Compartir a través de

Crear una credencial de Azure Key Vault

  • Artículo

La página Credenciales en Power Automate le permite crear, editar y compartir credenciales de inicio de sesión de Azure Key Vault y utilizarlas en las conexiones del flujo de escritorio.

También puede crear credenciales con CyberArk® (versión preliminar).

Importante

  • Actualmente, esta característica no está disponible para las nubes de la administración pública de EE. UU.

Requisitos previos

Las credenciales usan secretos almacenados en Azure Key Vault. Para crear credenciales, el administrador debe configurar primero Azure Key Vault.

En resumen, el administrador debe asegurarse de que:

  1. El proveedor de recursos de Microsoft Power Platform está registrado en la suscripción de Azure.
  2. Hay un Azure Key Vault que contiene los secretos que se usarán en las credenciales.
  3. La entidad de servicio de Dataverse tiene permisos para usar los secretos.
  4. Los usuarios que crean la variable de entorno tienen los permisos adecuados para el recurso de Azure Key Vault.
  5. El ambiente de Power Automate y la suscripción de Azure deben estar en el mismo inquilino.

Para configurar Azure Key Vault, siga los pasos descritos en Configurar Azure Key Vault.

Autenticación basada en certificado (versión preliminar)

La autenticación basada en certificados de Microsoft Entra ID es una autenticación de un solo factor que le permite cumplir con los requisitos de autenticación multifactor (MFA). En lugar de utilizar la autenticación basada en contraseña, utilice la autenticación basada en certificados (CBA), que verifica su identidad en función de los certificados digitales.

Para usar CBA, siga los pasos en configurar una autenticación basada en certificados. De lo contrario, comience a crear una credencial.

Crear una credencial

Para crear sus credenciales:

  1. Vaya a la página Credenciales. Si no ve la página Credenciales, siga estos pasos:

    1. Seleccione Más en el menú de la izquierda y, a continuación, seleccione Descubrir todo.
    2. En Datos, seleccione Credenciales. Puede anclar la página en el panel de navegación izquierdo para hacerla más accesible.

  2. En la página Credenciales, seleccione Nueva credencial para crear su primera credencial.

Captura de pantalla de la definición del nombre de la credencial.

Definir nombre de credencial

Proporcione la siguiente información para crear sus credenciales:

  • Nombre de credencial: introduzca un nombre para la credencial
  • Descripción (opcional)

Seleccionar almacén de credenciales

  1. Después de seleccionar Siguiente, seleccione Azure Key Vault como almacén de credenciales.
  2. seleccione Conexión como la ubicación en la que se usará la credencial. El uso de credenciales en el flujo de escritorio aún no es compatible con Azure Key Vault.
  3. Seleccione Azure Key Vault como el tipo de almacén de credenciales y después seleccione Siguiente.

Seleccionar valores de credenciales

En el último paso del asistente, seleccione los valores de las credenciales. Con Azure Key Vault, hay dos tipos de autenticaciones admitidas:

  1. Nombre de usuario y contraseña: el secreto almacenado en el almacén de claves es una contraseña.
  2. Autenticación basada en certificados: el secreto almacenado en el almacén de claves es un certificado.
  • Nombre de usuario: Para seleccionar un nombre de usuario, puede utilizar el menú desplegable. Si no tiene ninguna variable de entorno, seleccione nuevo:

    • Nombre para mostrar. Escriba un nombre para la variable de entorno.

    • Nombre. El nombre único se genera automáticamente a partir de Nombre para mostrar, pero puede cambiarlo.

    • Valor. Rellene el nombre del usuario. Para usuarios locales, proporcione el nombre de usuario. Para usuarios de dominio, proporcione <DOMAIN\username> o <username@domain.com>.

      Captura de pantalla del establecimiento del nombre de usuario de la credencial.

Nota

El nombre de usuario de la credencial es una variable de entorno de texto. También puede crear una variable de texto desde la página de soluciones y seleccionarla como nombre de usuario.

  • Contraseña: Para seleccionar una contraseña, puede utilizar el menú desplegable. Si no tiene ninguna variable de entorno secreta, seleccione nuevo:
    • Nombre para mostrar. Escriba un nombre para la variable de entorno.
    • Nombre. El nombre único se genera automáticamente a partir de Nombre para mostrar, pero puede cambiarlo.
    • Id. de suscripción: el identificador de suscripción de Azure asociado con el almacén de claves.
    • Nombre del grupo de recursos. El grupo de recursos de Azure donde se encuentra el almacén de claves que contiene el secreto.
    • Nombre de Azure Key Vault. El nombre del almacén de claves que contiene el secreto.
    • Nombre de secreto. El nombre del secreto que se encuentra en Azure Key Vault.

Captura de pantalla del establecimiento de la contraseña de la credencial.

Nota

El identificador de suscripción, el nombre del grupo de recursos y el nombre del almacén de claves se pueden encontrar en la página de Información general del almacén de claves del portal de Azure. El nombre del secreto se puede encontrar en la página del almacén de claves en el portal de Azure seleccionando Secretos en Configuración. La validación de acceso de usuario para el secreto se realiza en segundo plano. Si el usuario no tiene al menos permiso de lectura, se muestra este error de validación: "Esta variable no se guardó correctamente. El usuario no está autorizado a leer secretos de la 'ruta de Azure Key Vault'". Las contraseñas utilizan variables de entorno secretas. También puede crear una variable secreta desde la página de soluciones y seleccionarla como contraseña.

