Partilhar via

Criar uma credencial do Azure Key Vault

  • Artigo

A página Credenciais no Power Automate permite criar, editar e partilhar credenciais de início de sessão através do Azure Key Vault e utilizá-las em ligações de fluxo de ambiente de trabalho.

Também pode criar credenciais com o CyberArk® (pré-visualização).

Importante

  • Atualmente, esta funcionalidade não está disponível para as clouds governamentais dos EUA.

Pré-requisitos

As credenciais usam segredos armazenados no Azure Key Vault. Para criar credenciais, o administrador deve primeiro configurar o Azure Key Vault.

Em resumo, o administrador precisa garantir:

  1. O fornecedor de recursos do Microsoft Power Platform está registado na subscrição do Azure.
  2. Há um Azure Key Vault que contém os segredos a utilizar nas credenciais.
  3. O principal de serviço Dataverse tem permissões para usar os segredos.
  4. Os utilizadores que criam a variável de ambiente têm permissões apropriadas para o recurso Azure Key Vault.
  5. O ambiente do Power Automate e a subscrição do Azure devem estar no mesmo inquilino.

Para configurar o Azure Key Vault, siga os passos descritos em Configurar Azure Key Vault.

Autenticação baseada em certificado (pré-visualização)

A autenticação baseada em certificado de ID do Microsoft Entra é uma autenticação de fator único que permite atender aos requisitos de autenticação multifator (MFA). Em vez de usar a autenticação baseada em palavra-passe, use a autenticação baseada em certificado (CBA), que verifica a sua identidade com base em certificados digitais.

Para utilizar CBA, siga os passos em Configurar a autenticação baseada em certificado. Caso contrário, comece a criar uma credencial.

Criar uma credencial

Para criar as suas credenciais:

  1. Aceda à página Credenciais. Se não vir a página Credenciais, siga estes passos:

    1. Selecione Mais no painel de navegação esquerdo e, em seguida, selecione Descobrir tudo.
    2. Em Dados, selecione Credenciais. Pode afixar a página na navegação à esquerda para torná-la mais acessível.

  2. Na página Credenciais, crie a sua primeira credencial selecionando Nova credencial.

Captura de ecrã da definição do nome da credencial.

Definir nome da credencial

Forneça as seguintes informações para criar uma credencial:

  • Nome da credencial: introduza um nome para a credencial
  • Descrição: (opcional)

Selecionar arquivo de credenciais

  1. Depois de selecionar Seguinte, selecione Azure Key Vault como o credential store.
  2. Selecione Ligação como a localização para usar a credencial. A utilização de credenciais no fluxo de ambiente de trabalho ainda não é suportada com o Azure Key Vault.
  3. Selecione Azure Key Vault como o tipo de credential store e, em seguida, selecione Seguinte.

Selecionar valores de credenciais

No último passo do assistente, selecione valores da credencial. Com o Azure Key Vault, existem dois tipos de autenticações suportadas:

  1. Nome de utilizador e palavra-passe: O segredo armazenado no cofre é uma palavra-passe.
  2. Autenticação baseada em certificado: o segredo armazenado no cofre é um certificado.
  • Nome de utilizador: para selecionar um nome de utilizador, pode utilizar a lista pendente. Se não tiver nenhuma variável de ambiente, selecione nova:

    • Nome a Apresentar. Introduza um nome para a variável de ambiente.

    • Nome. O nome exclusivo é gerado automaticamente a partir do Nome a apresentar, mas pode alterá-lo.

    • Valor. Preencha o nome do utilizador. Para utilizadores locais, forneça o nome de utilizador. Para utilizadores de domínio, forneça <DOMAIN\username> ou <username@domain.com>.

      Captura de ecrã da definição do nome de utilizador da credencial.

Nota

O nome de utilizador de credenciais é uma variável de ambiente de texto. Também pode criar uma variável de texto a partir da página de soluções e selecioná-la como nome de utilizador.

