersama dengan pendaftaran mesin di cloud.

  3. Ketika permintaan selesai, komputer berhasil terdaftar dan muncul di Power Automate portal web sebagai sumber daya yang dapat dikelola. Namun, mesin tidak dapat digunakan oleh aliran sampai sambungan ke itu dibuat.

  4. Untuk membuat Power Automate koneksi di portal web, pengguna harus memilih komputer yang tersedia dan memberikan kredensial nama pengguna dan kata sandi akun yang akan digunakan untuk menjalankan alur desktop.

    Pengguna dapat memilih mesin yang terdaftar sebelumnya, termasuk mesin yang telah dibagikan dengan mereka. Ketika koneksi disimpan, kredensial dienkripsi menggunakan kunci publik yang terkait dengan komputer dan disimpan dalam bentuk terenkripsi ini.

    Layanan cloud menyimpan kredensial pengguna terenkripsi untuk komputer. Namun, itu tidak dapat mendekripsi kredensial karena kunci privat hanya ada di komputer desktop. Pengguna dapat menghapus koneksi ini kapan saja, dan kredensial terenkripsi yang disimpan juga akan dihapus.

  5. Saat alur desktop dijalankan dari cloud, alur desktop menggunakan koneksi yang dibuat sebelumnya yang dipilih dalam tindakan Jalankan alur yang dibuat dengan Power Automate untuk desktop .

  6. Saat pekerjaan alur desktop dikirim dari cloud ke desktop, pekerjaan ini menyertakan kredensial terenkripsi yang disimpan dalam koneksi. Kredensial ini kemudian didekripsi di desktop menggunakan kunci pribadi rahasia, dan digunakan untuk masuk sebagai akun pengguna yang diberikan.

Diagram siklus hidup kredensial sesi.

Meskipun aliran data logis adalah dari cloud ke desktop, koneksi dibuat dari desktop ke cloud. Ini menggunakan Azure Relay untuk terhubung ke cloud menggunakan permintaan web keluar.

Jika kluster gateway dibuat menggunakan gateway data lokal, kunci privat yang digunakan untuk mendekripsi kredensial dihasilkan pada semua komputer di kluster. Kunci privat dihasilkan menggunakan kunci pemulihan yang diminta selama pendaftaran mesin. Kunci pemulihan tidak pernah dikirim ke cloud.

Jika grup komputer dibuat menggunakan konektivitas langsung, kunci privat grup dienkripsi menggunakan kata sandi grup yang ditentukan pengguna. Kemudian, dikirim ke cloud untuk penyimpanan sebagai bagian dari permintaan mesin register.

Kunci privat terenkripsi dibagikan dengan komputer lain yang bergabung dengan grup. Namun, karena pengguna harus terlebih dahulu memberikan kata sandi untuk mendekripsi kunci pribadi ini, layanan tidak dapat membaca kredensial yang tersimpan dalam koneksi.