HTTP с учетной записью Microsoft Entra (авторизовано заранее)
Используйте соединитель HTTP для получения ресурсов из различных веб-служб, прошедших проверку подлинности с помощью идентификатора Microsoft Entra, или из локальной веб-службы.
Этот соединитель доступен в следующих продуктах и регионах:
| Услуга | Class | Регионы |
|---|---|---|
| Copilot Studio | Премия | Все регионы Power Automate |
| Логические приложения | Стандарт | Все регионы Logic Apps , кроме следующих: - Министерство обороны США (DoD) |
| Power Apps | Премия | Все регионы Power Apps |
| Power Automate | Премия | Все регионы Power Automate |
| Контакт | |
|---|---|
| Имя | Microsoft |
| URL |
Поддержка Microsoft LogicApps Поддержка Microsoft Power Automate Поддержка Microsoft Power Apps |
| Метаданные соединителя | |
|---|---|
| Publisher | Microsoft |
Замечание
Соединитель HTTP с идентификатором Microsoft Entra (предварительно несанкционированный) позволяет пользователям отправлять запросы в любую конечную точку HTTP, поддерживающую проверку подлинности идентификатора записи. В рамках наших текущих усилий по повышению безопасности и конфиденциальности данных мы рассмотрели разрешения, связанные с этим соединителем, и планируют обеспечить улучшенные элементы управления изоляцией удостоверений.
В настоящее время соединитель HTTP с идентификатором Microsoft Entra ID (предварительно несанкционированный) работает через доверенное приложение Microsoft 1-го участника. Это приложение включает предварительную проверку подлинности для различных служб Майкрософт, включая, но не ограничивается Microsoft Graph, SharePoint и другими предложениями Майкрософт. Эта предварительная авторизация позволяет соединителю взаимодействовать с этими службами с помощью делегированного доступа от имени пользователя. Убедитесь, что этот подход полностью уважает привилегии пользователя и не разрешает доступ к данным или действиям за пределами авторизованной области.
При наличии существующего соединителя администраторам не нужно явно предоставлять согласие на выполнение действий приложением от имени пользователя. Однако мы выпустили новую версию этого соединителя. Новая версия соединителя использует новое приложение без предварительной проверки подлинности. Это позволяет администратору предоставлять дискретное согласие.
Если вы хотите ограничить использование этого соединителя, можно использовать существующие возможности защиты от потери данных (DLP ). Вы можете создать новую политику или обновить существующую, чтобы заблокировать использование этого соединителя. Важно отметить, что некоторые другие соединители и функции зависят от HTTP с помощью соединителя Microsoft Entra ID (предварительно несанкционированного). Дополнительные сведения см. здесь.
Поддержка виртуальной сети (делегирование подсети)
Когда соединитель используется в среде Power Platform, связанной с виртуальной сетью, применяются ограничения:
- Следующие действия не поддерживаются.
Известные проблемы и ограничения
Соединитель кодирует текст запроса в кодировку Base64, поэтому его следует использовать для вызова внутренних служб, которые ожидают текст запроса в этом формате. Этот соединитель нельзя использовать для вызова серверной службы, которая ожидает текст запроса в необработанном двоичном формате.
Если вы получите ошибку, аналогичную следующей:
{ "error": { "code": "Forbidden", "message": "" } }-
{ "error": { "code": "Authorization_RequestDenied", "message": "Insufficient privileges to complete the operation." } }это может быть связано с тем, что этот соединитель имеет ограниченный набор областей. - Пользователи также могут столкнуться с ошибками предварительной авторизации при подключении к некоторым ресурсам, которые не поддерживаются.
- Если в вашем сценарии требуется что-то более расширенное, используйте соединитель HTTP или создайте пользовательский соединитель.
Соединитель основан на регистрации мультитенантного приложения. Приложение не может сообщить, какой клиент находится у пользователя, пока пользователь не войдет в него. Поэтому мы поддерживаем только указание ресурсов в клиенте по умолчанию пользователей ("common").
