HTTP mit Microsoft Entra-ID (vorautorisiert)
Verwenden Sie den HTTP-Connector, um Ressourcen aus verschiedenen Webdiensten abzurufen, die von Microsoft Entra ID oder von einem lokalen Webdienst authentifiziert wurden.
Dieser Connector ist in den folgenden Produkten und Regionen verfügbar:
| Dienstleistung | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Alle Power Automate-Regionen |
| Logik-Apps | Norm | Alle Logik-Apps-Regionen mit Ausnahme der folgenden Bereiche: - US Department of Defense (DoD) |
| Power Apps | Premium | Alle Power Apps-Regionen |
| Power Automate | Premium | Alle Power Automate-Regionen |
| Kontakt | |
|---|---|
| Name | Microsoft |
| URL |
Microsoft LogicApps-Unterstützung Microsoft Power Automate-Support Microsoft Power Apps-Unterstützung |
| Connectormetadaten | |
|---|---|
| Herausgeber | Microsoft |
Hinweis
Der HTTP-Connector mit Microsoft Entra ID (vorautorisiert) ermöglicht Benutzern das Senden von Anforderungen an jeden HTTP-Endpunkt, der die Entra-ID-Authentifizierung unterstützt. Im Rahmen unserer laufenden Bemühungen zur Verbesserung der Sicherheit und des Datenschutzes haben wir die Berechtigungen überprüft, die diesem Connector zugeordnet sind, und planen, verbesserte Identitätsisolationskontrollen bereitzustellen.
Derzeit wird der HTTP-Connector mit Microsoft Entra ID (vorautorisiert) über eine vertrauenswürdige Microsoft 1.-Drittanbieteranwendung ausgeführt. Diese Anwendung umfasst die Vorautorisierung für verschiedene Microsoft-Dienste, einschließlich, aber nicht beschränkt auf Microsoft Graph, SharePoint und andere Microsoft-Angebote. Diese Vorautorisierung ermöglicht dem Connector die Interaktion mit diesen Diensten mithilfe des delegierten Zugriffs im Namen des Benutzers. Seien Sie sicher, dass dieser Ansatz die Rechte des Benutzers vollständig respektiert und keinen Zugriff auf Daten oder Aktionen über ihren autorisierten Gültigkeitsbereich hinaus zulässt.
Mit dem vorhandenen Connector ist es nicht erforderlich, dass Administratoren explizit die Zustimmung erteilen müssen, damit Aktionen, die von der Anwendung im Auftrag des Benutzers ausgeführt werden, ausgeführt werden. Wir haben jedoch eine neue Version dieses Connectors veröffentlicht. Die neue Version des Connectors verwendet eine neue Anwendung ohne Vorautorisierung. Auf diese Weise kann ein Administrator diskrete Zustimmung erteilen.
Wenn Sie die Verwendung dieses Connectors einschränken möchten, können Sie die vorhandenen Dlp-Funktionen (Data Loss Prevention) nutzen. Sie haben die Möglichkeit, eine neue Richtlinie zu erstellen oder eine vorhandene Richtlinie zu aktualisieren, um die Nutzung dieses Connectors zu blockieren. Es ist wichtig zu beachten, dass einige andere Connectors und Features vom HTTP mit dem Microsoft Entra ID-Connector (vorautorisiert) abhängen. Weitere Informationen finden Sie hier.
Unterstützung für virtuelle Netzwerke (Subnetzdelegierung)
Wenn der Connector in einer Power Platform-Umgebung verwendet wird, die mit einem Virtual Network verknüpft ist, gelten Einschränkungen:
- Die folgenden Aktionen werden NICHT unterstützt:
Bekannte Probleme und Einschränkungen
Der Connector codiert den Anforderungstext in base64-Codierung, daher sollte er verwendet werden, um Back-End-Dienste aufzurufen, die den Anforderungstext in diesem Format erwarten. Sie können diesen Connector nicht verwenden, um einen Back-End-Dienst aufzurufen, der den Anforderungstext im unformatierten Binärformat erwartet.
