HTTP mit Microsoft Entra-ID
Verwenden Sie den HTTP-Connector, um Ressourcen aus verschiedenen Webdiensten abzurufen, die von Microsoft Entra ID oder von einem lokalen Webdienst authentifiziert wurden.
Dieser Connector ist in den folgenden Produkten und Regionen verfügbar:
| Dienstleistung | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Alle Power Automate-Regionen |
| Logik-Apps | Norm | Alle Logik-Apps-Regionen mit Ausnahme der folgenden Bereiche: - US Department of Defense (DoD) |
| Power Apps | Premium | Alle Power Apps-Regionen |
| Power Automate | Premium | Alle Power Automate-Regionen |
| Kontakt | |
|---|---|
| Name | Microsoft |
| URL |
Microsoft LogicApps-Unterstützung Microsoft Power Automate-Support Microsoft Power Apps-Unterstützung |
| Connectormetadaten | |
|---|---|
| Herausgeber | Microsoft |
Bekannte Probleme und Einschränkungen
Damit der Connector "HTTP mit Microsoft Entra ID" Daten erfolgreich aus einem anderen Dienst abrufen kann, muss der vom Connector verwendete App Zugriff auf den erforderlichen Bereich gewährt werden. Ausführliche Informationen zum Gewähren des erforderlichen Zugriffs auf die App finden Sie unter Autorisieren der App, im Namen eines angemeldeten Benutzers zu handeln. Wenn der erforderliche Zugriff nicht gewährt wird, erhalten Sie möglicherweise einen der folgenden Fehler, wenn Sie versuchen, die Verbindung zu erstellen:
Consent Required: To enable the HTTP With Microsoft Entra ID connector to access resources on behalf of a signed-in user, grant consent to this application.
Wenn ein Bereich (Berechtigung) erteilt wurde, aber nicht alle erforderlichen Bereiche enthalten sind, wird die Erstellung der Verbindung erfolgreich ausgeführt, aber es tritt zur Laufzeit ein Fehler "Verboten" (403) auf. Die Fehlerdetails können zusätzliche Informationen enthalten, z. B.:
"code": "Authorization_RequestDenied" "message": "Insufficient privileges to complete the operation."Der Connector codiert den Anforderungstext in base64-Codierung, daher sollte er verwendet werden, um Back-End-Dienste aufzurufen, die den Anforderungstext in diesem Format erwarten. Sie können diesen Connector nicht verwenden, um einen Back-End-Dienst aufzurufen, der den Anforderungstext im unformatierten Binärformat erwartet.
Der Connector basiert auf der Registrierung von Anwendungen mit mehreren Mandanten. Die Anwendung kann nicht feststellen, von welchem Mandanten der Benutzer stammt, bis der Benutzer sich anmeldet. Daher unterstützen wir nur die Angabe von Ressourcen unter dem Standardmandanten von Benutzern (allgemein).
Ressourcen, die auf ADFS SSO (Microsoft Entra ID Federation Services for Single Sign-On) basieren, werden nicht unterstützt. Verwenden Sie als Problemumgehung den "HTTP"-Connector.
Bei Verwendung dieses Connectors in einer nationalen Cloudumgebung muss die Ressource ihr nationales Cloudendpunktäquivalent sein . Versuche, eine Verbindung mit der öffentlichen Cloud (https://graph.microsoft.comhttps://bing.comz. B. aus den meisten nationalen Cloudumgebungen) herzustellen, schlagen mit einem Vorautorisierungsfehler fehl.
- GCC- und Fairfax-Umgebungen können weiterhin öffentliche Cloud-Endpunkte (https://graph.microsoft.comz. B.) verwenden.
- GCC-High Ressourcenbeispiel: https://graph.microsoft.us.
- China-Ressourcenbeispiel: https://microsoftgraph.chinacloudapi.cn.
Die Verwendung des Cookie-Autorisierungsanforderungsheaders wird bei aktivierter Verbindung über das lokale Datengateway nicht unterstützt.
Das asynchrone Muster basierend auf dem Antwortspeicherortheader wird nicht unterstützt. Verwenden Sie stattdessen den Azure Resource Manager-Connector , falls zutreffend.
Die Aktion "Dateiinhalt abrufen" ist in diesem Connector nicht verfügbar, da sie der Aktion "HTTP aufrufen" ähnlich ist. Der einzige Unterschied zwischen den beiden ist, dass die frühere Aktion die Antwort codiert. Um die base64-codierte Antwort zu erhalten, können Sie ihre Antwort einfach von der Aktion "HTTP aufrufen" auf eine der verfügbaren Codierungsaktionen übertragen.
