Freigeben über

Azure Key Vault-Anmeldeinformationen erstellen

  • Artikel

Auf der Seite Anmeldeinformationen erlaubt Ihnen Power Automate, mit Azure Key Vault Anmeldeinformationen zu erstellen, zu bearbeiten und freizugeben und diese in Desktop-Flow-Verbindungen zu verwenden.

Sie können auch Anmeldeinformationen mit CyberArk® erstellen (Vorschauversion).

Wichtig

  • Derzeit ist dieses Feature für US Government Clouds nicht verfügbar.

Anforderungen

Anmeldeinformationen verwenden Geheimnisse, die in Azure Key Vault gespeichert sind. Damit Sie Anmeldeinformationen erstellen können, müssen Ihre Administrierenden zuerst Azure Key Vault konfigurieren.

Kurz gesagt, die Administrierenden müssen sicherstellen, dass:

  1. Der Microsoft Power Platform-Ressourcenanbieter im Azure-Abonnement registriert ist.
  2. Es gibt einen Azure Key Vault, der die in den Anmeldeinformationen zu verwendenden Geheimnisse enthält.
  3. Der Dataverse-Dienstprinzipal über Berechtigungen zur Verwendung der Geheimnisse verfügt.
  4. Benutzende, die die Umgebungsvariable erstellen, über entsprechende Berechtigungen für die Ressource des Azure Key Vault verfügen.
  5. Sich die Power Automate-Umgebung und das Azure-Abonnement auf demselben Mandanten befinden.

Um Azure Key Vault zu konfigurieren, gehen Sie wie unter Azure Key Vault konfigurieren beschrieben vor.

Anmeldeinformation erstellen

Gehen Sie wie folgt vor, um Ihre Anmeldeinformationen zu erstellen:

  1. Wechseln Sie zur Seite Anmeldeinformationen.
  2. Wählen Sie im linken Navigationsbereich mehr und dann Alle entdecken aus.
  3. Wählen Sie unter Daten die Option Anmeldeinformationen aus. Sie können die Seite im linken Navigationsbereich anheften, damit sie leichter zugänglich ist.

Auf der Seite „Anmeldeinformationen“ können Sie nun Ihre ersten Anmeldeinformationen erstellen.

Screenshot der Festlegung des Namens der Anmeldeinformationen.

Um Ihre Anmeldeinformationen zu erstellen, müssen Sie folgende Informationen angeben:

  • Name der Anmeldeinformationen: Geben Sie einen Namen für die Anmeldeinformationen ein
  • Beschreibung (optional)

Nachdem Sie Weiter ausgewählt haben, müssen Sie Azure Key Vault als Anmeldeinformationsspeicher auswählen.

Im letzten Schritt des Assistenten wählen Sie Benutzername und Passwort aus bzw. erstellen neue:

  • Benutzername: Um einen Benutzernamen auszuwählen, können Sie das Dropdown-Menü verwenden. Wenn Sie keine Umgebungsvariablen haben, wählen Sie neu:

    • Anzeigename. Geben Sie einen Namen für die Umgebungsvariable ein.

    • Name: Der eindeutige Name wird automatisch aus Anzeigename generiert, aber Sie können ihn ändern.

    • Wert. Geben Sie den Namen des Benutzenden ein. Geben Sie für lokale Benutzer den Benutzernamen an. Geben Sie für Domänenbenutzer <DOMAIN\username> oder <username@domain.com> an.

      Screenshot der Festlegung des Benutzernamens der Anmeldeinformationen.

Anmerkung

Der Anmeldebenutzername ist eine Textumgebungsvariable. Sie können auch eine Textvariable auf der Lösungsseite erstellen und sie als Benutzernamen auswählen.

  • Passwort: Um ein Passwort auszuwählen, können Sie das Dropdown-Menü verwenden. Wenn Sie keine geheimen Umgebungsvariablen haben, wählen Sie neu:
    • Anzeigename. Geben Sie einen Namen für die Umgebungsvariable ein.
    • Name: Der eindeutige Name wird automatisch aus Anzeigename generiert, aber Sie können ihn ändern.
    • Abonnement-ID: Die mit dem Key Vault verbundene Azure Abonnement ID.
    • Ressourcengruppenname. Die Azure-Ressourcengruppe, in der sich der Schlüsseltresor mit dem Geheimnis befindet.
    • Name des Azure Key Vault. Der Name des Schlüsseltresors, der das Geheimnis enthält.
    • Geheimnisname. Der Name des Geheimnisses in Azure Key Vault.