Wenn sie einen Fehler ähnlich erhalten wie:
{ "error": { "code": "Forbidden", "message": "" } }-
{ "error": { "code": "Authorization_RequestDenied", "message": "Insufficient privileges to complete the operation." } }dann könnte es sein, dass dieser Verbinder über einen begrenzten Satz von Bereichen verfügt. - Benutzer können auch vorautorisierungsfehlern auftreten, wenn Sie eine Verbindung mit einigen Ressourcen herstellen, die nicht unterstützt werden.
- Wenn Ihr Szenario etwas komplexer erfordert, verwenden Sie bitte den "HTTP"-Connector, oder erstellen Sie einen benutzerdefinierten Connector.
Der Connector basiert auf der Registrierung von Anwendungen mit mehreren Mandanten. Die Anwendung kann nicht feststellen, von welchem Mandanten der Benutzer stammt, bis der Benutzer sich anmeldet. Daher unterstützen wir nur die Angabe von Ressourcen unter dem Standardmandanten von Benutzern (allgemein).
Ressourcen, die auf ADFS SSO (Microsoft Entra ID Federation Services for Single Sign-On) basieren, werden nicht unterstützt. Verwenden Sie als Problemumgehung den "HTTP"-Connector.
Bei Verwendung dieses Connectors in einer nationalen Cloudumgebung muss die Ressource ihr nationales Cloudendpunktäquivalent sein . Versuche, eine Verbindung mit der öffentlichen Cloud (https://graph.microsoft.comhttps://bing.comz. B. aus den meisten nationalen Cloudumgebungen) herzustellen, schlagen mit einem Vorautorisierungsfehler fehl.
- GCC- und Fairfax-Umgebungen können weiterhin öffentliche Cloud-Endpunkte (https://graph.microsoft.comz. B.) verwenden.
- GCC-High Ressourcenbeispiel: https://graph.microsoft.us.
- China-Ressourcenbeispiel: https://microsoftgraph.chinacloudapi.cn.
Die Verwendung des Cookie-Autorisierungsanforderungsheaders wird bei aktivierter Verbindung über das lokale Datengateway nicht unterstützt.
Das asynchrone Muster basierend auf dem Antwortspeicherortheader wird nicht unterstützt. Verwenden Sie stattdessen den Azure Resource Manager-Connector , falls zutreffend.
Damit der Connector "HTTP mit Microsoft Entra ID" Daten erfolgreich aus einem anderen Dienst abrufen kann, muss der vom Connector verwendete App Zugriff auf den erforderlichen Bereich gewährt werden. Ausführliche Informationen zum Gewähren des erforderlichen Zugriffs auf die App finden Sie unter Autorisieren der App, im Namen eines angemeldeten Benutzers zu handeln. Wenn der erforderliche Zugriff nicht gewährt wird, erhalten Sie möglicherweise einen der folgenden Fehler, wenn Sie versuchen, die Verbindung zu erstellen:
Consent Required: To enable the HTTP With Microsoft Entra ID connector to access resources on behalf of a signed-in user, grant consent to this application.
Wenn ein Bereich (Berechtigung) erteilt wurde, aber nicht alle erforderlichen Bereiche enthalten sind, wird die Erstellung der Verbindung erfolgreich ausgeführt, aber es tritt zur Laufzeit ein Fehler "Verboten" (403) auf. Die Fehlerdetails können zusätzliche Informationen enthalten, z. B.:
"code": "Authorization_RequestDenied" "message": "Insufficient privileges to complete the operation."Wenn Probleme beim Erstellen einer Verbindung auftreten oder ein Fehler um einen fehlenden Parameterwert herum empfangen wird, versuchen Sie, eine Verbindung mit dem alten Designer von Power Automate anstelle des neuen Designers zu erstellen.
Das Entfernen oder Hinzufügen von Vorautorisierungen kann bis zu 1 Stunde dauern, bis Verbindungen vorhanden sind, die vor dem Update vorhanden sind. Neue Verbindungen sollten jedoch die aktualisierten Autorisierungen sofort widerspiegeln.
