Protokół HTTP z identyfikatorem Entra firmy Microsoft (wstępnie uwierzytelniony)
Użyj łącznika HTTP, aby pobrać zasoby z różnych usług sieci Web, uwierzytelnionych przez identyfikator Entra firmy Microsoft lub z lokalnej usługi internetowej.
Ten łącznik jest dostępny w następujących produktach i regionach:
| Usługa | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Wszystkie regiony usługi Power Automate |
| Logic Apps | Standard | Wszystkie regiony usługi Logic Apps z wyjątkiem następujących: - Departament Obrony USA (DoD) |
| Power Apps | Premium | Wszystkie regiony usługi Power Apps |
| Power Automate | Premium | Wszystkie regiony usługi Power Automate |
| Kontakt | |
|---|---|
| Name | Microsoft |
| adres URL |
Obsługa usługi Microsoft LogicApps Pomoc techniczna usługi Microsoft Power Automate Obsługa usługi Microsoft Power Apps |
| Metadane łącznika | |
|---|---|
| Publisher | Microsoft |
Uwaga / Notatka
Łącznik HTTP with Microsoft Entra ID (preauthorized) umożliwia użytkownikom przesyłanie żądań do dowolnego punktu końcowego HTTP obsługującego uwierzytelnianie identyfikatora Entra. W ramach naszych bieżących wysiłków w celu zwiększenia bezpieczeństwa i prywatności danych przejrzeliśmy uprawnienia skojarzone z tym łącznikiem i planujemy zapewnić ulepszone mechanizmy kontroli izolacji tożsamości.
Obecnie łącznik HTTP z usługą Microsoft Entra ID (wstępnie uwierzytelniony) działa za pośrednictwem zaufanej aplikacji firmy Microsoft 1. Ta aplikacja obejmuje wstępne uwierzytelnianie dla różnych usług firmy Microsoft, w tym między innymi programu Microsoft Graph, programu SharePoint i innych ofert firmy Microsoft. To wstępne uwierzytelnianie umożliwia łącznikowi interakcję z tymi usługami przy użyciu delegowanego dostępu w imieniu użytkownika. Należy mieć pewność, że takie podejście w pełni szanuje uprawnienia użytkownika i nie zezwala na dostęp do danych lub akcji poza ich autoryzowanym zakresem.
W przypadku istniejącego łącznika nie ma potrzeby, aby administratorzy jawnie udzielali zgody na wykonywanie akcji przez aplikację w imieniu użytkownika. Udostępniliśmy jednak nową wersję tego łącznika. Nowa wersja łącznika używa nowej aplikacji bez uwierzytelniania wstępnego. Dzięki temu administrator może udzielić dyskretnej zgody.
Jeśli chcesz ograniczyć korzystanie z tego łącznika, możesz skorzystać z istniejących funkcji ochrony przed utratą danych (DLP ). Istnieje możliwość utworzenia nowych zasad lub zaktualizowania istniejącego, aby zablokować wykorzystanie tego łącznika. Należy pamiętać, że niektóre inne łączniki i funkcje zależą od protokołu HTTP z łącznikiem Microsoft Entra ID (wstępnie uwierzytelniony). Aby uzyskać dodatkowe informacje, kliknij tutaj.
Obsługa sieci wirtualnej (delegowanie podsieci)
Gdy łącznik jest używany w środowisku Power Platform połączonym z siecią wirtualną, obowiązują ograniczenia:
- Następujące akcje nie są obsługiwane:
Znane problemy i ograniczenia
Łącznik koduje treść żądania do kodowania base64, dlatego należy go używać do wywoływania usług zaplecza, które oczekują treści żądania w tym formacie. Nie można użyć tego łącznika do wywołania usługi zaplecza, która oczekuje treści żądania w nieprzetworzonym formacie binarnym.
