Partager via

HTTP avec Microsoft Entra ID (pré-autorisé)

Utilisez le connecteur HTTP pour récupérer des ressources à partir de différents services Web, authentifiés par l’ID Microsoft Entra ou à partir d’un service web local.

Ce connecteur est disponible dans les produits et régions suivants :

Service classe Régions
Copilot Studio Premium Toutes les régions Power Automate
Applications logiques Norme Toutes les régions Logic Apps , à l’exception des suivantes :
     - Us Department of Defense (DoD)
Power Apps Premium Toutes les régions Power Apps
Power Automate Premium Toutes les régions Power Automate
Contact
Nom Microsoft
URL Microsoft LogicApps Support
Prise en charge de Microsoft Power Automate
Prise en charge de Microsoft Power Apps
Métadonnées du connecteur
Éditeur Microsoft

Note

Le connecteur HTTP avec Microsoft Entra ID (préautorisé) permet aux utilisateurs d’envoyer des demandes à n’importe quel point de terminaison HTTP qui prend en charge l’authentification Entra ID. Dans le cadre de nos efforts continus visant à améliorer la sécurité et la confidentialité des données, nous avons examiné les autorisations associées à ce connecteur et prévoyons de fournir des contrôles d’isolation d’identité améliorés.

Actuellement, le connecteur HTTP avec Microsoft Entra ID (préautorisé) fonctionne via une application approuvée tierce Microsoft. Cette application inclut la pré-authentification pour différents services Microsoft, notamment microsoft Graph, SharePoint et d’autres offres Microsoft. Cette préauthorisation permet au connecteur d’interagir avec ces services à l’aide d’un accès délégué pour le compte de l’utilisateur. Soyez assuré que cette approche respecte pleinement les privilèges de l’utilisateur et n’autorise pas l’accès aux données ou aux actions au-delà de son étendue autorisée.

Avec le connecteur existant, il n’est pas nécessaire que les administrateurs accordent explicitement le consentement pour que les actions soient exécutées par l’application pour le compte de l’utilisateur. Toutefois, nous avons publié une nouvelle version de ce connecteur. La nouvelle version du connecteur utilise une nouvelle application sans préauthorisation. Cela permet à un administrateur d’accorder un consentement discret.

Si vous souhaitez restreindre l’utilisation de ce connecteur, vous pouvez tirer parti des fonctionnalités existantes de protection contre la perte de données (DLP). Vous avez la possibilité de créer une stratégie ou de mettre à jour une stratégie existante pour bloquer l’utilisation de ce connecteur. Il est important de noter que d’autres connecteurs et fonctionnalités dépendent du connecteur HTTP avec Microsoft Entra ID (préautorisé). Pour plus d’informations, cliquez ici.

Centre d’administration Power Platform

Prise en charge du réseau virtuel (délégation de sous-réseau)

Lorsque le connecteur est utilisé dans un environnement Power Platform lié à un réseau virtuel, des limitations s’appliquent :

Problèmes connus et limitations

  1. Le connecteur encode le corps de la requête en encodage base64. Il doit donc être utilisé pour appeler les services principaux qui attendent le corps de la requête dans ce format. Vous ne pouvez pas utiliser ce connecteur pour appeler un service principal qui attend le corps de la requête au format binaire brut.

  2. Si vous obtenez une erreur similaire à :

  • { "error": { "code": "Forbidden", "message": "" } }
  • { "error": { "code": "Authorization_RequestDenied", "message": "Insufficient privileges to complete the operation." } } cela peut être dû au fait que ce connecteur a un ensemble limité d’étendues.
  • Les utilisateurs peuvent également rencontrer des erreurs de pré-autorisation lors de la connexion à certaines ressources qui ne sont pas prises en charge.
  • Si votre scénario nécessite quelque chose de plus avancé, utilisez le connecteur « HTTP » ou créez un connecteur personnalisé.

  1. Le connecteur est basé sur l’inscription d’applications mutualisée. L’application ne peut pas indiquer à quel locataire l’utilisateur provient jusqu’à ce que l’utilisateur se connecte. Par conséquent, nous prenons uniquement en charge la spécification de ressources sous le locataire par défaut des utilisateurs ('common').

