HTTP z identyfikatorem Entra firmy Microsoft

Użyj łącznika HTTP, aby pobrać zasoby z różnych usług sieci Web, uwierzytelnionych przez identyfikator Entra firmy Microsoft lub z lokalnej usługi internetowej.

Ten łącznik jest dostępny w następujących produktach i regionach:

Znane problemy i ograniczenia

1. Aby łącznik "HTTP with Microsoft Entra ID" mógł pomyślnie pobrać dane z innej usługi, aplikacja używana przez łącznik musi mieć dostęp do wymaganego zakresu. Aby uzyskać szczegółowe informacje na temat udzielania wymaganego dostępu do aplikacji, zobacz Autoryzowanie aplikacji do działania w imieniu zalogowanego użytkownika. Jeśli wymagany dostęp nie zostanie udzielony, podczas próby utworzenia połączenia może zostać wyświetlony jeden z następujących błędów:

   Consent Required: To enable the HTTP With Microsoft Entra ID connector to access resources on behalf of a signed-in user, grant consent to this application.
   

   

   Jeśli zakres (uprawnienie) został udzielony, ale nie wszystkie wymagane zakresy zostaną uwzględnione, utworzenie połączenia powiedzie się, ale w czasie wykonywania wystąpi błąd Zabronione (403). Szczegóły błędu mogą zawierać dodatkowe informacje, takie jak:

   "code": "Authorization_RequestDenied"
   "message": "Insufficient privileges to complete the operation." 
   

2. Łącznik koduje treść żądania do kodowania base64, dlatego należy go używać do wywoływania usług zaplecza, które oczekują treści żądania w tym formacie. Nie można użyć tego łącznika do wywołania usługi zaplecza, która oczekuje treści żądania w nieprzetworzonym formacie binarnym.

3. Łącznik jest oparty na rejestracji aplikacji z wieloma dzierżawami. Aplikacja nie może określić dzierżawy, z której pochodzi użytkownik, dopóki użytkownik nie zaloguje się do niej. W związku z tym obsługujemy tylko określanie zasobów w dzierżawie domyślnej użytkowników ('common').

4. Zasoby oparte na usłudze ADFS SSO (Microsoft Entra ID Federation Services dla pojedynczego Sign-On) nie są obsługiwane. Aby obejść ten problem, użyj łącznika "HTTP".

5. W przypadku korzystania z tego łącznika w środowisku chmury krajowej zasób musi być odpowiednikiem punktu końcowego chmury krajowej. Próby nawiązania połączenia z chmurą publiczną (https://graph.microsoft.comhttps://bing.comna przykład) z większości środowisk chmury krajowej kończą się niepowodzeniem z powodu błędu przed autoryzacją.

   • Środowiska GCC i Fairfax mogą nadal korzystać z punktów końcowych chmury publicznej (https://graph.microsoft.comna przykład).
   • GCC-High przykład zasobu: https://graph.microsoft.us.
   • Przykład zasobu w Chinach: https://microsoftgraph.chinacloudapi.cn.

6. Użycie nagłówka żądania autoryzacji plików cookie nie jest obsługiwane w przypadku połączenia z włączoną lokalną bramą danych.

7. Wzorzec asynchroniczny oparty na nagłówku location odpowiedzi nie jest obsługiwany. Zamiast tego użyj łącznika usługi Azure Resource Manager , jeśli ma to zastosowanie.

8. Akcja "Pobierz zawartość pliku" nie jest dostępna w tym łączniku, ponieważ jest ona ściśle podobna do akcji "Wywołaj http". Jedyną różnicą między nimi jest to, że pierwsza akcja koduje odpowiedź. W związku z tym, aby uzyskać odpowiedź zakodowaną w formacie base64, możesz po prostu przenieść odpowiedź z akcji "Wywołaj protokół HTTP" do jednej z dostępnych akcji kodowania.

9. Usunięcie lub dodanie wstępnego uwierzytelniania może potrwać do 1 godziny, aby odzwierciedlić połączenia istniejące przed aktualizacją. Jednak nowe połączenia powinny odzwierciedlać zaktualizowane autoryzacje natychmiast.

10. Jeśli występują problemy z tworzeniem połączenia lub występuje błąd wokół brakującej wartości parametru, spróbuj utworzyć połączenie ze starym projektantem usługi Power Automate zamiast nowego projektanta.

Autoryzowanie łącznika do działania w imieniu zalogowanego użytkownika

Jako użytkownik z rolą administratora globalnego musisz utworzyć element oAuth2PermissionGrants , aby zatwierdzić niezbędne uprawnienia (zakresy) dla wymaganej usługi.