Autorisieren des Connectors, im Namen eines angemeldeten Benutzers zu handeln
Als Benutzer mit der Rolle "Globaler Administrator" müssen Sie oAuth2PermissionGrants erstellen, um die erforderlichen Berechtigungen (Bereiche) für den erforderlichen Dienst zu genehmigen.
Wenn Sie beispielsweise Microsoft Graph (https://graph.microsoft.com) verwenden und Kalenderinformationen lesen müssen, können Sie der Graph-Dokumentation folgen, um die erforderlichen Berechtigungen zu identifizieren (Calendar.Read). Indem die App (vom Connector verwendet) den Bereich "Calendar.Read" gewährt wird, kann die App im Auftrag des Benutzers auf diese Daten aus dem Dienst zugreifen. Beachten Sie, dass die Daten, auf die die App zugreifen kann, weiterhin auf die Daten beschränkt sind, auf die der Benutzer im Dienst zugreifen kann. Es ist nicht möglich, das Azure-Portal zu verwenden, um dieser App die Zustimmung zu erteilen. Aus diesem Grund wurde von Microsoft ein PowerShell-Skript erstellt, um die Erteilung der Zustimmung zur app zu vereinfachen, die vom HTTP mit dem Microsoft Entra ID-Connector verwendet wird.
Von Bedeutung
PowerShell, Version 7 oder höher, muss installiert werden, um dieses Skript auszuführen.
Laden Sie das erforderliche PowerShell-Skript von hier herunter , oder erstellen Sie ein Skript mit dem Namen "ManagePermissionGrant.ps1", das auf die hier genannten Schritte verweist. Dieses Skript ist hauptsächlich referenziert, Sie können das Skript entsprechend Ihrem Anwendungsfall ändern.
Klicken Sie mit der rechten Maustaste auf die heruntergeladene ManagePermissionGrant.ps1 Datei, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf das Kontrollkästchen " Blockierung aufheben" , und klicken Sie dann auf "OK".
Wenn Sie das Kontrollkästchen "Blockierung aufheben" nicht aktivieren, wird eine Fehlermeldung angezeigt, die angibt, dass das Skript nicht geladen werden kann, da es nicht digital signiert ist.
Öffnen Sie ein PowerShell-Befehlsfenster.
Ändern Sie den Pfad zu dem Speicherort, an dem Sie das Skript heruntergeladen haben.
Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
.\ ManagePermissionGrant.ps1
Sie werden aufgefordert, auszuwählen, ob Sie sich bei Azure Global (empfohlen) oder aus einer Liste (erweitert) authentifizieren möchten. Wenn Sie keine Verbindung mit Abonnements in US Gov, US Gov DoD, China oder Deutschland herstellen, drücken Sie die EINGABETASTE.
Falls noch nicht geschehen, werden Sie möglicherweise aufgefordert, sich in einem neuen Browserfenster bei der Microsoft Identity Platform zu authentifizieren. Authentifizieren als Benutzer mit der Rolle "Globaler Administrator".
Wenn Sie einigen der am häufigsten verwendeten Dienste wie Microsoft Graph oder SharePoint zustimmen möchten, drücken Sie die EINGABETASTE. Wenn der Dienst, dem Sie zustimmen müssen, nicht in der Liste der häufig verwendeten Apps enthalten ist, verwenden Sie Option A.
Ein Dialogfeld wird angezeigt. Wählen Sie die Anwendung aus, der Sie zustimmen möchten, damit der Connector im Namen eines Benutzers handeln kann. Sie können das Textfeld oben verwenden, um die Ergebnisse zu filtern.
Klicke auf OK.
Wählen Sie einen oder mehrere Bereiche (Berechtigungen) aus, die Sie zustimmen möchten, und klicken Sie dann auf "OK". Mehrere Bereiche können ausgewählt werden, indem sie beim Auswählen von Zeilen die STRG-TASTE gedrückt halten.
