HTTP com ID do Microsoft Entra

Use o conector HTTP para buscar recursos de vários serviços Web, autenticados pelo ID do Microsoft Entra ou de um serviço Web local.

Este conector está disponível nos seguintes produtos e regiões:

Problemas conhecidos e limitações

1. Para que o conector 'HTTP com Microsoft Entra ID' recupere dados de outro serviço com êxito, o aplicativo usado pelo conector deve ter acesso ao escopo necessário. Para obter detalhes sobre como conceder o acesso necessário ao aplicativo, consulte Autorizar o aplicativo a agir em nome de um usuário conectado. Se o acesso necessário não for concedido, poderá receber um dos seguintes erros quando tentar criar a ligação:

   Consent Required: To enable the HTTP With Microsoft Entra ID connector to access resources on behalf of a signed-in user, grant consent to this application.
   

   

   Se um escopo (permissão) tiver sido concedido, mas nem todos os escopos necessários forem incluídos, a criação da conexão será bem-sucedida, mas você encontrará um erro Proibido (403) no tempo de execução. Os detalhes do erro podem incluir informações adicionais, tais como:

   "code": "Authorization_RequestDenied"
   "message": "Insufficient privileges to complete the operation." 
   

2. O conector codifica o corpo da solicitação na codificação base64, portanto, deve ser usado para chamar serviços de back-end que esperam o corpo da solicitação neste formato. Não é possível usar esse conector para chamar um serviço de back-end que espera o corpo da solicitação em formato binário bruto.

3. O conector é baseado no registro de aplicativo multilocatário. O aplicativo não pode dizer de qual locatário o usuário é até que o usuário entre nele. Portanto, suportamos apenas a especificação de recursos no locatário padrão dos usuários ('comum').

4. Não há suporte para recursos baseados em ADFS SSO (Microsoft Entra ID Federation Services for Single Sign-On) . Como solução alternativa, use o conector "HTTP".

5. Ao usar esse conector em um ambiente de nuvem nacional, o recurso deve ser equivalente ao ponto final da nuvem nacional. As tentativas de tentar conectar-se à nuvem pública (https://graph.microsoft.com, https://bing.com por exemplo) a partir da maioria dos ambientes de nuvem nacionais falharão com um erro de pré-autorização.

   • Os ambientes GCC e Fairfax podem continuar a usar pontos de extremidade de nuvem pública (https://graph.microsoft.com, por exemplo).
   • GCC-High exemplo de recurso: https://graph.microsoft.us.
   • Exemplo de recurso da China: https://microsoftgraph.chinacloudapi.cn.

6. O uso do cabeçalho de solicitação de autorização de cookie não é suportado no caso de conexão habilitada para gateway de dados local.

7. Não há suporte para o padrão assíncrono baseado no cabeçalho Local da resposta. Em vez disso, use o conector do Azure Resource Manager , se aplicável.

8. A ação "Obter conteúdo do arquivo" não está disponível neste conector porque é muito semelhante à ação "Invocar HTTP". A única distinção entre as duas é que a primeira ação codifica a resposta. Portanto, para obter a resposta codificada em base64, você pode simplesmente transferir sua resposta da ação "Invocar HTTP" para uma das ações de codificação disponíveis.

9. Remover ou adicionar pré-autorizações pode levar até 1 hora para refletir as conexões existentes antes da atualização. No entanto, as novas conexões devem refletir as autorizações atualizadas instantaneamente.

10. Se forem enfrentados problemas ao criar uma conexão ou se for recebido um erro em torno de um valor de parâmetro ausente, tente criar uma conexão com o Designer Antigo do Power Automatize em vez do Novo Designer.

Autorizar o conector a agir em nome de um usuário conectado

Como um usuário com a função de Administrador Global, você precisa criar oAuth2PermissionGrants para aprovar as permissões (escopos) necessárias para o serviço necessário.

