HTTP com a ID do Microsoft Entra

Use o conector HTTP para buscar recursos de vários serviços Web, autenticados pela ID do Microsoft Entra ou de um serviço Web local.

Esse conector está disponível nos seguintes produtos e regiões:

Problemas e limitações conhecidos

1. Para que o conector 'HTTP com o Microsoft Entra ID' recupere dados com êxito de outro serviço, o aplicativo usado pelo conector deve ter acesso ao escopo necessário. Para obter detalhes sobre como conceder o acesso necessário ao aplicativo, consulte Autorizar o aplicativo a agir em nome de um usuário conectado. Se o acesso necessário não for concedido, você poderá receber um dos seguintes erros ao tentar criar a conexão:

   Consent Required: To enable the HTTP With Microsoft Entra ID connector to access resources on behalf of a signed-in user, grant consent to this application.
   

   

   Se um escopo (permissão) tiver sido concedido, mas nem todos os escopos necessários forem incluídos, a criação da conexão será bem-sucedida, mas você encontrará um erro Proibido (403) em runtime. Os detalhes do erro podem incluir informações adicionais, como:

   "code": "Authorization_RequestDenied"
   "message": "Insufficient privileges to complete the operation." 
   

2. O conector codifica o corpo da solicitação na codificação base64, portanto, ele deve ser usado para chamar serviços de back-end que esperam o corpo da solicitação nesse formato. Você não pode usar esse conector para chamar um serviço de back-end que espera o corpo da solicitação em formato binário bruto.

3. O conector é baseado no registro de aplicativo multilocatário. O aplicativo não pode informar de que locatário o usuário é até que o usuário entre nele. Portanto, só damos suporte à especificação de recursos no locatário padrão dos usuários ('comum').

4. Não há suporte para recursos baseados no SSO do ADFS (Serviços de Federação do Microsoft Entra ID para Sign-OnÚnico). Como solução alternativa, use o conector "HTTP".

5. Ao usar esse conector em um ambiente de nuvem nacional, o recurso deve ser seu equivalente de ponto de extremidade de nuvem nacional. As tentativas de tentar se conectar à nuvem pública (https://graph.microsoft.comhttps://bing.compor exemplo) da maioria dos ambientes de nuvem nacionais falharão com um erro de pré-autorização.

   • Os ambientes GCC e Fairfax podem continuar a usar pontos de extremidade de nuvem pública (https://graph.microsoft.compor exemplo).
   • GCC-High exemplo de recurso: https://graph.microsoft.us.
   • Exemplo de recurso da China: https://microsoftgraph.chinacloudapi.cn.

6. Não há suporte para o uso do cabeçalho de solicitação de autorização de cookie no caso de conexão habilitada para gateway de dados local.

7. Não há suporte para o padrão assíncrono com base no cabeçalho local da resposta. Use o conector do Azure Resource Manager , se aplicável.

8. A ação "Obter Conteúdo do Arquivo" não está disponível neste conector porque é semelhante à ação "Invocar HTTP". A única distinção entre os dois é que a ação anterior codifica a resposta. Portanto, para obter a resposta codificada em base64, você pode simplesmente transferir sua resposta da ação "Invocar HTTP" para uma das ações de codificação disponíveis.

9. Remover ou adicionar pré-autenticações pode levar até 1 hora para refletir para conexões existentes antes da atualização. No entanto, novas conexões devem refletir as autorizações atualizadas instantaneamente.

10. Se forem enfrentados problemas ao criar uma conexão ou se um erro for recebido em torno de um valor de parâmetro ausente, tente criar uma conexão com o Designer Antigo do Power Automate em vez do Novo Designer.

Autorizar o conector a agir em nome de um usuário conectado

Como um usuário com a função de Administrador Global, você precisa criar oAuth2PermissionGrants para aprovar as permissões necessárias (escopos) para o serviço necessário.

