Compartilhar via

Criar uma credencial do Azure Key Vault

  • Artigo

A página Credenciais no Power Automate permite criar, editar e compartilhar credenciais de entrada usando o Azure Key Vault e usá-las em conexões do fluxo da área de trabalho.

Você também pode criar credenciais com o CyberArk® (versão preliminar).

Importante

  • Atualmente, esse recurso não está disponível para Nuvens do Governo dos EUA.

Pré-requisitos

As credenciais usam segredos armazenados no Azure Key Vault. Para criar credenciais, seu administrador deve configurar o Azure Key Vault primeiro.

Em resumo, o administrador precisa garantir:

  1. O provedor de recursos do Microsoft Power Platform está registrado na assinatura do Azure.
  2. Há um Azure Key Vault que contém os segredos a serem usados nas credenciais.
  3. A entidade de serviço do Dataverse tem permissões para usar os segredos.
  4. Os usuários que criam a variável ambiental têm permissões apropriadas para o recurso Azure Key Vault.
  5. O ambiente do Power Automate e a assinatura do Azure devem estar no mesmo locatário.

Para configurar o Azure Key Vault, siga as etapas descritas em Configurar o Azure Key Vault.

Autenticação baseada em certificado (versão preliminar)

A autenticação baseada em certificado do Microsoft Entra ID é uma autenticação de fator único que permite atender aos requisitos de MFA (autenticação multifator). Em vez de usar a autenticação baseada em senha, use a autenticação baseada em certificado (CBA), que verifica sua identidade com base em certificados digitais.

Para usar a CBA, siga as etapas em Configurar autenticação baseada em certificado. Caso contrário, comece a criar uma credencial.

Criar uma credencial

Para criar suas credenciais:

  1. Vá para a página Credenciais. Se não vir a página Credenciais, siga estes passos:

    1. Selecione Mais na navegação esquerda e escolha Descobrir tudo.
    2. Em Dados, selecione Credenciais. Você pode fixar a página na navegação à esquerda para torná-la mais acessível.

  2. Na página Credenciais, crie sua primeira credencial selecionando Nova Credencial.

Captura de tela da definição do nome da credencial.

Definir nome de credencial

Forneça as seguintes informações para criar sua credencial:

  • Nome da credencial: insira um nome para a credencial
  • Descrição (opcional)

Selecionar armazenamento de credenciais

  1. Depois de selecionar Avançar, selecione Azure Key Vault como o armazenamento de credenciais.
  2. Selecione Conexão como o local para usar a credencial. O uso de credenciais no fluxo da área de trabalho ainda não é compatível com o Azure Key Vault.
  3. Selecione Azure Key Vault como o tipo de armazenamento de credenciais e escolha Avançar.

Selecionar valores de credencial

Na última etapa do assistente, selecione valores da credencial. Com o Azure Key Vault, há dois tipos de autenticações compatíveis:

  1. Nome de usuário e senha: o segredo armazenado no cofre é uma senha.
  2. Autenticação baseada em certificado: o segredo armazenado no cofre é um certificado.
  • Nome de usuário: para selecionar um nome de usuário, você pode usar a lista suspensa. Se você não tiver nenhuma variável de ambiente, selecione nova:

    • Nome para exibição. Insira um nome para a variável do ambiente.

    • Nome.. O nome exclusivo é gerado automaticamente do Nome de exibição, mas você pode alterá-lo.

    • Valor. Preencha o nome do usuário. Para usuários locais, forneça o nome de usuário. Para usuários do domínio, forneça <DOMAIN\username> ou <username@domain.com>.

      Captura de tela da definição do nome de usuário da credencial.

Observação

O nome de usuário da credencial é uma variável de ambiente de texto. Você também pode criar uma variável de texto na página de soluções e selecioná-la como nome de usuário.

  • Senha: para selecionar uma senha, você pode usar a lista suspensa. Se você não tiver nenhuma variável de ambiente secreta, selecione nova:
    • Nome para exibição. Insira um nome para a variável do ambiente.
    • Nome.. O nome exclusivo é gerado automaticamente do Nome de exibição, mas você pode alterá-lo.
    • ID da assinatura. a ID da assinatura do Azure associada ao cofre de chaves.
    • Nome do grupo de recursos. O grupo de recursos do Azure onde o cofre de chaves que contém o segredo está localizado.
    • Nome do Azure key vault. O nome do cofre de chaves que contém o segredo.
    • Nome do segredo. O nome do segredo localizado no Azure Key Vault.

Captura de tela da definição de senha da credencial.

Observação

A ID da assinatura, o nome do grupo de recursos e o nome do cofre de chaves podem ser encontrados na página Visão geral do cofre de chaves no portal do Azure. O nome do segredo pode ser encontrado na página do cofre de chaves no portal do Azure selecionando Segredos em Configurações. A validação de acesso do usuário para o segredo é executada em segundo plano. Se o usuário não tiver, pelo menos, permissão de leitura, este erro de validação será exibido: "Esta variável não foi salva corretamente. O usuário não está autorizado a ler segredos do 'caminho do Azure Key Vault'." As senhas usam variáveis de ambiente secretas. Você também pode criar uma variável secreta na página de soluções e selecioná-la como senha.

Criar conexões de fluxo da área de trabalho usando uma credencial

Observação: por enquanto, as credenciais só são suportadas nas conexões fluxo da área de trabalho.