Jeśli na przykład używasz programu Microsoft Graph (https://graph.microsoft.com) i chcesz odczytać informacje kalendarza, możesz skorzystać z dokumentacji programu Graph , aby zidentyfikować wymagane uprawnienia (Calendar.Read). Udzielając aplikacji (używanej przez łącznik) zakresu Calendar.Read, aplikacja będzie zezwalać aplikacji na dostęp do tych danych z usługi w imieniu użytkownika. Należy pamiętać, że dane, do których można uzyskać dostęp przez aplikację, są nadal ograniczone do danych, do których użytkownik ma dostęp w usłudze. Nie można użyć witryny Azure Portal, aby wyrazić zgodę na tę aplikację. Z tego powodu skrypt programu PowerShell został utworzony przez firmę Microsoft w celu uproszczenia udzielania zgody na aplikację używaną przez protokół HTTP z łącznikiem Microsoft Entra ID.

1. Pobierz wymagany skrypt programu PowerShell z tego miejsca lub utwórz skrypt o nazwie "ManagePermissionGrant.ps1" odwołując się do kroków wymienionych tutaj. Ten skrypt jest przeznaczony głównie do celów referencyjnych. Skrypt można zmodyfikować zgodnie z przypadkiem użycia.

2. Kliknij prawym przyciskiem myszy pobrany plik ManagePermissionGrant.ps1, a następnie kliknij polecenie Właściwości.

3. Kliknij pole wyboru Odblokuj , a następnie kliknij przycisk OK.

   

   Jeśli pole wyboru Odblokuj nie zostanie zaznaczone, zostanie wyświetlony błąd wskazujący, że nie można załadować skryptu, ponieważ nie jest podpisany cyfrowo.

4. Otwórz okno polecenia programu PowerShell.

5. Zmień ścieżkę do lokalizacji, w której pobrano skrypt.

6. Wpisz następujące polecenie i naciśnij Enter:

   .\ ManagePermissionGrant.ps1
   

   

7. Zostanie wyświetlony monit o wybranie opcji uwierzytelniania w globalnej (zalecanej) platformy Azure lub wybrania z listy (zaawansowane). Jeśli nie łączysz się z subskrypcjami w stanach US Gov, US Gov DoD, Chinach lub Niemczech, naciśnij Enter.

   

8. Jeśli jeszcze tego nie zrobiono, może zostać wyświetlony monit o uwierzytelnienie na platformie tożsamości firmy Microsoft w nowym oknie przeglądarki. Uwierzytelnij się jako użytkownik przy użyciu roli administratora globalnego.

9. Aby udzielić zgody na niektóre z najczęściej używanych usług, takich jak Microsoft Graph lub SharePoint, naciśnij Enter. Jeśli usługa, której chcesz wyrazić zgodę, nie znajduje się na liście najczęściej używanych aplikacji, użyj opcji A.

   

10. Zostanie wyświetlone okno dialogowe. Wybierz aplikację, którą chcesz wyrazić zgodę na zezwolenie łącznikowi na działanie w imieniu użytkownika. Możesz użyć pola tekstowego u góry, aby filtrować wyniki.

    

11. Kliknij przycisk OK.

12. Wybierz co najmniej jeden zakres (uprawnienia), na które chcesz wyrazić zgodę, a następnie kliknij przycisk OK. Wiele zakresów można wybrać, naciskając i trzymając CTRL podczas wybierania wierszy.

13. W oknie programu PowerShell zostanie wyświetlony monit o wybranie typu zgody. Możesz wybrać, czy zezwolić aplikacji na działanie w imieniu dowolnego zalogowanego użytkownika, czy też chcesz ograniczyć zgodę określonego użytkownika. Jeśli chcesz wyrazić zgodę dla wszystkich użytkowników, naciśnij Enter. Jeśli chcesz wyrazić zgodę tylko dla określonego użytkownika, wpisz N , a następnie naciśnij Enter. Jeśli zdecydujesz się wyrazić zgodę dla określonego użytkownika, zostanie wyświetlony monit o wybranie użytkownika.

14. Jeśli zgoda na jakiekolwiek zakresy już istnieje dla wybranego zasobu, zostanie wyświetlony monit o wybranie, czy chcesz najpierw usunąć istniejące dotacje. Jeśli chcesz usunąć istniejące dotacje, wpisz Y i naciśnij Enter. Jeśli chcesz zachować istniejące dotacje, naciśnij Enter.

15. Podsumowanie wybranych zakresów zostanie wyświetlone w oknie programu PowerShell. Jeśli chcesz kontynuować udzielanie wybranych zakresów, wpisz Y , a następnie naciśnij Enter.

16. Jeśli skrypt może pomyślnie udzielić zgody, zostanie wyświetlony komunikat informujący o zakończeniu wykonywania skryptu.

Tworzenie połączenia

Łącznik obsługuje następujące typy uwierzytelniania:

Domyślny

Dotyczy: Wszystkie regiony

Parametry tworzenia połączenia.

Nie jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power zostanie udostępniona innemu użytkownikowi, zostanie wyświetlony monit o jawne utworzenie nowego połączenia.

Limity ograniczania

Akcje

Wywoływanie żądania HTTP