Por exemplo, se você estiver usando o Microsoft Graph (https://graph.microsoft.com) e precisar ler informações do calendário, poderá seguir a documentação do Graph para identificar as permissões necessárias (Calendar.Read). Ao conceder ao aplicativo (usado pelo conector) o escopo Calendar.Read, ele permitirá que o aplicativo acesse esses dados do serviço em nome do usuário. Uma coisa importante a observar é que os dados que podem ser acessados pelo aplicativo ainda estão limitados aos dados aos quais o usuário tem acesso no serviço. Não é possível usar o Portal do Azure para conceder consentimento a este aplicativo. Por esse motivo, um script do PowerShell foi criado pela Microsoft para simplificar a concessão de consentimento ao aplicativo usado pelo HTTP com o conector da ID do Microsoft Entra.

1. Baixe o script necessário do PowerShell daqui ou crie um script chamado 'ManagePermissionGrant.ps1' referindo-se às etapas mencionadas aqui. Esse script é principalmente para referência, você pode modificar o script de acordo com seu caso de uso.

2. Clique com o botão direito do mouse no arquivo ManagePermissionGrant.ps1 baixado e clique em Propriedades.

3. Clique na caixa de seleção Desbloquear e clique em OK.

   

   Se você não verificar a caixa de seleção Desbloquear, receberá um erro indicando que o script não pode ser carregado porque ele não está assinado digitalmente.

4. Abra uma janela de comando do PowerShell.

5. Altere o caminho para o local onde você baixou o script.

6. Digite o seguinte comando e pressione Enter:

   .\ ManagePermissionGrant.ps1
   

   

7. Você será solicitado a escolher se deseja autenticar no Azure Global (recomendado) ou selecionar em uma lista (avançada). Se você não estiver se conectando a assinaturas no US Gov, US Gov DoD, China ou Alemanha, pressione Enter.

   

8. Se você ainda não fez isso, talvez seja solicitado que você se autentique na plataforma de identidade da Microsoft em uma nova janela do navegador. Autentique-se como um usuário com a função de Administrador Global.

9. Para conceder consentimento a alguns dos serviços mais usados, como Microsoft Graph ou SharePoint, pressione Enter. Se o serviço ao qual você precisa consentir não estiver na lista de aplicativos comumente usados, use a opção A.

   

10. Uma caixa de diálogo será exibida. Selecione o aplicativo que você deseja consentir em permitir que o conector atue em nome de um usuário. Você pode usar a caixa de texto na parte superior para filtrar os resultados.

    

11. Clique em OK.

12. Selecione um ou mais escopos (permissões) que você deseja consentir e clique em OK. Vários escopos podem ser selecionados pressionando e segurando a tecla CTRL durante a seleção de linhas.

13. Na janela do PowerShell, você será solicitado a escolher o tipo de consentimento. Você pode escolher se deseja permitir que o aplicativo aja em nome de qualquer usuário conectado ou se deseja limitar o consentimento a um usuário específico. Se você quiser fornecer consentimento para todos os usuários, pressione Enter. Se você quiser fornecer consentimento apenas para um usuário específico, digite N e pressione Enter. Se você optar por consentir com um usuário específico, será solicitado que você selecione o usuário.

14. Se o consentimento para quaisquer escopos já existirem para o recurso selecionado, você será solicitado a escolher se deseja excluir as concessões existentes primeiro. Se você quiser excluir as concessões existentes, digite Y e pressione Enter. Se você quiser manter as concessões existentes, pressione Enter.

15. Um resumo dos escopos selecionados será exibido na janela do PowerShell. Se você quiser continuar concedendo os escopos selecionados, digite Y e pressione Enter.

16. Se o script puder conceder o consentimento com êxito, você verá uma mensagem informando que a execução do script foi concluída.

Criando uma conexão

O conector dá suporte aos seguintes tipos de autenticação:

Padrão

Aplicável: todas as regiões

Parâmetros para criar conexão.

Essa não é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.

Limitações

Ações

Invocar uma solicitação HTTP