Im PowerShell-Fenster werden Sie aufgefordert, den Zustimmungstyp auszuwählen. Sie können auswählen, ob die App im Namen eines angemeldeten Benutzers handeln soll oder ob Sie die Zustimmung auf einen bestimmten Benutzer beschränken möchten. Wenn Sie die Zustimmung für alle Benutzer angeben möchten, drücken Sie die EINGABETASTE. Wenn Sie nur für einen bestimmten Benutzer die Zustimmung erteilen möchten, geben Sie N ein, und drücken Sie dann die EINGABETASTE. Wenn Sie sich für einen bestimmten Benutzer entscheiden, werden Sie aufgefordert, den Benutzer auszuwählen.
Wenn die Zustimmung für Bereiche für die ausgewählte Ressource bereits vorhanden ist, werden Sie aufgefordert, auszuwählen, ob Sie die vorhandenen Finanzhilfen zuerst löschen möchten. Wenn Sie vorhandene Zuschüsse löschen möchten, geben Sie Y ein, und drücken Sie die EINGABETASTE. Wenn Sie die vorhandenen Zuschüsse beibehalten möchten, drücken Sie die EINGABETASTE.
Eine Zusammenfassung der ausgewählten Bereiche wird im PowerShell-Fenster angezeigt. Wenn Sie mit der Gewährung der ausgewählten Bereiche fortfahren möchten, geben Sie "Y " ein, und drücken Sie dann die EINGABETASTE.
Wenn das Skript die Zustimmung erfolgreich erteilen kann, wird eine Meldung angezeigt, dass die Skriptausführung abgeschlossen ist.
Erstellen einer Verbindung
Der Connector unterstützt die folgenden Authentifizierungstypen:
| Anmelden mit einem Standardgateway | Verwenden eines einfachen Webgateways zum Herstellen einer Verbindung mit Ihren HTTP-Ressourcen | Alle Regionen | Freigabefähig |
| Anmelden mithilfe einer Clientzertifikatauthentifizierung | Bereitstellen von Microsoft Entra ID-Anmeldeinformationen mit PFX-Zertifikat und Kennwort | Alle Regionen | Freigabefähig |
| Anmelden mit einem Windows-Gateway | Verwenden eines lokalen Windows-Gateways zum Herstellen einer Verbindung mit Ihren HTTP-Ressourcen | Alle Regionen | Freigabefähig |
| Melden Sie sich mit einem anonoymischen Gateway an | Verwenden eines anonymen Gateways zum Herstellen einer Verbindung mit Ihren HTTP-Ressourcen | Alle Regionen | Freigabefähig |
| Melden Sie sich mit der Microsoft Entra-ID an | Anmelden mit Microsoft Entra ID-Anmeldeinformationen | Alle Regionen | Freigabefähig |
| Standard [VERALTET] | Diese Option ist nur für ältere Verbindungen ohne expliziten Authentifizierungstyp vorgesehen und wird nur aus Gründen der Abwärtskompatibilität bereitgestellt. | Alle Regionen | Nicht teilbar |
Anmelden mit einem Standardgateway
Auth-ID: BasicGateway
Anwendbar: Alle Regionen
Verwenden eines einfachen Webgateways zum Herstellen einer Verbindung mit Ihren HTTP-Ressourcen
Dies ist eine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird auch die Verbindung freigegeben. Weitere Informationen finden Sie in der Übersicht über Connectors für Canvas-Apps – Power Apps | Microsoft-Dokumente
| Name | Typ | Description | Erforderlich |
|---|---|---|---|
| Basisressourcen-URL | Schnur | Geben Sie die Basis-URL der HTTP-Ressourcen oder Anwendungs-ID (Client-ID) in Form der GUID an, mit der Sie eine Verbindung herstellen möchten. | Richtig |
| Nutzername | securestring | Anmeldeinformationen für Benutzernamen | |
| Kennwort | securestring | Kennwortanmeldeinformationen | |
| Gateway | gatewaySetting | Lokales Gateway (weitere Details finden Sie unter https://docs.microsoft.com/data-integration/gateway |
Anmelden mithilfe einer Clientzertifikatauthentifizierung
Authentifizierungs-ID: CertOauth
Anwendbar: Alle Regionen
Bereitstellen von Microsoft Entra ID-Anmeldeinformationen mit PFX-Zertifikat und Kennwort
Dies ist eine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird auch die Verbindung freigegeben. Weitere Informationen finden Sie in der Übersicht über Connectors für Canvas-Apps – Power Apps | Microsoft-Dokumente
| Name | Typ | Description | Erforderlich |