Screenshot der Festlegung des Kenntworts der Anmeldeinformationen.

Anmerkung

Die ID des Abonnements, den Namen der Ressourcengruppe und den Namen des Key Vault finden Sie auf der Seite Übersicht des Azure Portals zum Key Vault. Den Namen des Geheimnisses finden Sie auf der Seite Key Vault im Azure-Portal, indem Sie Geheimnisse unter Einstellungen auswählen. Die Validierung des Zugriffs des Benutzers auf das Geheimnis wird im Hintergrund durchgeführt. Wenn Benutzende nicht mindestens über eine Leseberechtigung verfügen, wird dieser Überprüfungsfehler angezeigt: „Diese Variable wurde nicht richtig gespeichert. Der Benutzende ist nicht berechtigt, Geheimnisse aus dem ‚Azure Key Vault-Pfad‘ zu lesen.“ Kennwörter verwendengeheime Umgebungsvariablen. Sie können auch eine geheime Variable auf der Lösungsseite erstellen und sie als Passwort auswählen.

Desktop-Flow-Verbindungen mithilfe von Anmeldeinformationen erstellen

Hinweis: Anmeldeinformationen werden derzeit nur in Desktop-Flow-Verbindungen unterstützt.

Sie können Ihre Anmeldeinformationen jetzt in einer Desktop-Flow-Verbindung verwenden.

Sehen, wo Geheimnisse verwendet werden

Auf der Seite „Lösungen“ können Sie alle Abhängigkeiten geheimer Umgebungsvariablen abrufen. So können Sie besser verstehen, wo die Geheimnisse Ihres Azure Key Vaults verwendet werden, bevor Sie sie bearbeiten.

  • Wählen Sie eine Umgebungsvariable aus.
  • Wählen Sie die Option Erweitert und wählen Sie Abhängigkeiten anzeigen.
  • Sie sehen:
    • Die Anmeldeinformationen, die diese Umgebungsvariable verwenden.
    • Die Verbindung, die diese Umgebungsvariable verwenden.

Anmeldeinformationen freigeben

Sie können Anmeldeinformationen, die Ihnen gehören, an andere Benutzende in Ihrer Organisation freigeben und ihnen bestimmte Berechtigungen für den Zugriff auf sie geben.

  1. Melden Sie sich bei Power Automate an und gehen Sie dann zu Anmeldeinformationen.
  2. Wählen Sie Ihre Anmeldeinformationen aus der Liste der Anmeldeinformationen aus.
  3. Wählen Sie auf der Befehlsleiste Freigeben aus.
  4. Wählen Sie Personen hinzufügen und geben Sie den Namen der Person in Ihrer Organisation ein, für die Sie die Anmeldeinformationen freigeben möchten, und wählen Sie dann die Rolle aus, die Sie diesem Benutzenden zuweisen möchten:
    • Mitbesitzender (kann bearbeiten). Diese Zugriffsebene gibt die volle Berechtigung zu diesen Anmeldeinformationen. Mitbesitzende können Anmeldeinformationen verwenden, sie für andere freigeben, ihre Details bearbeiten und sie löschen.
    • Benutzender (kann nur anzeigen). Diese Zugriffsebene gibt nur die Berechtigung zur Verwendung der Anmeldeinformationen. Mit diesem Zugriff sind keine Berechtigungen zum Bearbeiten, Freigeben oder Löschen möglich.
    • Benutzender (kann anzeigen und freigeben). Diese Zugriffsebene entspricht der Option „Nur anzeigen“, erteilt jedoch die Berechtigung zum Teilen.
  5. Wählen Sie Speichern.

Anmerkung

Durch die Freigabe Ihrer Anmeldeinformationen werden auch alle in den Anmeldeinformationen verwendeten Umgebungsvariablen freigegeben. Die Berechtigungen für die Umgebungsvariablen werden durch das Entfernen von Berechtigungen für Anmeldeinformationen nicht entfernt.

Anmeldeinformationen löschen

  1. Melden Sie sich bei Power Automate an und gehen Sie dann zu Anmeldeinformationen.
  2. Wählen Sie in der Liste die Anmeldeinformation, die Sie löschen möchten, und dann Computer löschen in der Befehlsleiste aus.

