什么是 Azure 逻辑应用中的连接器
当你使用 Azure 逻辑应用生成工作流时,可以使用连接器处理其他应用程序、服务、系统和平台中的数据、事件和资源,而无需编写代码。 连接器提供一个或多个预生成操作,你可以将这些操作用作工作流中的步骤。
在连接器中,每个操作是用于启动工作流的触发器条件,或者是执行特定任务的后续操作,它与可配置的属性一起使用。 虽然许多连接器既提供触发器,也提供操作,但有些连接器仅提供触发器,而有些连接器仅提供操作。
在 Azure 逻辑应用中,连接器作为内置版本和/或托管版本提供。 许多触发器通常要求首先创建并配置基础服务或系统的连接,以便可以对用户帐户的访问进行身份验证。 如果你要访问的服务或系统没有可用的连接器,可以使用通用 HTTP 操作发送请求,或者创建自定义连接器。
本概述提供有关连接器的概要介绍,以及连接器的一般工作原理。 有关连接器的详细信息,请参阅以下文档:
内置连接器与托管连接器
在 Azure 逻辑应用中,连接器是内置或托管的。 某些连接器具有这两个版本。 可用的版本取决于创建的是在多租户 Azure 逻辑应用中运行的消耗型逻辑应用工作流,还是在单租户 Azure 逻辑应用中运行的标准型逻辑应用工作流。 有关逻辑应用资源类型的详细信息,请查看资源类型和主机环境差异。
内置连接器设计为直接在 Azure 逻辑应用中本地运行。
托管连接器由 Microsoft 在 Azure 中部署、托管和管理。 托管连接器主要为 API 提供代理或包装器,基础服务或系统使用它来与 Azure 逻辑应用通信。
在消耗工作流中,托管连接器根据其定价层显示在设计器中的“标准”或“企业”标签下。
在标准工作流中,所有托管连接器显示在设计器中的“Azure”标签下。
有关详细信息,请参阅以下文档:
触发器
触发器指定在启动工作流之前所要满足的条件,它始终是任何工作流中的第一个步骤。 每个触发器还遵循可控制触发器如何监视和响应事件的特定触发模式。 通常,触发器遵循轮询模式或推送模式。 有时会提供这两个触发器版本。
轮询触发器按指定计划定期检查特定服务或系统,查看是否有新数据或特定事件。 如果有新数据可用或发生特定事件,这些触发器将创建并运行工作流的新实例。 然后,这个新实例再使用这些作为输入传递的数据。
推送或 Webhook 触发器侦听新数据或即将发生的事件,而非轮询。 有新数据可用或事件发生时,这些触发器将创建并运行工作流的新实例。 然后,这个新实例再使用这些作为输入传递的数据。
例如,假设你要生成一个在将文件上传到 FTP 服务器时运行的工作流。 作为工作流中的第一个步骤,你可以添加一个名为“添加或修改文件时”的、遵循轮询模式的 FTP 触发器。 然后指定计划来定期检查上传事件。
触发该触发器时,它通常会传递供后续操作引用和使用的事件输出。 在 FTP 示例中,该触发器会自动输出文件名和路径等信息。 还可以将触发器设置为包含文件内容。 因此,若要处理此数据,必须将操作添加到工作流。
操作
操作指定要执行的任务,它始终在工作流中显示为后续步骤。 可以在工作流中使用多个操作。 例如,可以使用一个用于检查 SQL 数据库中新客户数据的 SQL Server 触发器来启动工作流。 该触发器触发后,工作流有一个可获取客户数据的 SQL Server 操作。 完成此 SQL Server 操作后,工作流可以使用另一个操作来处理数据,例如,用于创建 CSV 表的“数据操作”操作。
连接权限
在消耗逻辑应用工作流中,在可以创建或管理逻辑应用资源、工作流及其连接之前,需要拥有特定的权限。 有关这些权限的详细信息,请参阅安全操作 - 在 Azure 逻辑应用中保护访问和数据。
连接创建、配置和身份验证
许多连接器都要求先创建与目标服务或系统的连接,然后才能在工作流中使用连接器的操作。 若要在工作流设计器中创建连接,必须使用帐户凭据(有时还要使用其他连接信息)来验证你的身份。
例如,必须先为指向该帐户的连接授权,然后工作流才可访问和使用 Office 365 Outlook 电子邮件帐户。 对于某些内置连接器和托管连接器,可以设置并使用托管标识进行身份验证,而不必提供凭据。
注意
当我们使用 Office 365 Outlook 连接器登录 Office 365 Outlook中的 Office 365 Outlook 应用程序时,