|---|---|---|---|
| Microsoft Entra ID-Ressourcen-URI (Anwendungs-ID-URI) | Schnur | Der In Microsoft Entra-ID verwendete Bezeichner, um die Zielressource zu identifizieren. Verwenden Sie für SharePoint Online und OneDrive for Business https://{contoso}.sharepoint.com. In der Regel handelt es sich um die Basis-URL Ihrer Ressource. | Richtig |
| Basisressourcen-URL | Schnur | Geben Sie die Basis-URL der HTTP-Ressourcen oder Anwendungs-ID (Client-ID) in Form der GUID an, mit der Sie eine Verbindung herstellen möchten. | Richtig |
| Tenant | Schnur | Richtig | |
| Kunden-ID | Schnur | Die Client-ID der Microsoft Entra-ID-Anwendung | Richtig |
| Geheimer Clientzertifikatschlüssel | Client-Zertifikat | Der von dieser Anwendung zulässige geheime Clientzertifikatschlüssel | Richtig |
Anmelden mit einem Windows-Gateway
Authentifizierungs-ID: WindowsGateway
Anwendbar: Alle Regionen
Verwenden eines lokalen Windows-Gateways zum Herstellen einer Verbindung mit Ihren HTTP-Ressourcen
Dies ist eine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird auch die Verbindung freigegeben. Weitere Informationen finden Sie in der Übersicht über Connectors für Canvas-Apps – Power Apps | Microsoft-Dokumente
| Name | Typ | Description | Erforderlich |
|---|---|---|---|
| Basisressourcen-URL | Schnur | Geben Sie die Basis-URL der HTTP-Ressourcen oder Anwendungs-ID (Client-ID) in Form der GUID an, mit der Sie eine Verbindung herstellen möchten. | Richtig |
| Nutzername | securestring | Anmeldeinformationen für Benutzernamen | |
| Kennwort | securestring | Kennwortanmeldeinformationen | |
| Gateway | gatewaySetting | Lokales Gateway (weitere Details finden Sie unter https://docs.microsoft.com/data-integration/gateway |
Melden Sie sich mit einem anonoymischen Gateway an
Authentifizierungs-ID: AnonymousGateway
Anwendbar: Alle Regionen
Verwenden eines anonymen Gateways zum Herstellen einer Verbindung mit Ihren HTTP-Ressourcen
Dies ist eine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird auch die Verbindung freigegeben. Weitere Informationen finden Sie in der Übersicht über Connectors für Canvas-Apps – Power Apps | Microsoft-Dokumente
| Name | Typ | Description | Erforderlich |
|---|---|---|---|
| Basisressourcen-URL | Schnur | Geben Sie die Basis-URL der HTTP-Ressourcen oder Anwendungs-ID (Client-ID) in Form der GUID an, mit der Sie eine Verbindung herstellen möchten. | Richtig |
| Nutzername | securestring | Anmeldeinformationen für Benutzernamen | |
| Kennwort | securestring | Kennwortanmeldeinformationen | |
| Gateway | gatewaySetting | Lokales Gateway (weitere Details finden Sie unter https://docs.microsoft.com/data-integration/gateway |
Melden Sie sich mit der Microsoft Entra-ID an
Authentifizierungs-ID: EntraAuth
Anwendbar: Alle Regionen
Anmelden mit Microsoft Entra ID-Anmeldeinformationen
Dies ist eine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird auch die Verbindung freigegeben. Weitere Informationen finden Sie in der Übersicht über Connectors für Canvas-Apps – Power Apps | Microsoft-Dokumente
| Name | Typ | Description | Erforderlich |
|---|---|---|---|
| Microsoft Entra ID-Ressourcen-URI (Anwendungs-ID-URI) | Schnur | Der In Microsoft Entra-ID verwendete Bezeichner, um die Zielressource zu identifizieren. Verwenden Sie für SharePoint Online und OneDrive for Business https://{contoso}.sharepoint.com. In der Regel handelt es sich um die Basis-URL Ihrer Ressource. | Richtig |
| Basisressourcen-URL | Schnur | Geben Sie die Basis-URL der HTTP-Ressourcen oder Anwendungs-ID (Client-ID) in Form der GUID an, mit der Sie eine Verbindung herstellen möchten. | Richtig |
Standard [VERALTET]
Anwendbar: Alle Regionen
Diese Option ist nur für ältere Verbindungen ohne expliziten Authentifizierungstyp vorgesehen und wird nur aus Gründen der Abwärtskompatibilität bereitgestellt.
