Sécurité du déclencheur HTTP de Power Automate
Dans Power Automate, le déclencheur "Lors de la réception d'une demande HTTP" permet de lancer l'exécution d'un flux instantané lorsqu'une requête HTTP est réceptionnée.
Quand ce déclencheur est utilisé, une adresse est automatiquement générée par Power Automate pour déclencher l'exécution de ce flux.
Il existe plusieurs solutions pour sécuriser les appels et le déclenchement du flux :
- Passer un jeton de sécurité dans l'URL de déclenchement
- Passer un jeton de sécurité dans l'en-tête de la requête HTTP
- Utiliser le gestionnaire d'API Azure
Jeton de sécurité dans l'URL
La première solution consiste à passer dans l'URL d'appel du déclencheur un jeton de sécurité, et de tester la valeur reçue dans le flux pour conditionner l'exécution des actions que celui-ci contient.
Pour le configurer, ouvrir les options avancées du déclencheur et ajouter un chemin relatif pour l'URL de déclenchement.
Passer un jeton de sécurité dans l'en-tête
La seconde solution consiste à passer la valeur du jeton de sécurité dans l'en-tête de la requête HTTP.
Il sera alors possible de tester la valeur reçue dans le jeton directement dans les conditions de déclenchement du flux.
Cette solution aura l'avantage de limiter le nombre d'exécution du flux puisque celui-ci ne se déclenchera uniquement lorsque la valeur du jeton reçue dans l'en-tête de l'appel HTTP est correcte, et également de ne pas voir l'historique du flux polluer par des rapports d'exécution non valides.
De plus, l'action de condition effectuée en début du flux pouvant être supprimée, celui-ci gagnera en lisibilité et en performance d'exécution.
Pour ajouter une condition sur le déclencheur, allez dans les paramètres de celui-ci.
Dans la fenêtre des paramètres, cliquez sur "+ Ajouter" pour ajouter une condition de déclenchement.
💬 Pour en savoir plus sur les conditions de déclenchement, vous pouvez lire cet article.
Le flux est alors constitué de la manière suivante.
En ajoutant le paramètre dans l'en-tête de la requête, nous pouvons constater qu'aucun retour n'est fait lorsque l'appel ne satisfait pas à la condition mise sur le déclencheur.
Utiliser le gestionnaire d'API Azure
Ajoutez ensuite des règles entrantes et/ou sortantes pour protéger au mieux les appels au déclencheur de votre flux Power Automate.
Commentaires
Enregistrer un commentaire