Ресурсы на основе единого входа ADFS (службы федерации идентификаторов Microsoft Entra ID для одной Sign-On) не поддерживаются. В качестве обходного решения используйте соединитель HTTP.
При использовании этого соединителя в национальной облачной среде ресурс должен быть эквивалентным национальной облачной конечной точке. Попытки подключения к общедоступному облаку (https://graph.microsoft.comнапример, https://bing.com из большинства национальных облачных сред завершаются ошибкой предварительной авторизации).
- Среды GCC и Fairfax могут продолжать использовать общедоступные облачные конечные точки (https://graph.microsoft.comнапример.
- пример ресурса GCC-High: https://graph.microsoft.us
- Пример ресурса Китая: https://microsoftgraph.chinacloudapi.cn.
Использование заголовка запроса авторизации cookie не поддерживается в случае подключения к локальному шлюзу данных.
Асинхронный шаблон на основе заголовка расположения ответа не поддерживается. При необходимости используйте соединитель Azure Resource Manager .
Чтобы соединитель HTTP с идентификатором Microsoft Entra ID успешно извлекал данные из другой службы, приложение, используемое соединителем, должно быть предоставлено доступ к требуемой области. Дополнительные сведения о предоставлении требуемого доступа к приложению см. в статье "Авторизация приложения действовать от имени пользователя, вошедшего в систему". Если необходимый доступ не предоставлен, при попытке создать подключение может возникнуть одна из следующих ошибок:
Consent Required: To enable the HTTP With Microsoft Entra ID connector to access resources on behalf of a signed-in user, grant consent to this application.
Если область (разрешение) была предоставлена, но не все необходимые области включены, создание подключения завершится успешно, но при выполнении выполнения возникает ошибка "Запрещено" (403). Сведения об ошибке могут содержать дополнительные сведения, такие как:
"code": "Authorization_RequestDenied" "message": "Insufficient privileges to complete the operation."Если возникают проблемы с созданием подключения или ошибка возникает вокруг отсутствующих значений параметра, попробуйте создать подключение с старым конструктором Power Automate вместо нового конструктора.
Удаление или добавление предварительной проверки подлинности может занять до 1 часа, чтобы отразить подключения, существующие до обновления. Однако новые подключения должны мгновенно отражать обновленные авторизации.
Запросы, включающие двоичное содержимое (например, PDF-файлы, изображения или документы Office), не поддерживаются и могут привести к повреждению или непрочитаемым файлам. Это поведение выполняется по проектированию; Поддерживаются только текстовые полезные данные.
Авторизация соединителя действовать от имени пользователя, вошедшего в систему
Как пользователь с ролью глобального администратора необходимо создать oAuth2PermissionGrants , чтобы утвердить необходимые разрешения (области) для требуемой службы.
Например, если вы используете Microsoft Graph (https://graph.microsoft.com) и должны читать сведения о календаре, вы можете следовать документации Graph , чтобы определить необходимые разрешения (Calendar.Read). Предоставив приложению (используемому соединителем) область Calendar.Read, приложение сможет получить доступ к этим данным от имени пользователя. Важно отметить, что доступ к данным, к которым может обращаться приложение, по-прежнему ограничен данными, к которым пользователь имеет доступ в службе. Невозможно использовать портал Azure для предоставления согласия этому приложению. По этой причине сценарий PowerShell был создан корпорацией Майкрософт для упрощения предоставления согласия приложению, используемому http с соединителем Идентификатора Microsoft Entra ID.
Это важно
Для выполнения этого сценария необходимо установить PowerShell версии 7 или более поздней версии.
Скачайте необходимый сценарий PowerShell или создайте сценарий с именемManagePermissionGrant.ps1' со ссылкой на описанные здесь действия. Этот скрипт предназначен в основном для справки, вы можете изменить сценарий в случае использования.
Щелкните правой кнопкой мыши скачанный файл ManagePermissionGrant.ps1 и выберите пункт "Свойства".
