Power Automate -työpöytäarkkitehtuuri
Power Automate voi muodostaa yhteyden pilvipalveluihin kahdella eri tavalla työnkulkutöiden vastaanottamista varten. Ensimmäinen vaihtoehto on suora yhteys, ja toinen vaihtoehto edellyttää, että on asennettava paikallinen tietoyhdyskäytävä.
Työpöydän ja pilvipalvelun välinen tietovuo on molemmissa eri vaihtoehdoissa sama. Vain sovellus ja käyttäjätili, joka käynnistää verkkopyynnöt, ovat erilaisia.
Valvottu/valvomaton työpöydän suora yhteys pilvipalveluun
UIFlowService on Windows-palvelu, joka asennetaan Power Automatella työpöytätietokoneeseen. Oletusarvon mukaan järjestelmä käynnistyy automaattisesti, ja sitä suoritetaan uuden käyttäjän NT SERVICE\UIFlowService-periaatteella. Tämä käyttäjä luodaan asennuksen aikana.

Azure-välityspalvelu on palvelu, joka avustaa kokonaan palveluun lähtevien pyyntöjen avulla luotuja yhteyskanavia. Tämä toiminto saavutetaan joko luomalla WebSocket-yhteys tai käyttämällä tarvittaessa HTTP-kyselyä.
Note
Azure-välityspalvelu ja Power Automate-pilvipalvelut ovat molemmat Azuren pilviresursseja. Lisätietoja Azure-välityspalveluista on kohdassa Tietoa Azure-välityspalvelusta.
Pöytätietokoneen UIFlowService-palvelusta pilvipalvelun Azure-välityspalveluun lähtevät verkkopyynnöt käyttävät HTTPS:ää tehdäkseen pyyntöjä kohteeseen FQDN *.servicebus.windows.net portin 443 kautta.
Azure-välityspalvelun kohde-IP-osoitteet löytyvät tästä julkisen pilven osalta nimellä ServiceBus. Samanlaisia asiakirjoja voi käyttää muissa Azuren pilvipalveluissa. Pöytätietokoneessa ei tarvitse avata saapuvia portteja.
Valvottu/valvomaton pöytätietokoneen yhteys pilvipalveluun paikallisen tietoyhdyskäytävän avulla
Note
Power Automatessa on nyt suora yhteys pilvipalveluun ilman paikallisen tietoyhdyskäytävän käyttöä. Lisätietoja on kohdassa Valvottu/valvomaton pöytätietokoneen suora yhteys pilvipalveluun.
UIFlowService on Windows-palvelu, joka asennetaan Power Automatella työpöytätietokoneeseen. Tietoyhteyskäytävä Windows-palvelu on erikseen asennettu komponentti, joka toimii viestintäyhdyskäytävänä UIFlowService-palvelun ja Azure-välityspalvelun välillä.