Por exemplo, se você estiver usando o Microsoft Graph (https://graph.microsoft.com) e precisar ler informações de calendário, poderá seguir a documentação do Graph para identificar as permissões necessárias (Calendar.Read). Ao conceder ao aplicativo (usado pelo conector) o escopo Calendar.Read, ele permitirá que o aplicativo acesse esses dados do serviço em nome do usuário. Uma coisa importante a notar é que os dados que podem ser acessados pelo aplicativo ainda estão limitados aos dados aos quais o usuário tem acesso no serviço. Não é possível usar o Portal do Azure para conceder consentimento a este aplicativo. Por esse motivo, um script PowerShell foi criado pela Microsoft para simplificar a concessão de consentimento para o aplicativo usado pelo HTTP com o conector Microsoft Entra ID.

1. Baixe o script PowerShell necessário daqui ou crie um script chamado 'ManagePermissionGrant.ps1' referindo-se às etapas mencionadas aqui. Este script é principalmente para referência, você pode modificar o script de acordo com seu caso de uso.

2. Clique com o botão direito do rato no ficheiro de ManagePermissionGrant.ps1 transferido e, em seguida, clique em Propriedades.

3. Clique na caixa de verificação Desbloquear e, em seguida, clique em OK.

   

   Se você não marcar a caixa de seleção Desbloquear, receberá um erro indicando que o script não pode ser carregado porque não está assinado digitalmente.

4. Abra uma janela de comando do PowerShell.

5. Altere o caminho para o local onde você baixou o script.

6. Digite o seguinte comando e pressione Enter:

   .\ ManagePermissionGrant.ps1
   

   

7. Ser-lhe-á pedido para escolher se pretende autenticar no Azure Global (recomendado) ou selecionar a partir de uma lista (avançada). Se você não estiver se conectando a assinaturas no US Gov, US Gov DoD, China ou Alemanha, pressione Enter.

   

8. Se ainda não o fez, poderá ser-lhe pedido para se autenticar na plataforma de identidade da Microsoft numa nova janela do browser. Autentique-se como um usuário com a função de Administrador Global.

9. Para conceder consentimento a alguns dos serviços mais utilizados, como o Microsoft Graph ou o SharePoint, prima Enter. Se o serviço para o qual você precisa consentir não estiver na lista de aplicativos comumente usados, use a opção A.

   

10. Será exibida uma caixa de diálogo. Selecione o aplicativo que você deseja consentir para permitir que o conector aja em nome de um usuário. Você pode usar a caixa de texto na parte superior para filtrar os resultados.

    

11. Clique em OK.

12. Selecione um ou mais escopos (permissões) para os quais deseja consentir e clique em OK. Vários escopos podem ser selecionados pressionando e mantendo pressionada a tecla CTRL enquanto seleciona linhas.

13. Na janela do PowerShell, você será solicitado a escolher o tipo de consentimento. Você pode escolher se deseja permitir que o aplicativo aja em nome de qualquer usuário conectado ou se deseja limitar o consentimento a um usuário específico. Se você quiser fornecer consentimento para todos os usuários, pressione Enter. Se você quiser fornecer consentimento apenas para um usuário específico, digite N e pressione Enter. Se optar por consentir um utilizador específico, ser-lhe-á pedido que selecione o utilizador.

14. Se já existir consentimento para quaisquer escopos para o recurso selecionado, você será solicitado a escolher se deseja excluir as concessões existentes primeiro. Se quiser excluir concessões existentes, digite Y e pressione Enter. Se quiser manter as concessões existentes, pressione Enter.

15. Um resumo dos escopos selecionados será exibido na janela do PowerShell. Se quiser continuar concedendo os escopos selecionados, digite Y e pressione Enter.

16. Se o script puder conceder o consentimento com êxito, você verá uma mensagem informando que a execução do script foi concluída.

A criar uma ligação

O conector suporta os seguintes tipos de autenticação:

Padrão

Aplicável: Todas as regiões

Parâmetros para criar conexão.

Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.

Limites de Limitação

Ações

Invocar uma solicitação HTTP