  2. Les ressources basées sur l’authentification unique ADFS (Microsoft Entra ID Federation Services for Single Sign-On) ne sont pas prises en charge. Pour contourner ce problème, utilisez le connecteur « HTTP ».

  3. Lorsque vous utilisez ce connecteur dans un environnement cloud national, la ressource doit être son équivalent de point de terminaison cloud national. Les tentatives de connexion au cloud public (https://graph.microsoft.comhttps://bing.compar exemple) à partir de la plupart des environnements cloud nationaux échouent avec une erreur de pré-autorisation.

  4. L’utilisation de l’en-tête de demande d’autorisation de cookie n’est pas prise en charge en cas de connexion activée par la passerelle de données locale.

  5. Le modèle asynchrone basé sur l’en-tête d’emplacement de réponse n’est pas pris en charge. Utilisez plutôt le connecteur Azure Resource Manager , le cas échéant.

  6. Pour que le connecteur « HTTP avec Microsoft Entra ID » récupère les données d’un autre service, l’application utilisée par le connecteur doit avoir accès à l’étendue requise. Pour plus d’informations sur la façon d’accorder l’accès requis à l’application, reportez-vous à Autoriser l’application à agir pour le compte d’un utilisateur connecté. Si l’accès requis n’est pas accordé, vous pouvez recevoir l’une des erreurs suivantes lorsque vous tentez de créer la connexion :

    Consent Required: To enable the HTTP With Microsoft Entra ID connector to access resources on behalf of a signed-in user, grant consent to this application.

    Accorder le consentement

    Si une étendue (autorisation) a été accordée, mais que toutes les étendues requises ne sont pas incluses, la création de la connexion réussit, mais vous rencontrerez une erreur Interdit (403) au moment de l’exécution. Les détails de l’erreur peuvent inclure des informations supplémentaires telles que :

    "code": "Authorization_RequestDenied"
"message": "Insufficient privileges to complete the operation."

  7. Si des problèmes sont rencontrés lors de la création d’une connexion ou qu’une erreur est reçue autour d’une valeur de paramètre manquante, essayez de créer une connexion avec l’ancien concepteur de Power Automate au lieu du nouveau concepteur.

  8. La suppression ou l’ajout de préauthorisations peut prendre jusqu’à 1 heure pour refléter les connexions existantes avant la mise à jour. Toutefois, les nouvelles connexions doivent refléter instantanément les autorisations mises à jour.

Autoriser le connecteur à agir au nom d’un utilisateur connecté

En tant qu’utilisateur disposant du rôle Administrateur général, vous devez créer oAuth2PermissionGrants pour approuver les autorisations nécessaires (étendues) pour le service requis.

Par exemple, si vous utilisez Microsoft Graph (https://graph.microsoft.com) et que vous devez lire des informations de calendrier, vous pouvez suivre la documentation Graph pour identifier les autorisations requises (Calendar.Read). En accordant à l’application (utilisée par le connecteur) l’étendue Calendar.Read, elle permet à l’application d’accéder à ces données à partir du service pour le compte de l’utilisateur. Il est important de noter que les données accessibles par l’application sont toujours limitées aux données auxquelles l’utilisateur a accès dans le service. Il n’est pas possible d’utiliser le portail Azure pour accorder son consentement à cette application. Pour cette raison, un script PowerShell a été créé par Microsoft pour simplifier l’octroi du consentement à l’application utilisée par le connecteur HTTP avec Microsoft Entra ID.

Important

PowerShell version 7 ou ultérieure doit être installé pour exécuter ce script.

  1. Téléchargez le script PowerShell requis à partir d’ici ou créez un script nommé «ManagePermissionGrant.ps1» faisant référence aux étapes mentionnées ici. Ce script est principalement à des fins de référence, vous pouvez modifier le script en fonction de votre cas d’usage.