Установите флажок "Разблокировать " и нажмите кнопку "ОК".
Если флажок "Разблокировать" не установлен, появится сообщение об ошибке, указывающее, что скрипт не может быть загружен, так как он не подписан цифровой подписью.
Откройте командное окно PowerShell.
Измените путь к расположению, где вы скачали скрипт.
Введите следующую команду и нажмите клавишу ВВОД:
.\ ManagePermissionGrant.ps1
Вам будет предложено выбрать, следует ли пройти проверку подлинности в глобальной среде Azure (рекомендуется) или выбрать из списка (дополнительно). Если вы не подключаетесь к подпискам в США gov, US Gov DoD, Китае или Германии, нажмите клавишу ВВОД.
Если у вас еще нет, может появиться запрос на проверку подлинности на платформе удостоверений Майкрософт в новом окне браузера. Проверка подлинности от имени пользователя с помощью роли глобального администратора.
Чтобы предоставить согласие некоторым из наиболее используемых служб, таких как Microsoft Graph или SharePoint, нажмите клавишу ВВОД. Если служба, которую необходимо предоставить согласие, не находится в списке часто используемых приложений, используйте параметр A.
Откроется диалоговое окно. Выберите приложение, которое вы хотите предоставить пользователю, чтобы разрешить соединителю действовать от имени пользователя. Чтобы отфильтровать результаты, можно использовать текстовое поле вверху.
Нажмите кнопку ОК.
Выберите одну или несколько областей (разрешений), на которые вы хотите предоставить согласие, и нажмите кнопку "ОК". Несколько областей можно выбрать, нажав клавишу CTRL и удерживая клавишу CTRL при выборе строк.
В окне PowerShell вам будет предложено выбрать тип согласия. Вы можете выбрать, следует ли разрешить приложению действовать от имени любого пользователя, вошедшего в систему, или ограничить согласие определенным пользователем. Если вы хотите предоставить согласие для всех пользователей, нажмите клавишу ВВОД. Если вы хотите предоставить согласие только для конкретного пользователя, введите N и нажмите клавишу ВВОД. Если вы решили предоставить согласие для конкретного пользователя, вам будет предложено выбрать пользователя.
Если согласие на любые области уже существуют для выбранного ресурса, вам будет предложено сначала выбрать, нужно ли удалить существующие гранты. Если вы хотите удалить существующие гранты, введите Y и нажмите клавишу ВВОД. Если вы хотите сохранить существующие гранты, нажмите клавишу ВВОД.
Сводка выбранных областей будет отображаться в окне PowerShell. Если вы хотите продолжить предоставление выбранных областей, введите Y и нажмите клавишу ВВОД.
Если скрипт может предоставить согласие успешно, появится сообщение о завершении выполнения скрипта.
