意見反映

電腦版 Power Automate 架構

  • 文章

Important

除中國地區之外,將很快取代桌面流程的閘道 (6 月 30 日)。 開始切換至我們的電腦管理功能。 深入了解

Power Automate 可以使用兩種不同的方法連線至雲端服務,以便接收流程執行工作。 第一個選項是直接連線,而第二個選項需要安裝內部部署的資料閘道。

在這兩個選項中,桌面與雲端之間的資料流程是相同的,只有發出 Web 要求的應用程式和使用者帳戶不同。

有人參與/無人參的桌面直接連線到雲端服務

UIFlowService 是在桌上型電腦上隨 Power Automate 一起安裝的 Windows 服務。 根據預設,其會設定為自動開始,並以新的使用者 NT SERVICE\UIFlowService 執行。 此使用者是在安裝期間建立的。

桌面直接連線圖表。

Azure 轉送是一種服務,可協助透過向服務發出寄出要求所建立的通訊管道。 如有必要,可建立 WebSocket 連線或使用 HTTP 長輪詢來取得此功能。

Note

Azure 轉送和 Power Automate 雲端服務都是 Azure 中的雲端資源。 您可以在 Azure 轉送是什麼中找到有關 Azure 轉送的更多資訊。

從桌上型電腦上的 UIFlowService 到雲端中的 Azure 轉送的寄出 Web 要求使用 HTTPS,以透過連接埠 443 向 FQDN *.servicebus.windows.net 發出要求。

Azure 轉送的目標 IP 位址可在 這裡,名為 ServiceBus 下的公用雲端找到。 其他 Azure 國家/地區雲端也有類似的文件。 無需在桌上型電腦上開啟輸入連接埠。

使用內部部署的資料閘道,將有人參與/無人參與桌面連線至雲端服務

Note

現在 Power Automate 無須使用內部部署資料閘道即可提供與雲端的直接連線。 您可以在 有人參與/無人參與桌面直接連線到到雲端中,找到更多資訊。

UIFlowService 是在桌上型電腦上隨 Power Automate 一起安裝的 Windows 服務。 內部部署的資料閘道 Windows 服務是單獨安裝的元件,可充當 UIFlowService 與 Azure 轉送之間的通訊閘道。

使用內部部署資料閘道圖表的桌面連線。

根據預設,資料閘道服務會設為自動開始,並以新的使用者 NT SERVICE\PBIEgwService 執行。 此使用者是在安裝期間建立的。

Azure 轉送是一種服務,可協助透過向服務發出寄出要求所建立的通訊管道。 如有必要,可建立 WebSocket 連線或使用 HTTP 長輪詢來取得此功能。

Note

Azure 轉送和 Power Automate 雲端服務都是 Azure 中的雲端資源。 您可以在 Azure 轉送是什麼中找到有關 Azure 轉送的更多資訊。

有關此資料流程的詳細資料記錄在調整通訊設定中。 執行的防火牆要求與直接連線選項完全相同,但不同的服務和使用者帳戶將發出寄出要求。

其他 Power Automate 寄出 Web 要求

Power Automate 會在執行時發出一些額外的寄出 Web 要求,這些要求會記錄在執行階段所需的桌面流程服務中。

只有當您使用內部部署的資料閘道時,才需要 CRL 端點。 其在連接埠 80 上使用 HTTP,並由 UIFlowService 啟動。

只有在您使用 Selenium IDE 桌面流程並具有自動更新的瀏覽器時,才需要 WebDriver 端點。 這些端點在連接埠 443 上使用 HTTPS,並由 Microsoft.Flow.RPA.Agent.exe 程序使用執行桌面流程的使用者帳戶來啟動。

工作階段認證生命週期

  1. 您可以登入內部部署資料閘道或使用直接連線功能在 Power Automate 中註冊,以註冊桌上型電腦。 此程序會產生公開金鑰和私密金鑰,以用於與此電腦進行安全通訊。

  2. 桌面應用程式會將電腦註冊要求傳送到 Power Automate 雲端服務。 該要求包含新產生的電腦公開金鑰。 此金鑰與電腦註冊一起儲存在雲端中。

  3. 要求完成後,電腦將成功註冊,並做為可管理的資源顯示在 Power Automate Web 入口網站中。 但是,在建立連線之前,流程不能使用該電腦。

  4. 若要在 Web 入口網站中建立 Power Automate 連線,使用者必須選取可用的電腦,並提供要用來執行桌面流程之帳戶的使用者名稱和密碼認證。

    使用者可選取任何先前註冊的電腦,包括已與其共用的電腦。 儲存連線時,會使用與電腦關聯的公開金鑰加密認證,並以這種加密形式儲存。

    雲端服務正在儲存電腦的加密使用者認證。 但是,因為私密金鑰只存在於桌上型電腦上,因此無法解密認證。 使用者可隨時刪除此連線,且儲存的加密認證也會刪除。

  5. 當從雲端執行桌面流程時,其會使用在 執行使用電腦版 Power Automate 建置的流程 動作中所選先前建立的連線。

  6. 桌面流程作業從雲端傳送到桌面時,其包含儲存在連線中的加密認證。 然後使用秘密私密金鑰在桌面上解密這些認證,並使用它們做為指定的使用者帳戶登入。

工作階段認證生命週期圖表。

雖然邏輯資料流程是從雲端到桌面,但連線是從桌面到雲端建立的。 其會使用 Azure 轉送,使用寄出 Web 要求連線到雲端。

如果使用內部部署的資料閘道建立閘道叢集,則會在叢集中的所有電腦上產生用於解密認證的私密金鑰。 使用在電腦註冊期間要求的修復金鑰產生私密金鑰。 修復金鑰永遠不會傳送至雲端。

如果使用直接連線建立電腦群組,則會使用使用者定義的群組密碼來加密群組的私密金鑰。 然後,它會做為註冊電腦要求的一部分傳送到雲端進行儲存。

加密的私密金鑰與加入該群組的其他電腦共用。 但是,由於使用者必須先提供密碼才能解密此私密金鑰,因此該服務無法讀取連線中儲存的任何認證。