  2. Cliquez avec le bouton droit sur le fichier ManagePermissionGrant.ps1 téléchargé, puis cliquez sur Propriétés.

  3. Cochez la case Débloquer , puis cliquez sur OK.

    Débloquer le script

    Si vous ne cochez pas la case Débloquer, vous recevrez une erreur indiquant que le script ne peut pas être chargé, car il n’est pas signé numériquement.

  4. Ouvrez une fenêtre de commande PowerShell.

  5. Modifiez le chemin d’accès à l’emplacement où vous avez téléchargé le script.

  6. Tapez la commande suivante, puis appuyez sur Entrée :

    .\ ManagePermissionGrant.ps1

    Exécuter le script d’octroi d’autorisations

  7. Vous serez invité à choisir s’il faut s’authentifier auprès d’Azure Global (recommandé) ou sélectionner dans une liste (avancée). Si vous ne vous connectez pas aux abonnements dans US Gov, US Gov DoD, Chine ou Allemagne, appuyez sur Entrée.

    Sélection cloud

  8. Si vous ne l’avez pas déjà fait, vous serez peut-être invité à vous authentifier auprès de la plateforme d’identités Microsoft dans une nouvelle fenêtre de navigateur. Authentifiez-vous en tant qu’utilisateur avec le rôle Administrateur général.

  9. Pour accorder le consentement à certains des services les plus utilisés tels que Microsoft Graph ou SharePoint, appuyez sur Entrée. Si le service auquel vous devez donner votre consentement ne figure pas dans la liste des applications couramment utilisées, utilisez l’option A.

    Sélection des ressources et de l’étendue

  10. Une boîte de dialogue s’affiche. Sélectionnez l’application que vous souhaitez consentir pour autoriser le connecteur à agir au nom d’un utilisateur. Vous pouvez utiliser la zone de texte en haut pour filtrer les résultats.

    Sélectionner l’application

  11. Cliquez sur OK.

  12. Sélectionnez une ou plusieurs étendues (autorisations) pour lesquelles vous souhaitez donner votre consentement, puis cliquez sur OK. Plusieurs étendues peuvent être sélectionnées en appuyant sur la touche Ctrl enfoncée tout en sélectionnant des lignes.

  13. Dans la fenêtre PowerShell, vous êtes invité à choisir le type de consentement. Vous pouvez choisir d’autoriser l’application à agir pour le compte d’un utilisateur connecté ou si vous souhaitez limiter le consentement à un utilisateur spécifique. Si vous souhaitez fournir le consentement pour tous les utilisateurs, appuyez sur Entrée. Si vous souhaitez fournir le consentement pour un utilisateur spécifique, tapez N , puis appuyez sur Entrée. Si vous choisissez de donner votre consentement à un utilisateur spécifique, vous serez invité à sélectionner l’utilisateur.

  14. Si le consentement pour toutes les étendues existe déjà pour la ressource sélectionnée, vous êtes invité à choisir si vous souhaitez d’abord supprimer les subventions existantes. Si vous souhaitez supprimer des subventions existantes, tapez Y et appuyez sur Entrée. Si vous souhaitez conserver les subventions existantes, appuyez sur Entrée.

  15. Un résumé des étendues que vous avez sélectionnées s’affiche dans la fenêtre PowerShell. Si vous souhaitez poursuivre l’octroi des étendues sélectionnées, tapez Y , puis appuyez sur Entrée.

  16. Si le script peut accorder le consentement avec succès, vous verrez un message indiquant que l’exécution du script s’est terminée.

Création d’une connexion

Le connecteur prend en charge les types d’authentification suivants :
Se connecter à l’aide d’une passerelle de base Utiliser une passerelle web de base pour vous connecter à vos ressources HTTP Toutes les régions Partageable
Se connecter à l’aide d’une authentification de certificat client Fournir des informations d’identification d’ID Microsoft Entra à l’aide du certificat PFX et du mot de passe Toutes les régions Partageable
Se connecter à l’aide d’une passerelle Windows Utiliser une passerelle Windows locale pour vous connecter à vos ressources HTTP Toutes les régions Partageable
Se connecter à l’aide d’une passerelle anonoymous Utiliser une passerelle anonyme pour vous connecter à vos ressources HTTP Toutes les régions Partageable
Se connecter avec l’ID Microsoft Entra Se connecter avec les informations d’identification d’ID Microsoft Entra Toutes les régions Partageable
Valeur par défaut [DÉCONSEILLÉE] Cette option concerne uniquement les connexions plus anciennes sans type d’authentification explicite et est fournie uniquement pour la compatibilité descendante. Toutes les régions Non partageable