Crear conexiones de flujo de escritorio usando una credencial

Nota: Por ahora, las credenciales solo se admiten en las conexiones de flujo de escritorio.

Ahora puede utilizar su credencial en unas conexiones de flujo de escritorio

Ver dónde se usan los secretos

Desde la página Soluciones, puede recuperar todas las dependencias de las variables de entorno secretas. Esto le ayuda a saber dónde se usan sus secretos de Azure Key Vault antes de editarlos.

  • Seleccione una variable de entorno.
  • Seleccione la opción avanzada y seleccione Mostrar dependencias.
  • Puede ver:
    • Las credenciales que usan esta variable de entorno.
    • Las conexiones que usan esta variable de entorno.

Compartir una credencial

Puede compartir las credenciales que posee con otros usuarios de su organización y dar a esos usuarios permisos específicos para acceder a ellas.

  1. inicie sesión en Power Automate y después vaya a Credenciales.
  2. Seleccione su credencial en la lista de credenciales.
  3. En la barra de comandos, seleccione Compartir.
  4. Seleccione Agregar personas, ingrese el nombre de la persona en su organización con quien le gustaría compartir las credenciales y seleccione el rol que desea conceder a este usuario:
    • Copropietario (puede editar). Este nivel de acceso da permiso total a esa credencial. Los copropietarios pueden usar la credencial, compartirla con otros, editar sus detalles y eliminarla.
    • Usuario (solo puede ver). Este nivel de acceso solo da permiso para usar la credencial. No es posible editar, compartir ni eliminar permisos con este acceso.
    • Usuario (puede ver y compartir). Este nivel de acceso es el mismo que el de la opción Sólo se puede ver, pero otorga permiso para compartir.
  5. Seleccione Guardar.

Nota

Al compartir su credencial, también se comparten todas las variables de entorno utilizadas en ella. Quitar permisos a una credencial no quita permisos a las variables de entorno.

Eliminar una credencial

  1. inicie sesión en Power Automate y después vaya a Credenciales.
  2. En la lista, seleccione la credencial que desea eliminar y luego seleccione Eliminar máquina en la barra de comandos.

Nota

Al eliminar una credencial no se eliminan las variables de entorno asociadas

Exportar una conexión de flujo de escritorio mediante credenciales

Nota

Primero debería leer el artículo sobre ALM para flujos de escritorio.

Puede exportar un flujo de nube con una conexión de flujo de escritorio mediante credenciales. Debe importar primero la solución que contiene la credencial y las variables de entorno relacionadas y, a continuación, importar la que contiene el flujo de nube y el flujo de escritorio.

Limitaciones

  • Actualmente, esta característica solo está disponible para las conexiones de flujo de escritorio.
  • No puede editar el nombre de usuario y el secreto seleccionados en una credencial existente. Si desea cambiar el valor del nombre de usuario y la contraseña, debe actualizar las variables de entorno o el secreto de Azure Key Vault.

Actualizar un secreto (rotación de contraseñas) - obsoleto

Nota

Esta sección ahora ha quedado en desuso para las conexiones de flujo de escritorio. Las conexiones de flujo de escritorio que usan credenciales ahora recuperan secretos durante la ejecución del flujo. Ya no es necesario crear este flujo personalizado para actualizar las conexiones. Las conexiones que utilizan Credenciales creadas antes de abril de 2024 deben actualizarse para beneficiarse de la actualización automática.

Requisitos previos para actualizar un secreto (rotación de contraseña)

Nota

Esta sección requiere permisos específicos como el de administrador del sistema de la organización; de lo contrario, solo se actualizarán sus propias conexiones de flujo de escritorio.

Crear un flujo de nube mediante el desencadenador de Event Grid

Cuando edite secretos en su Azure Key Vault, querrá asegurarse de que las credenciales y conexiones que usan estos secretos están siempre actualizadas para evitar interrumpir sus automatizaciones. En Power Automate, debe crear un flujo en la nube que actualice las credenciales cuando se cambian los secretos en Azure Key Vault.

Este flujo de nube contiene un desencadenante y una acción:

  1. Desencadenador: cuando se produce un evento de recursos (Event Grid)
    • Tipo de recurso: Microsoft.KeyVault.vaults
    • Nombre de recurso: proporcione el nombre del almacén de claves.
    • Suscripción: proporcione el nombre de la suscripción.
    • Tipo de evento: Microsoft.KeyVault.SecretNewVersionCreated
  2. Acción: Realizar una acción sin enlazar (Dataverse)
    • Nombre de acción: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Tema
    • Nombre de secreto: Asunto

Captura de pantalla de la acción de Dataverse.

Si usa un único almacén de claves para todos sus secretos, solo necesitará un flujo de nube. Si dispone de varios almacenes de claves, deberá duplicar el flujo de nube y actualizar el nombre del recurso.

Para asegurarse de que su flujo de nube funciona correctamente con Azure Key Vault:

  1. Vaya a su almacén de claves.
  2. Seleccione Eventos.
  3. En Suscripciones a eventos, compruebe si puede ver un webhook de LogicApps.

Captura de pantalla de suscripciones a eventos en Azure Key Vault.