Power Automate untuk arsitektur desktop
Penting
- Gateway untuk alur desktop tidak lagi didukung. Beralih ke kemampuan manajemen mesin kami. Pelajari selengkapnya tentang beralih dari gateway ke konektivitas langsung.
Ada dua metode berbeda yang Power Automate dapat digunakan untuk terhubung ke layanan cloud untuk menerima pekerjaan eksekusi alur. Opsi pertama adalah konektivitas langsung, sedangkan opsi kedua mengharuskan gateway data lokal untuk diinstal.
Aliran data antara desktop dan cloud sama di kedua opsi; Hanya aplikasi dan akun pengguna yang memulai permintaan web yang berbeda.
Konektivitas langsung desktop yang diawasi/tidak diawasi ke layanan cloud
UIFlowService adalah layanan Windows yang diinstal pada Power Automate mesin desktop. Secara default, ini diatur untuk dimulai secara otomatis dan berjalan sebagai pengguna baru NT SERVICE\UIFlowService. Pengguna ini dibuat selama instalasi.
Azure Relay adalah layanan yang memfasilitasi saluran komunikasi yang dibuat seluruhnya dengan membuat permintaan keluar ke layanan. Ini mencapai fungsionalitas ini baik dengan membuat koneksi WebSocket atau menggunakan polling panjang HTTP, jika perlu.
Catatan
Azure Relay dan Power Automate layanan cloud keduanya merupakan sumber daya cloud di Azure. Anda dapat menemukan informasi selengkapnya tentang Azure Relay di Apa itu Azure Relay.
Permintaan web keluar dari UIFlowService di komputer desktop ke Azure Relay di cloud menggunakan HTTPS untuk membuat permintaan ke FQDN* .servicebus.windows.net melalui port 443.
Alamat IP tujuan untuk Azure Relay dapat ditemukan di Rentang IP Azure dan Tag Layanan untuk cloud publik dengan nama ServiceBus. Dokumen serupa tersedia untuk cloud nasional Azure lainnya. Tidak ada port masuk yang diperlukan untuk dibuka di komputer desktop.
Konektivitas desktop diawasi/tidak diawasi ke layanan cloud menggunakan gateway data lokal
Catatan
Power Automate Sekarang menawarkan konektivitas langsung ke cloud tanpa menggunakan gateway data lokal. Anda dapat menemukan informasi selengkapnya di Konektivitas langsung desktop yang diawasi/tidak diawasi ke layanan cloud.
UIFlowService adalah layanan Windows yang diinstal pada Power Automate mesin desktop. Layanan Windows gateway data lokal adalah komponen yang diinstal secara terpisah yang bertindak sebagai gateway komunikasi antara UIFlowService dan Azure Relay.
Secara default, layanan gateway data diatur untuk dimulai secara otomatis dan berjalan sebagai pengguna baru NT SERVICE\PBIEgwService. Pengguna ini dibuat selama instalasi.
Azure Relay adalah layanan yang memfasilitasi saluran komunikasi yang dibuat seluruhnya dengan membuat permintaan keluar ke layanan. Ini mencapai fungsionalitas ini baik dengan membuat koneksi WebSocket atau menggunakan polling panjang HTTP, jika perlu.
Catatan
Azure Relay dan Power Automate layanan cloud keduanya merupakan sumber daya cloud di Azure. Anda dapat menemukan informasi selengkapnya tentang Azure Relay di Apa itu Azure Relay.
Detail tentang aliran data ini didokumentasikan di Menyesuaikan pengaturan komunikasi. Persyaratan firewall untuk eksekusi persis sama dengan opsi konektivitas langsung, tetapi layanan dan akun pengguna yang berbeda akan membuat permintaan keluar.
Permintaan web keluar lainnya Power Automate
Power Automate membuat beberapa permintaan web keluar tambahan saat runtime, yang didokumentasikan dalam layanan alur desktop yang diperlukan untuk runtime.
Titik akhir CRL hanya diperlukan jika Anda menggunakan gateway data lokal. Mereka menggunakan HTTP melalui port 80 dan dimulai oleh UIFlowService.
Siklus hidup kredensial sesi
Komputer desktop didaftarkan dengan masuk ke gateway data lokal atau mendaftar di dalam menggunakan Power Automate fitur konektivitas langsung. Proses ini menghasilkan kunci publik dan pribadi untuk digunakan untuk komunikasi yang aman dengan mesin ini.
Permintaan pendaftaran mesin dikirim oleh aplikasi desktop ke Power Automate layanan cloud. Permintaan berisi kunci publik mesin yang baru dihasilkan. Kunci ini disimpan bersama dengan pendaftaran mesin di cloud.
Ketika permintaan selesai, mesin berhasil didaftarkan dan muncul di Power Automate portal web sebagai sumber daya yang dapat dikelola. Namun, mesin tidak dapat digunakan oleh aliran sampai koneksi ke sana dibuat.
Untuk membuat Power Automate koneksi di portal web, pengguna harus memilih komputer yang tersedia dan memberikan kredensial nama pengguna dan kata sandi akun yang akan digunakan untuk menjalankan alur desktop.
Pengguna dapat memilih mesin yang terdaftar sebelumnya, termasuk mesin yang telah dibagikan dengan mereka. Saat koneksi disimpan, kredensial dienkripsi menggunakan kunci publik yang terkait dengan mesin dan disimpan dalam bentuk terenkripsi ini.
Layanan cloud menyimpan kredensial pengguna terenkripsi untuk mesin. Namun, itu tidak dapat mendekripsi kredensial karena kunci privat hanya ada di komputer desktop. Pengguna dapat menghapus koneksi ini kapan saja, dan kredensial terenkripsi yang disimpan juga akan dihapus.
Saat alur desktop dijalankan dari cloud, alur ini menggunakan koneksi yang dibuat sebelumnya yang dipilih dalam tindakan Jalankan alur yang dibuat dengan desktop Power Automate untuk desktop .
Saat pekerjaan alur desktop dikirim dari cloud ke desktop, itu termasuk kredensial terenkripsi yang disimpan dalam koneksi. Kredensial ini kemudian didekripsi di desktop menggunakan kunci privat rahasia, dan digunakan untuk masuk sebagai akun pengguna yang diberikan.
Meskipun aliran data logis dari cloud ke desktop, koneksi dibuat dari desktop ke cloud. Ini menggunakan Azure Relay untuk terhubung ke cloud menggunakan permintaan web keluar.
Jika kluster gateway dibuat menggunakan gateway data lokal, kunci privat yang digunakan untuk mendekripsi kredensial dihasilkan di semua komputer di kluster. Kunci privat dibuat menggunakan kunci pemulihan yang diminta selama pendaftaran mesin. Kunci pemulihan tidak pernah dikirim ke cloud.
Jika grup komputer dibuat menggunakan konektivitas langsung, kunci privat grup dienkripsi menggunakan kata sandi grup yang ditentukan pengguna. Kemudian, itu dikirim ke cloud untuk penyimpanan sebagai bagian dari permintaan mesin register.
Kunci privat terenkripsi dibagikan dengan mesin lain yang bergabung dengan grup. Namun, karena pengguna harus terlebih dahulu memberikan kata sandi untuk mendekripsi kunci privat ini, layanan tidak dapat membaca kredensial apa pun yang disimpan dalam koneksi.