Se connecter à l’aide d’une passerelle de base

ID d’authentification : BasicGateway

Applicable : Toutes les régions

Utiliser une passerelle web de base pour vous connecter à vos ressources HTTP

Il s’agit d’une connexion partageable. Si l’application d’alimentation est partagée avec un autre utilisateur, la connexion est également partagée. Pour plus d’informations, consultez la vue d’ensemble des connecteurs pour les applications de canevas - Power Apps | Microsoft Docs

Nom Type Descriptif Obligatoire
URL de ressource de base ficelle Spécifiez l’URL de base des ressources HTTP ou de l’ID d’application (client) sous la forme du GUID auquel vous souhaitez vous connecter. Vrai
Nom d’utilisateur securestring Informations d’identification du nom d'
Mot de passe securestring Informations d’identification du mot de passe
Gateway gatewaySetting Passerelle locale (voir https://docs.microsoft.com/data-integration/gateway pour plus d’informations

Se connecter à l’aide d’une authentification de certificat client

ID d’authentification : CertOauth

Applicable : Toutes les régions

Fournir des informations d’identification d’ID Microsoft Entra à l’aide du certificat PFX et du mot de passe

Il s’agit d’une connexion partageable. Si l’application d’alimentation est partagée avec un autre utilisateur, la connexion est également partagée. Pour plus d’informations, consultez la vue d’ensemble des connecteurs pour les applications de canevas - Power Apps | Microsoft Docs

Nom Type Descriptif Obligatoire
URI de ressource d’ID Microsoft Entra (URI d’ID d’application) ficelle Identificateur utilisé dans l’ID Microsoft Entra pour identifier la ressource cible. Pour SharePoint Online et OneDrive Entreprise, utilisez https://{contoso}.sharepoint.com. En règle générale, il s’agit de l’URL de base de votre ressource. Vrai
URL de ressource de base ficelle Spécifiez l’URL de base des ressources HTTP ou de l’ID d’application (client) sous la forme du GUID auquel vous souhaitez vous connecter. Vrai
Locataire ficelle Vrai
ID de client ficelle ID client de l’application Microsoft Entra ID Vrai
Secret du certificat client clientCertificate Secret de certificat client autorisé par cette application Vrai

Se connecter à l’aide d’une passerelle Windows

ID d’authentification : WindowsGateway

Applicable : Toutes les régions

Utiliser une passerelle Windows locale pour vous connecter à vos ressources HTTP

Il s’agit d’une connexion partageable. Si l’application d’alimentation est partagée avec un autre utilisateur, la connexion est également partagée. Pour plus d’informations, consultez la vue d’ensemble des connecteurs pour les applications de canevas - Power Apps | Microsoft Docs

Nom Type Descriptif Obligatoire
URL de ressource de base ficelle Spécifiez l’URL de base des ressources HTTP ou de l’ID d’application (client) sous la forme du GUID auquel vous souhaitez vous connecter. Vrai
Nom d’utilisateur securestring Informations d’identification du nom d'
Mot de passe securestring Informations d’identification du mot de passe
Gateway gatewaySetting Passerelle locale (voir https://docs.microsoft.com/data-integration/gateway pour plus d’informations

Se connecter à l’aide d’une passerelle anonoymous

ID d’authentification : AnonymousGateway

Applicable : Toutes les régions

Utiliser une passerelle anonyme pour vous connecter à vos ressources HTTP

Il s’agit d’une connexion partageable. Si l’application d’alimentation est partagée avec un autre utilisateur, la connexion est également partagée. Pour plus d’informations, consultez la vue d’ensemble des connecteurs pour les applications de canevas - Power Apps | Microsoft Docs