Oletusarvon mukaan tietoyhdyskäytävä käynnistyy automaattisesti, ja sitä suoritetaan uuden käyttäjän NT SERVICE\PBIEgwService-periaatteella. Tämä käyttäjä luodaan asennuksen aikana.
Azure-välityspalvelu on palvelu, joka avustaa kokonaan palveluun lähtevien pyyntöjen avulla luotuja yhteyskanavia. Tämä toiminto saavutetaan joko luomalla WebSocket-yhteys tai käyttämällä tarvittaessa HTTP-kyselyä.
Note
Azure-välityspalvelu ja Power Automate-pilvipalvelut ovat molemmat Azuren pilviresursseja. Lisätietoja Azure-välityspalveluista on kohdassa Tietoa Azure-välityspalvelusta.
Tietovuon tiedot on dokumentoitu kohdassa Viestinnän asetusten muuttaminen. Palomuurin suoritusvaatimukset ovat täsmälleen samat kuin suorayhteyksien vaihtoehdolla, mutta toinen palvelu ja käyttäjätili tekevät lähtevät pyynnöt.
Muut Power Automaten lähtevät WWW-pyynnöt
Power Automate tekee suorituksenaikaiset lähtevät verkkopyynnöt, jotka on dokumentoitu työpöytätyönkulun palveluissa, joita tarvitaan suorituksenaikaista suoritusta varten.
CRL-päätepisteet ovat pakollisia vain, jos käytät paikallista tietoyhdyskäytävää. Ne käyttävät HTTP-porttia 80, ja uiFlowService käynnistää ne.
WebDriver-päätepisteet ovat pakollisia vain, jos käytät Selenium IDE -työpöytätyönkulkuja ja päivität selaimesi automaattisesti. Nämä päätepisteet käyttävät HTTPS-yhteyttä portin 443 kautta, ja Microsoft.Flow.RPA.Agent.exe-prosessi käynnistää sen sen käyttäjätilin avulla, joka käyttää työpöytätyönkulkua.
Istunnon tunnistetietojen elinkaari
Pöytätietokone rekisteröidään kirjautumalla paikalliseen tietoyhdyskäytävään tai rekisteröitymällä sisään Power Automateen käyttämällä suoraa yhteysominaisuutta. Tämä prosessi luo julkisen ja yksityisen avaimen, jota käytetään suojattuun yhteydenpitoon tämän laitteen kanssa.
Työpöytäsovellus lähettää tietokoneen rekisteröintipyynnön Power Automate-pilvipalveluihin. Pyyntö sisältää juuri luodun laitteen julkisen avaimen. Tämä avain ja konerekisteröinti tallennetaan pilvipalveluun.
Kun pyyntö on valmis, kone rekisteröidään ja se näkyy Power Automate -verkkoportaalissa resurssina, jota voidaan hallita. Työnkulku ei voi kuitenkaan käyttää konetta, ennen kuin siihen on muodostettu yhteys.
Muodostaakseen Power Automate -yhteyden verkkoportaaliin käyttäjien on valittava käytettävissä oleva tietokone ja annettava sen tilin käyttäjätunnus ja salasana, jonka avulla he voivat suorittaa työpöytätyönkulun.
Käyttäjät voivat valita minkä tahansa aiemmin rekisteröidyn laitteen, mukaan lukien heidän kanssaan jaetut koneet. Kun yhteys tallennetaan, tunnistetiedot salataan käyttämällä tietokoneeseen liittyvää julkista avainta, joka tallennetaan tähän salattuun lomakkeeseen.
Pilvipalvelu tallentaa salatut käyttäjän tunnistetiedot tietokoneeseen. Tunnistetietojen salausta ei voi kuitenkaan poistaa, koska yksityinen avain on vain pöytätietokoneessa. Käyttäjä voi poistaa tämän yhteyden milloin tahansa, ja myös tallennetut salatut tunnistetiedot poistetaan.
Kun työpöydän työnkulku suoritetaan pilvipalvelusta, se käyttää aiemmin määritettyä yhteyttä, joka on valittu Suorita työnkulku, joka on luotu Power Automate -työpöytäversiolle -toimintoa varten.
Kun työpöytätyönkulkutehtävä lähetetään pilvipalvelusta työpöydälle, se sisältää yhteyteen tallennetut salatut tunnistetiedot. Nämä tunnistetiedot salataan sitten työpöydällä käyttämällä salaista yksityistä avainta, ja niitä käytetään kirjautumiseen annettuna käyttäjätilinä.

Vaikka looginen tietovuo on pilvipalvelusta työpöydälle, yhteys muodostaa yhteyden työpöydältä pilvipalveluun. Se muodostaa yhteyden pilveen käyttämällä Azure-välityspalvelua käyttämällä lähtevää verkkopyyntöä.
Jos yhdyskäytäväklusteri luodaan käyttämällä paikallista tietoyhdyskäytävää, tunnistetietojen salauksen purkamiseen käytetty yksityinen avain luodaan klusterin kaikissa koneissa. Yksityinen avain luodaan käyttämällä palautusavainta, jota pyydetään konerekisteröinnin aikana. Palautusavainta ei lähetetä pilvipalveluun.
Jos suorayhteyksien avulla luodaan koneryhmä, ryhmän yksityinen avain salataan käyttäjän määrittämällä ryhmäsalasanalla. Tämän jälkeen se lähetetään pilvipalveluun tallennustilaa varten osana rekisteröintikonepyyntöä.
Salattu yksityinen avain jaetaan muiden ryhmään liittyneiden koneiden kanssa. Koska käyttäjän on kuitenkin ensin annettava salasana tämän yksityisen avaimen salauksen purkamista varten, palvelu ei voi lukea yhteyteen tallennettuja tunnistetietoja.