Das Entfernen oder Hinzufügen von Vorautorisierungen kann bis zu 1 Stunde dauern, bis Verbindungen vorhanden sind, die vor dem Update vorhanden sind. Neue Verbindungen sollten jedoch die aktualisierten Autorisierungen sofort widerspiegeln.
Wenn Probleme beim Erstellen einer Verbindung auftreten oder ein Fehler um einen fehlenden Parameterwert herum empfangen wird, versuchen Sie, eine Verbindung mit dem alten Designer von Power Automate anstelle des neuen Designers zu erstellen.
Autorisieren des Connectors, im Namen eines angemeldeten Benutzers zu handeln
Als Benutzer mit der Rolle "Globaler Administrator" müssen Sie oAuth2PermissionGrants erstellen, um die erforderlichen Berechtigungen (Bereiche) für den erforderlichen Dienst zu genehmigen.
Wenn Sie beispielsweise Microsoft Graph (https://graph.microsoft.com) verwenden und Kalenderinformationen lesen müssen, können Sie der Graph-Dokumentation folgen, um die erforderlichen Berechtigungen zu identifizieren (Calendar.Read). Indem die App (vom Connector verwendet) den Bereich "Calendar.Read" gewährt wird, kann die App im Auftrag des Benutzers auf diese Daten aus dem Dienst zugreifen. Beachten Sie, dass die Daten, auf die die App zugreifen kann, weiterhin auf die Daten beschränkt sind, auf die der Benutzer im Dienst zugreifen kann. Es ist nicht möglich, das Azure-Portal zu verwenden, um dieser App die Zustimmung zu erteilen. Aus diesem Grund wurde von Microsoft ein PowerShell-Skript erstellt, um die Erteilung der Zustimmung zur app zu vereinfachen, die vom HTTP mit dem Microsoft Entra ID-Connector verwendet wird.
Von Bedeutung
PowerShell, Version 7 oder höher, muss installiert werden, um dieses Skript auszuführen.
Laden Sie das erforderliche PowerShell-Skript von hier herunter , oder erstellen Sie ein Skript mit dem Namen "ManagePermissionGrant.ps1", das auf die hier genannten Schritte verweist. Dieses Skript ist hauptsächlich referenziert, Sie können das Skript entsprechend Ihrem Anwendungsfall ändern.
Klicken Sie mit der rechten Maustaste auf die heruntergeladene ManagePermissionGrant.ps1 Datei, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf das Kontrollkästchen " Blockierung aufheben" , und klicken Sie dann auf "OK".
Wenn Sie das Kontrollkästchen "Blockierung aufheben" nicht aktivieren, wird eine Fehlermeldung angezeigt, die angibt, dass das Skript nicht geladen werden kann, da es nicht digital signiert ist.
Öffnen Sie ein PowerShell-Befehlsfenster.
Ändern Sie den Pfad zu dem Speicherort, an dem Sie das Skript heruntergeladen haben.
Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
.\ ManagePermissionGrant.ps1
Sie werden aufgefordert, auszuwählen, ob Sie sich bei Azure Global (empfohlen) oder aus einer Liste (erweitert) authentifizieren möchten. Wenn Sie keine Verbindung mit Abonnements in US Gov, US Gov DoD, China oder Deutschland herstellen, drücken Sie die EINGABETASTE.
Falls noch nicht geschehen, werden Sie möglicherweise aufgefordert, sich in einem neuen Browserfenster bei der Microsoft Identity Platform zu authentifizieren. Authentifizieren als Benutzer mit der Rolle "Globaler Administrator".
Wenn Sie einigen der am häufigsten verwendeten Dienste wie Microsoft Graph oder SharePoint zustimmen möchten, drücken Sie die EINGABETASTE. Wenn der Dienst, dem Sie zustimmen müssen, nicht in der Liste der häufig verwendeten Apps enthalten ist, verwenden Sie Option A.
Ein Dialogfeld wird angezeigt. Wählen Sie die Anwendung aus, der Sie zustimmen möchten, damit der Connector im Namen eines Benutzers handeln kann. Sie können das Textfeld oben verwenden, um die Ergebnisse zu filtern.
Klicke auf OK.