Jeśli wystąpi błąd podobny do następującego:
{ "error": { "code": "Forbidden", "message": "" } }-
{ "error": { "code": "Authorization_RequestDenied", "message": "Insufficient privileges to complete the operation." } }może to być spowodowane tym, że ten łącznik ma ograniczony zestaw zakresów. - Użytkownicy mogą również napotkać błędy przed autoryzacją podczas nawiązywania połączenia z niektórymi zasobami, które nie są obsługiwane.
- Jeśli twój scenariusz wymaga czegoś bardziej zaawansowanego, użyj łącznika "HTTP" lub utwórz łącznik niestandardowy.
Łącznik jest oparty na rejestracji aplikacji z wieloma dzierżawami. Aplikacja nie może określić dzierżawy, z której pochodzi użytkownik, dopóki użytkownik nie zaloguje się do niej. W związku z tym obsługujemy tylko określanie zasobów w dzierżawie domyślnej użytkowników ('common').
Zasoby oparte na usłudze ADFS SSO (Microsoft Entra ID Federation Services dla pojedynczego Sign-On) nie są obsługiwane. Aby obejść ten problem, użyj łącznika "HTTP".
W przypadku korzystania z tego łącznika w środowisku chmury krajowej zasób musi być odpowiednikiem punktu końcowego chmury krajowej. Próby nawiązania połączenia z chmurą publiczną (https://graph.microsoft.comhttps://bing.comna przykład) z większości środowisk chmury krajowej kończą się niepowodzeniem z powodu błędu przed autoryzacją.
- Środowiska GCC i Fairfax mogą nadal korzystać z punktów końcowych chmury publicznej (https://graph.microsoft.comna przykład).
- GCC-High przykład zasobu: https://graph.microsoft.us.
- Przykład zasobu w Chinach: https://microsoftgraph.chinacloudapi.cn.
Użycie nagłówka żądania autoryzacji plików cookie nie jest obsługiwane w przypadku połączenia z włączoną lokalną bramą danych.
Wzorzec asynchroniczny oparty na nagłówku location odpowiedzi nie jest obsługiwany. Zamiast tego użyj łącznika usługi Azure Resource Manager , jeśli ma to zastosowanie.
Aby łącznik "HTTP with Microsoft Entra ID" mógł pomyślnie pobrać dane z innej usługi, aplikacja używana przez łącznik musi mieć dostęp do wymaganego zakresu. Aby uzyskać szczegółowe informacje na temat udzielania wymaganego dostępu do aplikacji, zobacz Autoryzowanie aplikacji do działania w imieniu zalogowanego użytkownika. Jeśli wymagany dostęp nie zostanie udzielony, podczas próby utworzenia połączenia może zostać wyświetlony jeden z następujących błędów:
Consent Required: To enable the HTTP With Microsoft Entra ID connector to access resources on behalf of a signed-in user, grant consent to this application.
Jeśli zakres (uprawnienie) został udzielony, ale nie wszystkie wymagane zakresy zostaną uwzględnione, utworzenie połączenia powiedzie się, ale w czasie wykonywania wystąpi błąd Zabronione (403). Szczegóły błędu mogą zawierać dodatkowe informacje, takie jak:
"code": "Authorization_RequestDenied" "message": "Insufficient privileges to complete the operation."Jeśli występują problemy z tworzeniem połączenia lub występuje błąd wokół brakującej wartości parametru, spróbuj utworzyć połączenie ze starym projektantem usługi Power Automate zamiast nowego projektanta.
Usunięcie lub dodanie wstępnego uwierzytelniania może potrwać do 1 godziny, aby odzwierciedlić połączenia istniejące przed aktualizacją. Jednak nowe połączenia powinny odzwierciedlać zaktualizowane autoryzacje natychmiast.
Autoryzowanie łącznika do działania w imieniu zalogowanego użytkownika
Jako użytkownik z rolą administratora globalnego musisz utworzyć element oAuth2PermissionGrants , aby zatwierdzić niezbędne uprawnienia (zakresy) dla wymaganej usługi.