Dies ist keine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird ein anderer Benutzer aufgefordert, eine neue Verbindung explizit zu erstellen.
| Name | Typ | Description | Erforderlich |
|---|---|---|---|
| Microsoft Entra ID-Ressourcen-URI (Anwendungs-ID-URI) | Schnur | Der In Microsoft Entra-ID verwendete Bezeichner, um die Zielressource zu identifizieren. Verwenden Sie für SharePoint Online und OneDrive for Business https://{contoso}.sharepoint.com. In der Regel handelt es sich um die Basis-URL Ihrer Ressource. | Richtig |
| Basisressourcen-URL | Schnur | Geben Sie die Basis-URL der HTTP-Ressourcen oder Anwendungs-ID (Client-ID) in Form der GUID an, mit der Sie eine Verbindung herstellen möchten. | Richtig |
| Nutzername | securestring | Anmeldeinformationen für Benutzernamen | |
| Kennwort | securestring | Kennwortanmeldeinformationen | |
| Authentifizierungstyp | Schnur | Authentifizierungstyp zum Herstellen einer Verbindung mit Ihrer lokalen HTTP-Ressource | |
| Gateway | gatewaySetting | Lokales Gateway (weitere Details finden Sie unter https://docs.microsoft.com/data-integration/gateway |
Drosselungsgrenzwerte
| Name | Aufrufe | Verlängerungszeitraum |
|---|---|---|
| API-Aufrufe pro Verbindung | 100 | 60 Sekunden |
Aktionen
| Aufrufen einer HTTP-Anforderung |
Ruft einen HTTP-Endpunkt auf. |
| Webressource abrufen |
Ruft eine Webressource ab, indem eine HTTP GET-Anforderung ausgestellt wird. |
Aufrufen einer HTTP-Anforderung
Ruft einen HTTP-Endpunkt auf.
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Methode
|
method | True | string |
Eines der bekannten HTTP-Verben: GET, DELETE, PATCH, POST, PUT. |
|
URL der Anforderung
|
url | True | string |
Eine vollständige oder relative URL zur Ressource. Wenn es sich um eine vollständige URL handelt, muss sie mit der Basisressourcen-URL übereinstimmen, die in der Verbindung festgelegt ist. |
|
Headers
|
headers | object |
Die Anforderungsheader. |
|
|
Textkörper der Anforderung
|
body | string |
Der Textkörper der Anforderung, wenn die Methode sie benötigt. |
Gibt zurück
Der Inhalt der Antwort.
- Body
- string
Webressource abrufen
Ruft eine Webressource ab, indem eine HTTP GET-Anforderung ausgestellt wird.
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Ressourcenpfad
|
path | True | string |
Dateibezeichner |
Gibt zurück
Der Inhalt der Datei.
- Inhalt der Datei
- binary
Definitionen
binär
Dies ist der grundlegende Datentyp "binary".