Wählen Sie einen oder mehrere Bereiche (Berechtigungen) aus, die Sie zustimmen möchten, und klicken Sie dann auf "OK". Mehrere Bereiche können ausgewählt werden, indem sie beim Auswählen von Zeilen die STRG-TASTE gedrückt halten.
Im PowerShell-Fenster werden Sie aufgefordert, den Zustimmungstyp auszuwählen. Sie können auswählen, ob die App im Namen eines angemeldeten Benutzers handeln soll oder ob Sie die Zustimmung auf einen bestimmten Benutzer beschränken möchten. Wenn Sie die Zustimmung für alle Benutzer angeben möchten, drücken Sie die EINGABETASTE. Wenn Sie nur für einen bestimmten Benutzer die Zustimmung erteilen möchten, geben Sie N ein, und drücken Sie dann die EINGABETASTE. Wenn Sie sich für einen bestimmten Benutzer entscheiden, werden Sie aufgefordert, den Benutzer auszuwählen.
Wenn die Zustimmung für Bereiche für die ausgewählte Ressource bereits vorhanden ist, werden Sie aufgefordert, auszuwählen, ob Sie die vorhandenen Finanzhilfen zuerst löschen möchten. Wenn Sie vorhandene Zuschüsse löschen möchten, geben Sie Y ein, und drücken Sie die EINGABETASTE. Wenn Sie die vorhandenen Zuschüsse beibehalten möchten, drücken Sie die EINGABETASTE.
Eine Zusammenfassung der ausgewählten Bereiche wird im PowerShell-Fenster angezeigt. Wenn Sie mit der Gewährung der ausgewählten Bereiche fortfahren möchten, geben Sie "Y " ein, und drücken Sie dann die EINGABETASTE.
Wenn das Skript die Zustimmung erfolgreich erteilen kann, wird eine Meldung angezeigt, dass die Skriptausführung abgeschlossen ist.
Erstellen einer Verbindung
Der Connector unterstützt die folgenden Authentifizierungstypen:
| Vorgabe | Parameter zum Erstellen einer Verbindung. | Alle Regionen | Nicht teilbar |
Vorgabe
Anwendbar: Alle Regionen
Parameter zum Erstellen einer Verbindung.
Dies ist keine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird ein anderer Benutzer aufgefordert, eine neue Verbindung explizit zu erstellen.
| Name | Typ | Description | Erforderlich |
|---|---|---|---|
| Microsoft Entra ID-Ressourcen-URI (Anwendungs-ID-URI) | Schnur | Der In Microsoft Entra-ID verwendete Bezeichner, um die Zielressource zu identifizieren. Verwenden Sie für SharePoint Online und OneDrive for Business https://{contoso}.sharepoint.com. In der Regel handelt es sich um die Basis-URL Ihrer Ressource. | Richtig |
| Basisressourcen-URL | Schnur | Geben Sie die Basis-URL der HTTP-Ressourcen oder Anwendungs-ID (Client-ID) in Form der GUID an, mit der Sie eine Verbindung herstellen möchten. | Richtig |
| Nutzername | securestring | Anmeldeinformationen für Benutzernamen | |
| Kennwort | securestring | Kennwortanmeldeinformationen | |
| Authentifizierungstyp | Schnur | Authentifizierungstyp zum Herstellen einer Verbindung mit Ihrer lokalen HTTP-Ressource | |
| Gateway | gatewaySetting | Lokales Gateway (weitere Details finden Sie unter https://docs.microsoft.com/data-integration/gateway |
Drosselungsgrenzwerte
| Name | Aufrufe | Verlängerungszeitraum |
|---|---|---|
| API-Aufrufe pro Verbindung | 100 | 60 Sekunden |
Aktionen
| Aufrufen einer HTTP-Anforderung |
Ruft einen HTTP-Endpunkt auf. |
Aufrufen einer HTTP-Anforderung
Ruft einen HTTP-Endpunkt auf.
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Methode
|
method | True | string |
Eines der bekannten HTTP-Verben: GET, DELETE, PATCH, POST, PUT. |
|
URL der Anforderung
|
url | True | string |
Eine vollständige oder relative URL zur Ressource. Wenn es sich um eine vollständige URL handelt, muss sie mit der Basisressourcen-URL übereinstimmen, die in der Verbindung festgelegt ist. |
|
Headers
|
headers | object |
Die Anforderungsheader. |
|
|
Textkörper der Anforderung
|
body | string |
Der Textkörper der Anforderung, wenn die Methode sie benötigt. |
Gibt zurück
Der Inhalt der Antwort.
- Body
- string