必须使用由世纪互联运营的中国 Office 365 帐户登录。 此帐户的格式类似于 <your-account>@<your-organization>.partner.onmschina.cn。
组织管理员可以通过管理员站点管理用户。
尽管是在工作流中创建连接,但这些连接实际上也是单独的 Azure 资源,具有其自己的资源定义。 若要查看这些连接资源定义,请根据你使用的是消耗工作流还是标准工作流执行以下步骤:
消耗
若要在 Azure 门户中查看和管理这些连接,请参阅在 Azure 门户中查看消耗工作流的连接。
若要在 Visual Studio 中查看和管理这些连接,请参阅使用 Visual Studio 管理消耗工作流,并将你的逻辑应用资源从 Azure 下载到 Visual Studio 中。
有关消耗工作流的连接资源定义的详细信息,请查看连接资源定义。
标准
若要在 Azure 门户中查看和管理这些连接,请参阅在 Azure 门户中查看标准工作流的连接。
若要在 Visual Studio Code 中查看和管理这些连接,请参阅在 Visual Studio Code 中查看逻辑应用工作流。 connections.json 文件包含连接器创建的连接所需的配置。
连接安全和加密
连接配置详细信息(如服务器地址、用户名和密码、凭据以及机密)会加密并存储在受保护的 Azure 环境中。 此信息仅可用在逻辑应用资源中,并且仅可供对连接资源(使用链接访问检查强制实施)具有权限的客户端使用。 使用 Microsoft Entra ID 开放式身份验证 (Microsoft Entra OAuth)(如 Office 365、Salesforce 和 GitHub)的连接要求你登录,但 Azure 逻辑应用仅存储访问令牌和刷新令牌作为机密,而不存储登录凭据。
只要目标服务或系统允许,建立的连接就可以访问该服务或系统。 对于使用 Microsoft Entra ID OAuth 连接的服务(例如 Office 365 和 Dynamics),Azure 逻辑应用会无限期刷新访问令牌。 其他服务可能会限制在不刷新令牌的情况下,逻辑应用能够使用该令牌的时长。 某些操作(例如更改密码)会使所有访问令牌失效。
注意
如果组织不允许通过 Azure 逻辑应用中的连接器访问特定资源,可使用 Azure Policy阻止用于创建这种连接的功能。
若要详细了解如何保护逻辑应用工作流和连接,请参阅保护 Azure 逻辑应用中的访问和数据。
连接的防火墙访问
如果使用限制流量的防火墙,并且逻辑应用工作流需要通过该防火墙进行通信,则必须设置防火墙,以允许访问逻辑应用工作流所在 Azure 区域中 Azure 逻辑应用平台或运行时使用的入站和出站 IP 地址。
如果工作流还使用托管连接器(例如 Office 365 Outlook 连接器或 SQL 连接器),或使用自定义连接器,则防火墙还需要允许访问该逻辑应用资源所在的 Azure 区域中的所有托管连接器出站 IP 地址。 有关详细信息,请参阅防火墙配置。
自定义连接器和 API
在多租户 Azure 逻辑应用的消耗工作流中,可以调用无法用作现成连接器的基于 Swagger 或基于 SOAP 的 API。 还可以通过创建自定义 API 应用来运行自定义代码。 有关详细信息,请参阅以下文档:
创建基于 Swagger 或基于 SOAP 的自定义连接器,使这些 API 可用于 Azure 订阅中的任何消耗型逻辑应用工作流。
若要使自定义连接器可供任何人在 Azure 中使用,请提交连接器进行 Azure 认证。
在单租户 Azure 逻辑应用的标准工作流中,可以创建可用于任何标准逻辑应用工作流、以原生方式运行且基于服务提供程序的自定义内置连接器。 有关详细信息,请参阅以下文档:
已知问题
下表包含 Azure 逻辑应用中连接器的已知问题:
| 错误消息 | 说明 | 解决方案 |
|---|---|---|
Error: BadGateway. Client request id: '{GUID}' |
当一个或多个连接不支持 Microsoft Entra ID OAuth 身份验证(如 SFTP 和 SQL)时,更新逻辑应用资源上的标记会生成此错误。 | 若要防止此行为,请避免更新这些标记。 |