Udostępnij za pośrednictwem

Tworzenie poświadczeń Azure Key Vault

  • Artykuł

Strona Poświadczenia w usłudze Power Automate umożliwia tworzenie, edytowanie i udostępnianie poświadczeń dziennika przy użyciu Azure Key Vault i korzystanie z nich w połączeniach przepływu pulpitu.

Można także tworzyć poświadczenia za pomocą CyberArk® (wersja zapoznawcza).

Ważne

  • Obecnie ta funkcja jest niedostępna w chmurach US Government

Wymagania wstępne

Poświadczenia korzystają z wpisów tajnych przechowywanych w Azure Key Vault. Aby utworzyć poświadczenia, administrator musi najpierw skonfigurować usługę Azure Key Vault.

Krótko mówiąc, administrator musi zapewnić:

  1. Dostawca zasobów Microsoft Power Platform jest zarejestrowany w subskrypcji platformy Azure.
  2. Istnieje Azure Key Vault zawierający tajne dane, które mają być używane w poświadczeniach.
  3. Jednostka usługi Dataverse ma uprawnienia do korzystania z wpisów tajnych.
  4. Użytkownicy, którzy tworzą zmienną środowiskową, mają odpowiednie uprawnienia do zasobu Azure Key Vault.
  5. Środowisko Power Automate i subskrypcja Azure muszą znajdować się w tym samym dzierżawcy.

Aby skonfigurować Azure Key Vault, wykonaj kroki opisane w temacie Konfigurowanie Azure Key Vault.

Uwierzytelnianie za pomocą certyfikatu (wersja zapoznawcza)

Uwierzytelnianie oparte na certyfikacie Microsoft Entra ID to uwierzytelnianie jednoczynnikowe, które pozwala spełnić wymagania uwierzytelniania wieloskładnikowego (MFA). Zamiast używać uwierzytelniania opartego na hasłach, użyj uwierzytelniania opartego na certyfikatach (CBA), które weryfikuje Twoją tożsamość na podstawie certyfikatów cyfrowych.

Aby użyć CBA, wykonaj kroki opisane w Konfigurowanie uwierzytelniania opartego na certyfikatach. W przeciwnym razie należy rozpocząć tworzenie poświadczeń.

Utwórz poświadczenie

Aby utworzyć poświadczenia:

  1. Przejdź do strony Poświadczenia. Jeśli nie widzisz strony Poświadczenia, wykonaj następujące kroki:

    1. Wybierz Więcej z lewej strony, a następnie wybierz opcję Wykryj wszystkie.
    2. W obszarze Data wybierz opcję Poświadczenia. Możesz przypiąć stronę w lewym pasku nawigacyjnym, aby była bardziej dostępna.

  2. Na stronie Poświadczenia utwórz swoje pierwsze poświadczenia, wybierając pozycję Nowe poświadczenie.

Zrzut ekranu przedstawiający definiowanie nazwy poświadczeń.

Zdefiniuj nazwę poświadczenia

Podaj następujące informacje, aby utworzyć poświadczenia:

  • Nazwa poświadczeń: wprowadź nazwę poświadczenia
  • Opis: (Opcjonalnie)

Wybierz magazyn poświadczeń

  1. Po wybraniu opcji Dalej należy wybrać Azure Key Vault jako magazyn poświadczeń.
  2. Wybierz pozycję Połączenie jako lokalizację, aby użyć poświadczeń. Używanie poświadczeń w przepływie pulpitu nie jest jeszcze obsługiwane przez Azure Key Vault.
  3. Wybierz Azure Key Vault jako typ magazynu poświadczeń, a następnie wybierz Dalej.

Wybierz wartości poświadczeń

W ostatnim kroku kreatora wybierz wartości poświadczeń. W usłudze Azure Key Vault dostępne są dwa typy obsługiwanych uwierzytelnień:

  1. Nazwa użytkownika i hasło: klucz tajny przechowywany w magazynie jest hasłem.
  2. Uwierzytelnianie oparte na certyfikatach: klucz tajny przechowywany w magazynie jest certyfikatem.
  • Nazwa użytkownika: aby wybrać nazwę użytkownika, możesz użyć listy rozwijanej. Jeśli nie ma zmiennych środowiska, wybierz pozycję nowe:

    • Nazwa wyświetlana Wprowadź nazwę dla zmiennej środowiska.

    • Name. Unikatowa nazwa jest generowana automatycznie z Nazwy wyświetlanej, ale można ją zmienić.

    • Wartość. Podaj nazwę użytkownika. W przypadku użytkowników lokalnych podaj nazwę użytkownika. W przypadku użytkowników domeny podaj <DOMAIN\username> lub <username@domain.com>.