Jeśli na przykład używasz programu Microsoft Graph (https://graph.microsoft.com) i chcesz odczytać informacje kalendarza, możesz skorzystać z dokumentacji programu Graph , aby zidentyfikować wymagane uprawnienia (Calendar.Read). Udzielając aplikacji (używanej przez łącznik) zakresu Calendar.Read, aplikacja będzie zezwalać aplikacji na dostęp do tych danych z usługi w imieniu użytkownika. Należy pamiętać, że dane, do których można uzyskać dostęp przez aplikację, są nadal ograniczone do danych, do których użytkownik ma dostęp w usłudze. Nie można użyć witryny Azure Portal, aby wyrazić zgodę na tę aplikację. Z tego powodu skrypt programu PowerShell został utworzony przez firmę Microsoft w celu uproszczenia udzielania zgody na aplikację używaną przez protokół HTTP z łącznikiem Microsoft Entra ID.
Ważne
Aby uruchomić ten skrypt, należy zainstalować program PowerShell w wersji 7 lub nowszej.
Pobierz wymagany skrypt programu PowerShell z tego miejsca lub utwórz skrypt o nazwie "ManagePermissionGrant.ps1" odwołując się do kroków wymienionych tutaj. Ten skrypt jest przeznaczony głównie do celów referencyjnych. Skrypt można zmodyfikować zgodnie z przypadkiem użycia.
Kliknij prawym przyciskiem myszy pobrany plik ManagePermissionGrant.ps1, a następnie kliknij polecenie Właściwości.
Kliknij pole wyboru Odblokuj , a następnie kliknij przycisk OK.
Jeśli pole wyboru Odblokuj nie zostanie zaznaczone, zostanie wyświetlony błąd wskazujący, że nie można załadować skryptu, ponieważ nie jest podpisany cyfrowo.
Otwórz okno polecenia programu PowerShell.
Zmień ścieżkę do lokalizacji, w której pobrano skrypt.
Wpisz następujące polecenie i naciśnij Enter:
.\ ManagePermissionGrant.ps1
Zostanie wyświetlony monit o wybranie opcji uwierzytelniania w globalnej (zalecanej) platformy Azure lub wybrania z listy (zaawansowane). Jeśli nie łączysz się z subskrypcjami w stanach US Gov, US Gov DoD, Chinach lub Niemczech, naciśnij Enter.
Jeśli jeszcze tego nie zrobiono, może zostać wyświetlony monit o uwierzytelnienie na platformie tożsamości firmy Microsoft w nowym oknie przeglądarki. Uwierzytelnij się jako użytkownik przy użyciu roli administratora globalnego.
Aby udzielić zgody na niektóre z najczęściej używanych usług, takich jak Microsoft Graph lub SharePoint, naciśnij Enter. Jeśli usługa, której chcesz wyrazić zgodę, nie znajduje się na liście najczęściej używanych aplikacji, użyj opcji A.
Zostanie wyświetlone okno dialogowe. Wybierz aplikację, którą chcesz wyrazić zgodę na zezwolenie łącznikowi na działanie w imieniu użytkownika. Możesz użyć pola tekstowego u góry, aby filtrować wyniki.
Kliknij przycisk OK.
Wybierz co najmniej jeden zakres (uprawnienia), na które chcesz wyrazić zgodę, a następnie kliknij przycisk OK. Wiele zakresów można wybrać, naciskając i trzymając CTRL podczas wybierania wierszy.
W oknie programu PowerShell zostanie wyświetlony monit o wybranie typu zgody. Możesz wybrać, czy zezwolić aplikacji na działanie w imieniu dowolnego zalogowanego użytkownika, czy też chcesz ograniczyć zgodę określonego użytkownika. Jeśli chcesz wyrazić zgodę dla wszystkich użytkowników, naciśnij Enter. Jeśli chcesz wyrazić zgodę tylko dla określonego użytkownika, wpisz N , a następnie naciśnij Enter. Jeśli zdecydujesz się wyrazić zgodę dla określonego użytkownika, zostanie wyświetlony monit o wybranie użytkownika.
