【Power Platform】对Power Platform服务进行身份验证

Power Platform身份验证涉及用户浏览器和Power Platform或Azure服务之间的一系列请求、响应和重定向。该序列遵循Microsoft Entra身份验证代码授权流程。有关用户身份验证模型的详细信息，请参阅为Microsoft 365选择登录模型。

Power Platform身份验证序列

身份验证序列如下图所示。

1. 用户从浏览器发起与Power Platform服务的连接。用户可以在地址栏中输入服务地址，或在Power Platform服务页面上选择登录。连接是使用TLS 1.2和HTTPS建立的。浏览器和Power Platform服务之间的所有后续通信都使用HTTPS。
2. Azure流量管理器检查浏览器的DNS记录，以确定部署Power Platform服务的最合适（通常是最近的）数据中心。流量管理器返回用户应发送到的web前端集群的IP地址。
3. web前端群集将用户重定向到Microsoft Online Services登录页面进行身份验证。
4. 登录页面使用Microsoft Entra身份验证代码将经过身份验证的用户重定向回web前端集群。
5. web前端群集使用身份验证代码从Microsoft Entra服务获取安全令牌。
6. web前端集群咨询Power Platform全局后端服务，以确定哪个后端服务集群包含用户的租户。
7. web前端集群向用户的浏览器返回一个应用程序页面，其中包含所需的会话、访问和路由信息。
8. 浏览器向后端集群发送客户数据请求，授权标头中包含Microsoft Entra访问令牌。后端集群读取访问令牌并验证签名，以确保请求的身份有效。访问令牌的默认生存期为一小时。为了维护会话，浏览器会在访问令牌到期之前定期请求续订。

当Power Platform服务嵌入SharePoint、Power BI或Teams中时，身份验证顺序略有不同。这是因为这些服务自己执行一些步骤。

注：

对外部数据源的身份验证是与对服务的身份验证分开的一步。有关详细信息，请参见连接到数据源。

Power Platform用户身份验证序列图。

相关文章

Security in Microsoft Power Platform Connecting and authenticating to data sources
Data storage in Power Platform
Power Platform security FAQs

• Microsoft Entra auth code grant flow
• Choosing a sign-in model for Microsoft 365