Nom Type Descriptif Obligatoire
URL de ressource de base ficelle Spécifiez l’URL de base des ressources HTTP ou de l’ID d’application (client) sous la forme du GUID auquel vous souhaitez vous connecter. Vrai
Nom d’utilisateur securestring Informations d’identification du nom d'
Mot de passe securestring Informations d’identification du mot de passe
Gateway gatewaySetting Passerelle locale (voir https://docs.microsoft.com/data-integration/gateway pour plus d’informations

Se connecter avec l’ID Microsoft Entra

ID d’authentification : EntraAuth

Applicable : Toutes les régions

Se connecter avec les informations d’identification d’ID Microsoft Entra

Il s’agit d’une connexion partageable. Si l’application d’alimentation est partagée avec un autre utilisateur, la connexion est également partagée. Pour plus d’informations, consultez la vue d’ensemble des connecteurs pour les applications de canevas - Power Apps | Microsoft Docs

Nom Type Descriptif Obligatoire
URI de ressource d’ID Microsoft Entra (URI d’ID d’application) ficelle Identificateur utilisé dans l’ID Microsoft Entra pour identifier la ressource cible. Pour SharePoint Online et OneDrive Entreprise, utilisez https://{contoso}.sharepoint.com. En règle générale, il s’agit de l’URL de base de votre ressource. Vrai
URL de ressource de base ficelle Spécifiez l’URL de base des ressources HTTP ou de l’ID d’application (client) sous la forme du GUID auquel vous souhaitez vous connecter. Vrai

Valeur par défaut [DÉCONSEILLÉE]

Applicable : Toutes les régions

Cette option concerne uniquement les connexions plus anciennes sans type d’authentification explicite et est fournie uniquement pour la compatibilité descendante.

Cette connexion n’est pas partageable. Si l’application power est partagée avec un autre utilisateur, un autre utilisateur est invité à créer une connexion explicitement.

Nom Type Descriptif Obligatoire
URI de ressource d’ID Microsoft Entra (URI d’ID d’application) ficelle Identificateur utilisé dans l’ID Microsoft Entra pour identifier la ressource cible. Pour SharePoint Online et OneDrive Entreprise, utilisez https://{contoso}.sharepoint.com. En règle générale, il s’agit de l’URL de base de votre ressource. Vrai
URL de ressource de base ficelle Spécifiez l’URL de base des ressources HTTP ou de l’ID d’application (client) sous la forme du GUID auquel vous souhaitez vous connecter. Vrai
Nom d’utilisateur securestring Informations d’identification du nom d'
Mot de passe securestring Informations d’identification du mot de passe
Type d’authentification ficelle Type d’authentification pour vous connecter à votre ressource HTTP locale
Gateway gatewaySetting Passerelle locale (voir https://docs.microsoft.com/data-integration/gateway pour plus d’informations

Limites de limitation

Nom Appels Période de renouvellement
Appels d’API par connexion 100 60 secondes

Actions

Appeler une requête HTTP

Appelle un point de terminaison HTTP.
Obtenir une ressource web

Récupère une ressource web en émettant une requête HTTP GET.

Appeler une requête HTTP

ID de l’opération :
InvokeHttp

Appelle un point de terminaison HTTP.

Paramètres

Nom Clé Obligatoire Type Description
Méthode
 method True string

Un des verbes HTTP connus : GET, DELETE, PATCH, POST, PUT.
URL de la demande
 url True string

URL complète ou relative de la ressource. S’il s’agit d’une URL complète, elle doit correspondre à l’URL de ressource de base définie dans la connexion.
headers
 headers object

En-têtes de la requête.
Corps de la demande
 body string

Corps de la requête lorsque la méthode l’exige.

Retourne

Contenu de la réponse.

Corps
string

Obtenir une ressource web

ID de l’opération :
GetFileContent

Récupère une ressource web en émettant une requête HTTP GET.

Paramètres

Nom Clé Obligatoire Type Description
Chemin d’accès aux ressources
 path True string

Identificateur de fichier

Retourne

Contenu du fichier.

Contenu du fichier
binary

Définitions

binaire

Il s’agit du type de données de base "binaire".