Jeśli zgoda na jakiekolwiek zakresy już istnieje dla wybranego zasobu, zostanie wyświetlony monit o wybranie, czy chcesz najpierw usunąć istniejące dotacje. Jeśli chcesz usunąć istniejące dotacje, wpisz Y i naciśnij Enter. Jeśli chcesz zachować istniejące dotacje, naciśnij Enter.
Podsumowanie wybranych zakresów zostanie wyświetlone w oknie programu PowerShell. Jeśli chcesz kontynuować udzielanie wybranych zakresów, wpisz Y , a następnie naciśnij Enter.
Jeśli skrypt może pomyślnie udzielić zgody, zostanie wyświetlony komunikat informujący o zakończeniu wykonywania skryptu.
Tworzenie połączenia
Łącznik obsługuje następujące typy uwierzytelniania:
| Logowanie przy użyciu bramy podstawowej | Nawiązywanie połączenia z zasobami HTTP przy użyciu podstawowej bramy internetowej | Wszystkie regiony | Udostępnialne |
| Logowanie przy użyciu uwierzytelniania certyfikatu klienta | Podaj poświadczenia identyfikatora entra firmy Microsoft przy użyciu certyfikatu PFX i hasła | Wszystkie regiony | Udostępnialne |
| Logowanie przy użyciu bramy systemu Windows | Nawiązywanie połączenia z zasobami HTTP przy użyciu lokalnej bramy systemu Windows | Wszystkie regiony | Udostępnialne |
| Logowanie przy użyciu bramy anonoymicznej | Nawiązywanie połączenia z zasobami HTTP przy użyciu bramy anonimowej | Wszystkie regiony | Udostępnialne |
| Zaloguj się przy użyciu identyfikatora Entra firmy Microsoft | Zaloguj się przy użyciu poświadczeń identyfikatora entra firmy Microsoft | Wszystkie regiony | Udostępnialne |
| Domyślne [PRZESTARZAŁE] | Ta opcja dotyczy tylko starszych połączeń bez jawnego typu uwierzytelniania i jest dostępna tylko w celu zapewnienia zgodności z poprzednimi wersjami. | Wszystkie regiony | Nie można udostępniać |
Logowanie przy użyciu bramy podstawowej
Identyfikator uwierzytelniania: BasicGateway
Dotyczy: Wszystkie regiony
Nawiązywanie połączenia z zasobami HTTP przy użyciu podstawowej bramy internetowej
Jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power jest udostępniana innemu użytkownikowi, połączenie jest również udostępniane. Aby uzyskać więcej informacji, zobacz Omówienie łączników dla aplikacji kanwy — Power Apps | Microsoft Docs
| Name | Typ | Description | Wymagane |
|---|---|---|---|
| Podstawowy adres URL zasobu | ciąg | Określ podstawowy adres URL zasobów HTTP lub identyfikator aplikacji (klienta) w postaci identyfikatora GUID, z którym chcesz nawiązać połączenie. | Prawda |
| Nazwa użytkownika | securestring | Poświadczenia nazwy użytkownika | |
| Hasło | securestring | Poświadczenie hasła | |
| Gateway | gatewaySetting | Brama lokalna (zobacz, aby https://docs.microsoft.com/data-integration/gateway uzyskać więcej informacji |
Logowanie przy użyciu uwierzytelniania certyfikatu klienta
Identyfikator uwierzytelniania: CertOauth
Dotyczy: Wszystkie regiony
Podaj poświadczenia identyfikatora entra firmy Microsoft przy użyciu certyfikatu PFX i hasła
Jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power jest udostępniana innemu użytkownikowi, połączenie jest również udostępniane. Aby uzyskać więcej informacji, zobacz Omówienie łączników dla aplikacji kanwy — Power Apps | Microsoft Docs
| Name | Typ | Description | Wymagane |
|---|---|---|---|
| Identyfikator URI zasobu identyfikatora entra firmy Microsoft (identyfikator URI identyfikatora aplikacji) | ciąg | Identyfikator używany w identyfikatorze Entra firmy Microsoft do identyfikowania zasobu docelowego. W przypadku usług SharePoint Online i OneDrive dla Firm użyj https://{contoso}.sharepoint.com. Zazwyczaj jest to podstawowy adres URL zasobu. | Prawda |