Agora você pode usar sua credencial em conexões de fluxo da área de trabalho

Veja onde os segredos são usados

Na página Soluções, você pode recuperar todas as dependências de variáveis ​​de ambiente secretas. Isto ajuda-o a compreender onde os segredos do Azure Key Vault são usados ​​antes de os editar.

  • Selecione uma variável do ambiente.
  • Selecione a opção avançada e escolha Mostrar dependências.
  • Você pode ver:
    • As credenciais que usam esta variável de ambiente.
    • As conexões que usam esta variável de ambiente.

Compartilhe uma credencial

Você pode compartilhar as credenciais que possui com outros usuários em sua organização e fornecer a esses usuários permissões especificas para acessá-las.

  1. Entre no Power Automate e depois acesse Credenciais.
  2. Selecione sua credencial da lista de credenciais.
  3. Na barra de comandos, selecione Compartilhar.
  4. Selecione Adicionar pessoas, informe o nome da pessoa de sua organização com quem você deseja compartilhar as credenciais e selecione a função que deseja conceder a este usuário:
    • Coproprietário (pode editar). Esse nível de acesso concede permissões totais a essa credencial. Coproprietários podem usar a credencial, compartilhá-la com outras pessoas, editar seus detalhes e excluí-la.
    • Usuário (somente para exibição). Esse nível de acesso somente concede permissão para usar a credencial. Nenhuma permissão de edição, compartilhamento ou exclusão é possível com esse acesso.
    • Usuário (pode visualizar e compartilhar). Este nível de acesso é igual à opção somente visualizar, mas dá permissão para compartilhar.
  5. Selecione Salvar.

Observação

Ao compartilhar sua credencial, todas as variáveis ​​de ambiente usadas na credencial também são compartilhadas. A remoção de permissões em uma credencial não remove permissões nas variáveis ​​de ambiente.

Excluir uma credencial

  1. Entre no Power Automate e depois acesse Credenciais.
  2. Da lista, selecione a credencial que deseja excluir e, em seguida, selecione Excluir máquina na barra de comandos.

Observação

Excluir uma credencial não exclui as variáveis ​​de ambiente associadas.

Exportar uma conexão de fluxo da área de trabalho usando credencial

Observação

Você deve primeiro ler o artigo sobre ALM para fluxos da área de trabalho.

Você pode exportar um fluxo da nuvem com uma conexão de fluxo da área de trabalho usando credenciais. Você deve importar primeiro a solução que contém a credencial e as variáveis ​​de ambiente relacionadas e depois importar aquela que contém o fluxo da nuvem e o fluxo da área de trabalho.

Limitações

  • No momento, este recurso está disponível apenas para conexões de fluxo da área de trabalho.
  • Não é possível editar o nome de usuário e o segredo selecionados em uma credencial existente. Se quiser alterar o valor do nome de usuário e da senha, você precisará atualizar as variáveis de ambiente ou o segredo do Azure Key Vault.

Atualizar um segredo (rotação de senha) - Preterido

Observação

Esta seção agora foi preterida para conexões de fluxo da área de trabalho. As conexões do fluxo da área de trabalho que usam Credenciais agora estão recuperando segredos durante a execução do fluxo. Não é mais necessário criar esse fluxo personalizado para atualizar as conexões. As conexões que usam Credenciais criadas antes de abril de 2024 devem ser atualizadas para se beneficiarem da atualização automática.

Pré-requisitos para atualizar um segredo (rotação de senha)

  • Certifique-se de que a Grade de Eventos está registada como Fornecedor de Recursos no Azure. Saiba mais sobre provedores de recursos.
  • Certifique-se de que os usuários que usam o gatilho da Grade de Eventos no Power Automate tem permissões de Colaborador da Grade de Eventos. Saiba mais

Observação

Esta seção requer permissões específicas, como administrador do sistema da organização, caso contrário, apenas suas próprias conexões de fluxo da área de trabalho serão atualizadas.

Criar uma fluxo da nuvem usando o gatilho Grade de Eventos

Ao editar segredos no Azure Key Vault, você quer garantir que as credenciais e conexões que usam esses segredos estejam sempre atualizadas para evitar quebrar suas automações. No Power Automate, você precisa criar um fluxo da nuvem que atualize as credenciais quando os segredos forem alterados no Azure Key Vault.

Este fluxo da nuvem contém um gatilho e uma ação:

  1. Gatilho: Quando ocorre um evento de recurso (Grade de Eventos)
    • Tipo de recurso: Microsoft.KeyVault.vaults
    • Nome do recurso: forneça o nome do cofre de chaves.
    • Assinatura: forneça o nome da assinatura.
    • Tipo de evento: Microsoft.KeyVault.SecretNewVersionCreated
  2. Ação: executar uma ação não associada (Dataverse)
    • Nome da ação: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Tópico
    • Nome do segredo: Assunto

Captura de tela da ação do Dataverse.

Se você usar um Key Vault para todos os seus segredos, precisará apenas de um fluxo da nuvem. Se tiver vários Key Vaults, será necessário duplicar o fluxo da nuvem e atualizar o nome do recurso.

Para garantir que o seu fluxo da nuvem está funcionando corretamente com o Azure Key Vault:

  1. Vá para o seu Key Vault.
  2. Selecione Eventos.
  3. Em Assinaturas de eventos, verifique se você consegue ver um webhook do LogicApps.

Captura de tela de Assinaturas de evento no Azure Key Vault.