Создание подключения
Соединитель поддерживает следующие типы проверки подлинности:
| Вход с помощью базового шлюза | Использование базового веб-шлюза для подключения к ресурсам HTTP | Все регионы | Доступный для общего пользования |
| Вход с помощью проверки подлинности сертификата клиента | Предоставление учетных данных идентификатора Microsoft Entra с помощью сертификата и пароля PFX | Все регионы | Доступный для общего пользования |
| Вход с помощью шлюза Windows | Использование локального шлюза Windows для подключения к ресурсам HTTP | Все регионы | Доступный для общего пользования |
| Вход с помощью аномного шлюза | Использование анонимного шлюза для подключения к ресурсам HTTP | Все регионы | Доступный для общего пользования |
| Вход с помощью идентификатора Microsoft Entra | Вход с помощью учетных данных идентификатора Microsoft Entra | Все регионы | Доступный для общего пользования |
| По умолчанию [не рекомендуется] | Этот параметр предназначен только для старых подключений без явного типа проверки подлинности и предоставляется только для обратной совместимости. | Все регионы | Недоступен для совместного использования |
Вход с помощью базового шлюза
Идентификатор проверки подлинности: BasicGateway
Применимо: все регионы
Использование базового веб-шлюза для подключения к ресурсам HTTP
Это совместное подключение. Если приложение power app предоставлено другому пользователю, подключение также предоставляется совместно. Дополнительные сведения см. в обзоре соединителей для приложений на основе холста — Power Apps | Документация Майкрософт
| Имя | Тип | Description | Обязательно |
|---|---|---|---|
| URL-адрес базового ресурса | струна | Укажите базовый URL-адрес ресурсов HTTP или идентификатора приложения (клиента) в виде GUID, к которому требуется подключиться. | True |
| Имя пользователя | securestring | Учетные данные пользователя | |
| Пароль | securestring | Учетные данные пароля | |
| Gateway | gatewaySetting | Локальный шлюз (дополнительные сведения см. в разделе https://docs.microsoft.com/data-integration/gateway "Дополнительные сведения" |
Вход с помощью проверки подлинности сертификата клиента
Идентификатор проверки подлинности: CertOauth
Применимо: все регионы
Предоставление учетных данных идентификатора Microsoft Entra с помощью сертификата и пароля PFX
Это совместное подключение. Если приложение power app предоставлено другому пользователю, подключение также предоставляется совместно. Дополнительные сведения см. в обзоре соединителей для приложений на основе холста — Power Apps | Документация Майкрософт
| Имя | Тип | Description | Обязательно |
|---|---|---|---|
| URI ресурса ресурса идентификатора Microsoft Entra (URI идентификатора приложения) | струна | Идентификатор, используемый в идентификаторе Microsoft Entra для идентификации целевого ресурса. Для SharePoint Online и OneDrive для бизнеса используйте https://{contoso}.sharepoint.com. Обычно это базовый URL-адрес ресурса. | True |
| URL-адрес базового ресурса | струна | Укажите базовый URL-адрес ресурсов HTTP или идентификатора приложения (клиента) в виде GUID, к которому требуется подключиться. | True |
| Tenant | струна | True | |
| Идентификатор клиента | струна | Идентификатор клиента для приложения Идентификатора Microsoft Entra | True |
| Секрет сертификата клиента | клиентский сертификат | Секрет сертификата клиента, разрешенный этим приложением | True |
Вход с помощью шлюза Windows
Идентификатор проверки подлинности: WindowsGateway
Применимо: все регионы
Использование локального шлюза Windows для подключения к ресурсам HTTP
Это совместное подключение. Если приложение power app предоставлено другому пользователю, подключение также предоставляется совместно. Дополнительные сведения см. в обзоре соединителей для приложений на основе холста — Power Apps | Документация Майкрософт
| Имя | Тип | Description | Обязательно |
|---|---|---|---|
| URL-адрес базового ресурса | струна | Укажите базовый URL-адрес ресурсов HTTP или идентификатора приложения (клиента) в виде GUID, к которому требуется подключиться. | True |
| Имя пользователя | securestring | Учетные данные пользователя | |
| Пароль | securestring | Учетные данные пароля | |
| Gateway | gatewaySetting | Локальный шлюз (дополнительные сведения см. в разделе https://docs.microsoft.com/data-integration/gateway "Дополнительные сведения" |
Вход с помощью аномного шлюза