| Podstawowy adres URL zasobu | ciąg | Określ podstawowy adres URL zasobów HTTP lub identyfikator aplikacji (klienta) w postaci identyfikatora GUID, z którym chcesz nawiązać połączenie. | Prawda |
| Tenant | ciąg | Prawda | |
| ID klienta | ciąg | Identyfikator klienta aplikacji Microsoft Entra ID | Prawda |
| Klucz tajny certyfikatu klienta | certyfikat klienta | Klucz tajny certyfikatu klienta dozwolony przez tę aplikację | Prawda |
Logowanie przy użyciu bramy systemu Windows
Identyfikator uwierzytelniania: WindowsGateway
Dotyczy: Wszystkie regiony
Nawiązywanie połączenia z zasobami HTTP przy użyciu lokalnej bramy systemu Windows
Jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power jest udostępniana innemu użytkownikowi, połączenie jest również udostępniane. Aby uzyskać więcej informacji, zobacz Omówienie łączników dla aplikacji kanwy — Power Apps | Microsoft Docs
| Name | Typ | Description | Wymagane |
|---|---|---|---|
| Podstawowy adres URL zasobu | ciąg | Określ podstawowy adres URL zasobów HTTP lub identyfikator aplikacji (klienta) w postaci identyfikatora GUID, z którym chcesz nawiązać połączenie. | Prawda |
| Nazwa użytkownika | securestring | Poświadczenia nazwy użytkownika | |
| Hasło | securestring | Poświadczenie hasła | |
| Gateway | gatewaySetting | Brama lokalna (zobacz, aby https://docs.microsoft.com/data-integration/gateway uzyskać więcej informacji |
Logowanie przy użyciu bramy anonoymicznej
Identyfikator uwierzytelniania: AnonymousGateway
Dotyczy: Wszystkie regiony
Nawiązywanie połączenia z zasobami HTTP przy użyciu bramy anonimowej
Jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power jest udostępniana innemu użytkownikowi, połączenie jest również udostępniane. Aby uzyskać więcej informacji, zobacz Omówienie łączników dla aplikacji kanwy — Power Apps | Microsoft Docs
| Name | Typ | Description | Wymagane |
|---|---|---|---|
| Podstawowy adres URL zasobu | ciąg | Określ podstawowy adres URL zasobów HTTP lub identyfikator aplikacji (klienta) w postaci identyfikatora GUID, z którym chcesz nawiązać połączenie. | Prawda |
| Nazwa użytkownika | securestring | Poświadczenia nazwy użytkownika | |
| Hasło | securestring | Poświadczenie hasła | |
| Gateway | gatewaySetting | Brama lokalna (zobacz, aby https://docs.microsoft.com/data-integration/gateway uzyskać więcej informacji |
Zaloguj się przy użyciu identyfikatora Entra firmy Microsoft
Identyfikator uwierzytelniania: EntraAuth
Dotyczy: Wszystkie regiony
Zaloguj się przy użyciu poświadczeń identyfikatora entra firmy Microsoft
Jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power jest udostępniana innemu użytkownikowi, połączenie jest również udostępniane. Aby uzyskać więcej informacji, zobacz Omówienie łączników dla aplikacji kanwy — Power Apps | Microsoft Docs
| Name | Typ | Description | Wymagane |
|---|---|---|---|
| Identyfikator URI zasobu identyfikatora entra firmy Microsoft (identyfikator URI identyfikatora aplikacji) | ciąg | Identyfikator używany w identyfikatorze Entra firmy Microsoft do identyfikowania zasobu docelowego. W przypadku usług SharePoint Online i OneDrive dla Firm użyj https://{contoso}.sharepoint.com. Zazwyczaj jest to podstawowy adres URL zasobu. | Prawda |
| Podstawowy adres URL zasobu | ciąg | Określ podstawowy adres URL zasobów HTTP lub identyfikator aplikacji (klienta) w postaci identyfikatora GUID, z którym chcesz nawiązać połączenie. | Prawda |
Domyślne [PRZESTARZAŁE]
Dotyczy: Wszystkie regiony
Ta opcja dotyczy tylko starszych połączeń bez jawnego typu uwierzytelniania i jest dostępna tylko w celu zapewnienia zgodności z poprzednimi wersjami.