      Zrzut ekranu przedstawiający definiowanie nazwy użytkownika dla poświadczeń.

Uwaga

Nazwa użytkownika poświadczeń to tekstowa zmienna środowiskowego. Możesz także utworzyć zmienną tekstową na stronie rozwiązań i wybrać ją jako nazwę użytkownika.

  • Hasło: aby wybrać hasło, możesz użyć listy rozwijanej. Jeśli nie ma tajnych zmiennych środowiska, wybierz pozycję nowe:
    • Nazwa wyświetlana Wprowadź nazwę dla zmiennej środowiska.
    • Name. Unikatowa nazwa jest generowana automatycznie z Nazwy wyświetlanej, ale można ją zmienić.
    • Identyfikator subskrypcji: identyfikator subskrypcji Azure skojarzony z magazynem kluczy.
    • Nazwa grupy zasobów. Grupa zasobów platformy Azure, w której znajduje się magazyn kluczy zawierający klucz tajny.
    • Nazwa magazynu kluczy w usłudze Azure Key Vault. Nazwa magazynu kluczy, w którym znajduje się klucz tajny.
    • Nazwa wpisu tajnego. Nazwa klucza tajnego znajdującego się w usłudze Azure Key Vault.

Zrzut ekranu przedstawiający definiowanie hasła dla poświadczeń.

Uwaga

Identyfikator subskrypcji, nazwa grupy zasobów i nazwa magazynu kluczy można znaleźć na stronie Omówienie portalu Azure w magazynie kluczy. Nazwę wpisu tajnego można znaleźć na stronie magazynu kluczy w portalu Azure, wybierając pozycję Wpisy tajne w obszarze Ustawienia. Sprawdzanie poprawności dostępu użytkownika dla wpisu tajnego jest wykonywane w tle. Jeśli użytkownik nie ma uprawnień przynajmniej do odczytu, zostanie wyświetlony następujący błąd sprawdzania poprawności: „Ta zmienna nie została poprawnie zapisana. Użytkownik nie ma autoryzacji do odczytywania tajnych danych ze „ścieżki Azure Key Vault". W hasłach są używane tajne zmienne środowiskowe. Możesz także utworzyć zmienną wpisu tajnego na stronie rozwiązań i wybrać ją jako hasło.

Tworzenie poświadczeń w połączeniach przepływu pulpitu przy użyciu poświadczenia

Uwaga: poświadczenia są obecnie obsługiwane tylko w połączeniach przepływ pulpitu klienta.

Poświadczenia użytkownika można teraz używać w połączeniach przepływ pulpitu

Wyświetlanie miejsc użycia wpisów tajnych

Na stronie Rozwiązania można pobrać wszystkie zależności zmiennych środowiskowych. Pomaga to w zrozumieniu, gdzie są używane wpisy tajne magazynu Azure Key Vault przed ich edycją.

  • Wybierz jedną zmienną środowiskową.
  • Wybierz opcję zaawansowane i wybierz opcję Pokaż zależności.
  • Możesz zobaczyć:
    • Poświadczenia używane przez tę zmienną środowiskową.
    • Połączenia używane przez tę zmienną środowiskową.

Udostępnianie poświadczenia

Posiadane poświadczenia można udostępniać innym użytkownikom w organizacji, dając tym użytkownikom określone uprawnienia dostępu do nich.

  1. Zaloguj się do Power Automate, a następnie przejść do obszaru Poświadczenia.
  2. Wybierz swoje poświadczenia z listy poświadczeń.
  3. Na pasku poleceń wybierz pozycję Udostępnij.
  4. Wybierz opcję Dodaj osoby, wprowadź imię i nazwisko osoby w organizacji, której chcesz udostępnić poświadczenia, a następnie wybierz role do przyznania użytkownikowi:
    • Współwłaściciel (może edytować). Ten poziom dostępu zapewnia pełne uprawnienie do tego poświadczenia. Współwłaściciele mogą używać poświadczenia, udostępniać je innym osobom i edytować jego szczegóły, a także je usunąć.
    • Użytkownik (może tylko wyświetlać). Ten poziom dostępu zapewnia tylko uprawnienie do używania tego poświadczenia. Z tym dostępem nie można edytować, udostępniać ani usuwać uprawnień.
    • Użytkownik (może wyświetlać i udostępniać). Ten poziom dostępu jest taki sam, jak opcja wyświetlania tylko do przeglądania, ale daje uprawnienia do udostępniania.
  5. Wybierz pozycję Zapisz.