Anmerkung

Die zugehörigen Umgebungsvariablen werden durch das Löschen einer Anmeldeinformation nicht gelöscht.

Eine Desktop-Flow-Verbindung mithilfe von Anmeldeinformationen exportieren

Anmerkung

Sie sollten zunächst den Artikel über ALM für Desktop-Flows lesen.

Sie können einen Cloud-Flow mit einer Desktop-Flow-Verbindung mithilfe von Anmeldeinformationen exportieren. Sie sollten zuerst die Lösung importieren, die die Anmeldeinformationen und die dazugehörigen Umgebungsvariablen enthält, und dann die Lösung importieren, die den Cloud-Flow und den Desktop-Flow enthält.

Einschränkungen

  • Derzeit ist dieses Feature nur für Deskflow-Verbindungen verfügbar.
  • Das Erstellen von Anmeldeinformationen im neuen Designer ist noch nicht verfügbar.
  • Sie können die ausgewählten Umgebungsvariablen in vorhandenen Anmeldeinformationen nicht bearbeiten. Wenn Sie die Werte von Benutzername und Kennwort ändern möchten, müssen Sie entweder die Umgebungsvariablen oder das Azure Key Vault-Geheimnis aktualisieren.
  • Die Aktualisierung von Verbindungen mithilfe von Anmeldeinformationen erfolgt asynchron. Es kann bis zu einer Minute dauern, bis die Desktop-Flow-Verbindung die neuen Anmeldeinformationen verwendet, nachdem das Geheimnis aktualisiert wurde.

Ein Geheimnis aktualisieren (Kennwortrotation) – veraltet

Anmerkung

Dieser Abschnitt ist jetzt veraltet. Alle Verbindungen, die Anmeldeinformationen verwenden, rufen jetzt während der Flow-Ausführung Geheimnisse ab. Es ist nicht mehr erforderlich, diesen benutzerdefinierten Flow zu erstellen, um die Verbindungen zu aktualisieren. Die Verbindungen mit Anmeldeinformationen, die vor April 2024 erstellt wurden, sollten aktualisiert werden, um von der automatischen Aktualisierung zu profitieren.

Voraussetzungen für die Aktualisierung eines Geheimnisses (Kennwortrotation)

Anmerkung

Für diesen Abschnitt sind bestimmte Berechtigungen erforderlich, beispielsweise als Systemadministrierender der Organisation. Andernfalls werden nur Ihre eigenen Desktop-Flow-Verbindungen aktualisiert.

Erstellen eines Cloud-Flows mit Event Grid-Trigger

Wenn Sie Geheimnisse in Ihrem Azure Key Vault bearbeiten, sollten Sie unbedingt sicherstellen, dass die Anmeldeinformationen und Verbindungen, die diese Geheimnisse verwenden, immer aktuell sind, damit es zu keinen Unterbrechungen Ihrer Automatisierungen kommt. In Power Automate müssen Sie einen Cloud-Flow erstellen, der die Anmeldeinformationen aktualisiert, wenn Geheimnisse in Azure Key Vault geändert werden.

Dieser Cloud-Flow enthält einen Trigger und eine Aktion:

  1. Trigger: Wenn ein Ressourcenereignis auftritt (Event Grid)
    • Ressourcentyp: Microsoft.KeyVault.vaults
    • Ressourcenname: Geben Sie den Namen des Key Vaults an.
    • Abonnement: Geben Sie den Namen des Abonnements an.
    • Ereignistyp: Microsoft.KeyVault.SecretNewVersionCreated
  2. Aktion: Führen Sie eine ungebundene Aktion durch (Dataverse)
    • Aktionsname: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Thema
    • Geheimnisname: Betreff

Screenshot der Dataverse-Aktion.

Wenn Sie einen Key Vault für alle Ihre Geheimnisse verwenden, benötigen Sie nur einen Cloud-Flow. Wenn Sie über mehrere Key Vaults verfügen, müssen Sie den Cloud-Flow duplizieren und den Ressourcennamen aktualisieren.

So stellen Sie sicher, dass Ihr Cloud-Flow ordnungsgemäß mit Azure Key Vault funktioniert:

  1. Gehen Sie zu Ihrem Key Vault.
  2. Wählen Sie Ereignisse aus.
  3. Überprüfen Sie in Ereignisabonnements, ob Sie einen LogicApps-Webhook sehen.

Screenshot von Ereignisabonnements in Azure Key Vault.