Nie jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power zostanie udostępniona innemu użytkownikowi, zostanie wyświetlony monit o jawne utworzenie nowego połączenia.
| Name | Typ | Description | Wymagane |
|---|---|---|---|
| Identyfikator URI zasobu identyfikatora entra firmy Microsoft (identyfikator URI identyfikatora aplikacji) | ciąg | Identyfikator używany w identyfikatorze Entra firmy Microsoft do identyfikowania zasobu docelowego. W przypadku usług SharePoint Online i OneDrive dla Firm użyj https://{contoso}.sharepoint.com. Zazwyczaj jest to podstawowy adres URL zasobu. | Prawda |
| Podstawowy adres URL zasobu | ciąg | Określ podstawowy adres URL zasobów HTTP lub identyfikator aplikacji (klienta) w postaci identyfikatora GUID, z którym chcesz nawiązać połączenie. | Prawda |
| Nazwa użytkownika | securestring | Poświadczenia nazwy użytkownika | |
| Hasło | securestring | Poświadczenie hasła | |
| Typ uwierzytelniania | ciąg | Typ uwierzytelniania, aby nawiązać połączenie z lokalnym zasobem HTTP | |
| Gateway | gatewaySetting | Brama lokalna (zobacz, aby https://docs.microsoft.com/data-integration/gateway uzyskać więcej informacji |
Limity ograniczania przepustowości
| Nazwa | Wywołania | Okres odnowienia |
|---|---|---|
| Wywołania interfejsu API na połączenie | 100 | 60 sekund |
Akcje
| Pobieranie zasobu internetowego |
Pobiera zasób internetowy, wysyłając żądanie HTTP GET. |
| Wywoływanie żądania HTTP |
Wywołuje punkt końcowy HTTP. |
Pobieranie zasobu internetowego
Pobiera zasób internetowy, wysyłając żądanie HTTP GET.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Ścieżka zasobu
|
path | True | string |
Identyfikator pliku |
Zwraca
Zawartość pliku.
- Zawartość pliku
- binary
Wywoływanie żądania HTTP
Wywołuje punkt końcowy HTTP.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Metoda
|
method | True | string |
Jedno ze znanych czasowników HTTP: GET, DELETE, PATCH, POST, PUT. |
|
Adres URL żądania
|
url | True | string |
Pełny lub względny adres URL zasobu. Jeśli jest to pełny adres URL, musi być zgodny z podstawowym adresem URL zasobu ustawionym w połączeniu. |
|
Nagłówki
|
headers | object |
Nagłówki żądania. |
|
|
Treść żądania
|
body | string |
Treść żądania, gdy metoda tego wymaga. |
Zwraca
Zawartość odpowiedzi.
- Body
- string
Definicje
binarny
Jest to podstawowy typ danych "binary".