向 Power Platform 服务进行身份验证

Power Platform 身份验证涉及用户浏览器与 Power Platform 或 Azure 服务之间的一系列请求、响应和重定向。序列按照 Microsoft Entra 授权代码授予流的序列。有关用户身份验证模型的详细信息，请参阅为 Microsoft 365 选择登录模型。

Power Platform 身份验证序列

身份验证序列如下图所示。

用户从浏览器发起到 Power Platform 服务的连接。用户可以在地址栏中输入服务地址或在 Power Platform 服务页面上选择登录。使用 TLS 1.2 和 HTTPS 建立连接。浏览器与 Power Platform 服务之间的所有后续通信都使用 HTTPS。
Azure 流量管理器检查浏览器的 DNS 记录以确定部署 Power Platform 服务最合适（通常是最近的）数据中心。流量管理器返回用户应该被发送到的 Web 前端群集的 IP 地址。
Web 前端群集将用户重定向到 Microsoft Online Services 登录页面以进行身份验证。
登录页面将经过身份验证的用户重定向回具有 Microsoft Entra 授权代码的 Web 前端群集。
Web 前端群集使用授权代码从 Microsoft Entra 服务获取安全令牌。
Web 前端群集咨询 Power Platform 全局后端服务来确定哪个后端服务群集包含用户的租户。
Web 前端群集向用户的浏览器返回一个应用程序页面，其中包含所需的会话、访问和路由信息。
浏览器使用授权标头中包含的 Microsoft Entra 访问令牌将客户数据请求发送到后端群集。后端群集读取访问令牌，并验证签名以确保请求的标识有效。访问令牌的默认生命周期为一小时。为了维护会话，浏览器会在访问令牌过期之前定期请求续订访问令牌。

当 Power Platform 服务嵌入 SharePoint、Power BI 或 Teams 时，身份验证序列会略有不同。这是因为这些服务本身会执行其中一些步骤。

备注

向外部数据源进行身份验证是与向服务进行身份验证不同的步骤。有关详细信息，请参阅连接到数据源。

Power Platform 用户身份验证序列的图示。