Идентификатор проверки подлинности: AnonymousGateway
Применимо: все регионы
Использование анонимного шлюза для подключения к ресурсам HTTP
Это совместное подключение. Если приложение power app предоставлено другому пользователю, подключение также предоставляется совместно. Дополнительные сведения см. в обзоре соединителей для приложений на основе холста — Power Apps | Документация Майкрософт
| Имя | Тип | Description | Обязательно |
|---|---|---|---|
| URL-адрес базового ресурса | струна | Укажите базовый URL-адрес ресурсов HTTP или идентификатора приложения (клиента) в виде GUID, к которому требуется подключиться. | True |
| Имя пользователя | securestring | Учетные данные пользователя | |
| Пароль | securestring | Учетные данные пароля | |
| Gateway | gatewaySetting | Локальный шлюз (дополнительные сведения см. в разделе https://docs.microsoft.com/data-integration/gateway "Дополнительные сведения" |
Вход с помощью идентификатора Microsoft Entra
Идентификатор проверки подлинности: EntraAuth
Применимо: все регионы
Вход с помощью учетных данных идентификатора Microsoft Entra
Это совместное подключение. Если приложение power app предоставлено другому пользователю, подключение также предоставляется совместно. Дополнительные сведения см. в обзоре соединителей для приложений на основе холста — Power Apps | Документация Майкрософт
| Имя | Тип | Description | Обязательно |
|---|---|---|---|
| URI ресурса ресурса идентификатора Microsoft Entra (URI идентификатора приложения) | струна | Идентификатор, используемый в идентификаторе Microsoft Entra для идентификации целевого ресурса. Для SharePoint Online и OneDrive для бизнеса используйте https://{contoso}.sharepoint.com. Обычно это базовый URL-адрес ресурса. | True |
| URL-адрес базового ресурса | струна | Укажите базовый URL-адрес ресурсов HTTP или идентификатора приложения (клиента) в виде GUID, к которому требуется подключиться. | True |
По умолчанию [не рекомендуется]
Применимо: все регионы
Этот параметр предназначен только для старых подключений без явного типа проверки подлинности и предоставляется только для обратной совместимости.
Это недоступно для общего доступа. Если приложение power предоставляется другому пользователю, пользователю будет предложено явно создать новое подключение.
| Имя | Тип | Description | Обязательно |
|---|---|---|---|
| URI ресурса ресурса идентификатора Microsoft Entra (URI идентификатора приложения) | струна | Идентификатор, используемый в идентификаторе Microsoft Entra для идентификации целевого ресурса. Для SharePoint Online и OneDrive для бизнеса используйте https://{contoso}.sharepoint.com. Обычно это базовый URL-адрес ресурса. | True |
| URL-адрес базового ресурса | струна | Укажите базовый URL-адрес ресурсов HTTP или идентификатора приложения (клиента) в виде GUID, к которому требуется подключиться. | True |
| Имя пользователя | securestring | Учетные данные пользователя | |
| Пароль | securestring | Учетные данные пароля | |
| Тип проверки подлинности | струна | Тип проверки подлинности для подключения к локальному ресурсу HTTP | |
| Gateway | gatewaySetting | Локальный шлюз (дополнительные сведения см. в разделе https://docs.microsoft.com/data-integration/gateway "Дополнительные сведения" |
Ограничения регулирования
| Имя | Вызовы | Период обновления |
|---|---|---|
| Вызовы API для каждого подключения | 100 | 60 секунд |
Действия
| Вызов HTTP-запроса |
Вызывает конечную точку HTTP. |
| Получение веб-ресурса |
Извлекает веб-ресурс путем выдачи HTTP-запроса GET. |
Вызов HTTP-запроса
Вызывает конечную точку HTTP.
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Метод
|
method | True | string |
Одна из известных HTTP-команд: GET, DELETE, PATCH, POST, PUT. |
|
URL-адрес запроса
|
url | True | string |
Полный или относительный URL-адрес ресурса. Если это полный URL-адрес, он должен соответствовать url-адресу базового ресурса, заданному в соединении. |
|
Headers
|
headers | object |
Заголовки запроса. |
|
|
Текст запроса
|
body | string |
Текст запроса, когда метод требует его. |
Возвращаемое значение
Содержимое ответа.
- Тело
- string
Получение веб-ресурса
Извлекает веб-ресурс путем выдачи HTTP-запроса GET.
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Путь к ресурсу
|
path | True | string |
Идентификатор файла |
Возвращаемое значение
Содержимое файла.
- Содержимое файла
- binary
Определения
бинарный
Это базовый тип данных binary.