Uwaga

Udostępnienie poświadczeń obejmuje również udostępnienie wszystkich zmiennych środowiskowych używanych w poświadczeniach. Usunięcie uprawnień do poświadczenia nie powoduje usunięcia uprawnień do zmiennych środowiskowych.

Usuwanie poświadczenia

  1. Zaloguj się do Power Automate, a następnie przejdź do obszaru Poświadczenia.
  2. Z listy wybierz poświadczenie, które chcesz usunąć, a następnie wybierz Usuń maszynę na pasku poleceń.

Uwaga

Usunięcie poświadczenia nie powoduje usunięcia skojarzonych zmiennych środowiskowych.

Eksportowanie połączenia przepływu pulpitu przy użyciu poświadczenia

Uwaga

Najpierw należy przeczytać artykuł ALM dla przepływów pulpitu.

Przepływ chmury można eksportować przy użyciu połączenia przepływu pulpitu przy użyciu poświadczeń. Należy najpierw zaimportować rozwiązanie zawierające poświadczenia i zmienne środowiska pokrewnego, a następnie zaimportować rozwiązanie zawierające przepływ w chmurze i przepływ pulpitu.

Ograniczenia

  • Obecnie ta funkcja jest dostępna tylko w przypadku połączeń przepływu pulpitu.
  • Nie można edytować wybranej nazwy użytkownika i wpisu tajnego w istniejących poświadczeniach. Aby zmienić wartość nazwy użytkownika i hasła, należy zaktualizować zmienne środowiskowe lub wpis tajny Azure Key Vault.

Aktualizowanie wpisu tajnego (rotacja haseł) — przestarzałe

Uwaga

Ta sekcja jest teraz przestarzała dla połączeń przepływu pulpitu. Połączenia przepływu pulpitu przy użyciu Poświadczeń pobierają teraz sekrety podczas wykonywania przepływu. Nie jest już potrzebne tworzenie tego niestandardowego przepływu w celu aktualizacji połączeń. Połączenia używające poświadczeń utworzonych przed kwietnia 2024 r. należy zaktualizować, aby skorzystać z aktualizacji automatycznej.

Wymagania wstępne dotyczące aktualizowania wpisu tajnego (rotacja haseł)

  • Upewnij się, że usługa Event Grid jest zarejestrowana jako dostawca zasobów na platformie Azure. Dowiedz się więcej o dostawcach zasobów.
  • Upewnij się, że użytkownicy, którzy korzystają z wyzwalacza usługi Event Grid w Power Automate, mają uprawnienia współautora siatki zdarzeń Event Grid. Dowiedz się więcej

Uwaga

W tej sekcji są wymagane określone uprawnienia, takie jak administrator systemu w organizacji, w przeciwnym razie zostaną zaktualizowane tylko własne połączenia przepływu pulpitu.

Tworzenie widoku przepływ w chmurze przy użyciu wyzwalacza Event Grid

Edytując tajne dane w magazynie Azure Key Vault, trzeba zagwarantować, że poświadczenia i połączenia korzystające z tych tajnych wpisów są zawsze aktualne, aby uniknąć przerwania procesu automatyzacji. W Power Automate należy utworzyć wpis przepływ w chmurze, który aktualizuje poświadczenia w przypadku zmiany wpisów tajnych w Azure Key Vault.

Ten przepływ chmury zawiera jeden wyzwalacz i jedną akcję:

  1. Wyzwalacz: w momencie wystąpienia zdarzenia zasobu (Event Grid)
    • Typ zasobu: Microsoft.KeyVault.vaults
    • Nazwa zasobu: podaj nazwę magazynu kluczy.
    • Subskrypcja: podaj nazwę subskrypcji.
    • Typ zdarzenia: Microsoft.KeyVault.SecretNewVersionCreated
  2. Akcja: wykonaj akcję anulowania powiązania (Dataverse)
    • Nazwa akcji: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Temat
    • Nazwa wpisu tajnego: Temat

Zrzut ekranu akcji Dataverse.

Jeśli do wszystkich wpisów tajnych jest używany tylko jeden magazyn Key Vault, jest potrzebny tylko jeden przepływ w chmurze. Jeśli masz kilka magazynów Key Vault, należy zduplikować przepływ chmury i zaktualizować nazwę zasobu.

Aby upewnić się, że przepływ chmury działa poprawnie w magazynie Azure Key Vault:

  1. Przejdź do magazynu Key Vault.
  2. Wybierz pozycję Zdarzenia.
  3. W subskrypcjach zdarzeń sprawdź, czy jest wyświetlony element webhook LogicApps.

Zrzut ekranu subskrypcji zdarzeń w usłudze Azure Key Vault.