  • Palavra-passe: para selecionar uma palavra-passe, pode utilizar a lista pendente. Se não tiver nenhuma variável de ambiente secreta, selecione nova:
    • Nome a Apresentar. Introduza um nome para a variável de ambiente.
    • Nome. O nome exclusivo é gerado automaticamente a partir do Nome a apresentar, mas pode alterá-lo.
    • ID da Subscrição: o ID da subscrição do Azure associado ao cofre de chaves.
    • Nome do grupo de recursos. O grupo de recursos do Azure onde o cofre de chaves que contém o segredo está localizado.
    • Nome do Azure Key Vault. O nome do cofre de chaves que contém o segredo.
    • Nome do segredo. O nome do segredo localizado no Azure Key Vault.

Captura de ecrã da definição da palavra-passe da credencial.

Nota

O ID de subscrição, o nome do grupo de recursos e o nome do cofre de chaves podem ser encontrados na página Descrição geral do portal do Azure do cofre de chaves. O nome do segredo pode ser encontrado na página do cofre de chaves no portal do Azure selecionando Segredos sob Definições. A validação de acesso ao utilizador para o segredo é efetuada em segundo plano. Se o utilizador não tiver, pelo menos, permissão de leitura, este erro de validação é apresentado: "Esta variável não foi guardada corretamente. O utilizador não está autorizado a ler segredos do "caminho do Azure Key Vault". "As palavras-passe utilizam variáveis de ambiente secretas. Também pode criar uma variável secreta a partir da página de soluções e selecioná-la como palavra-passe.

Criar ligações de fluxo de área de trabalho usando uma credencial

Nota: Por enquanto, as credenciais só são suportadas nas ligações de fluxo de ambiente de trabalho.

Pode agora utilizar a sua credencial numa ligação de fluxo de ambiente de trabalho

Ver onde os segredos são usados

Na página Soluções, pode obter todas as dependências de variáveis de ambiente secretas. Isso ajuda-o a entender onde os segredos do Azure Key Vault são usados antes de serem editados.

  • Selecione uma variável de ambiente.
  • Selecione a opção avançada e selecione Mostrar dependências.
  • Pode ver:
    • As credenciais usando esta variável de ambiente.
    • As ligações usando esta variável de ambiente.

Partilhar uma credencial

Pode partilhar as credenciais que tiver com outros utilizadores na sua organização e dar a esses utilizadores permissões específicas para acederem às mesmas.

  1. Inicie sessão no Power Automate e, em seguida, aceda a Credenciais.
  2. Selecione a sua credencial na lista de credenciais.
  3. Na barra de comando, selecione Partilhar.
  4. Selecione Adicionar pessoas, introduza o nome da pessoa na sua organização com quem gostaria de partilhar as credenciais e, em seguida, selecione a função que pretende conceder a este utilizador:
    • Coproprietário (pode editar). Este nível de acesso dá permissão completa a essa credencial. Os coproprietários podem utilizar a credencial, partilhá-la com outros, editar os respetivos detalhes e eliminá-los.
    • Utilizador (só pode ver). Este nível de acesso só dá permissão para utilizar a credencial. Não são possíveis permissões de edição, eliminação ou partilha com este acesso.
    • Utilizador (pode ver e partilhar). Este nível de acesso é o mesmo que a opção só pode ver, mas dá permissão para partilhar.
  5. Selecione Guardar.

Nota

Ao partilhar a sua credencial, todas as variáveis de ambiente usadas na credencial também são partilhadas. Remover permissões numa credencial não remove permissões nas variáveis de ambiente.

Eliminar uma credencial

  1. Inicie sessão no Power Automate e, em seguida, aceda a Credenciais.
  2. A partir da lista, selecione a credencial que pretende eliminar e, em seguida, selecione Eliminar máquina na barra de comando.

Nota

Ao eliminar uma credencial não elimina as variáveis de ambiente associadas.

Exportar uma ligação de fluxo de ambiente de trabalho usando credencial

Nota

Deve primeiro ler o artigo sobre ALM para fluxos de ambiente de trabalho.

Pode exportar um fluxo de cloud com uma ligação de fluxo de ambiente de trabalho usando credencial. Deve importar a solução que contém a credencial e as variáveis de ambiente relacionadas primeiro e, em seguida, importar a que contém o fluxo de cloud e o fluxo de ambiente de trabalho.

Limitações

  • Atualmente, esta funcionalidade está disponível apenas para ligações de fluxo de ambiente de trabalho.
  • Não é possível editar o nome de utilizador e o segredo selecionados numa credencial existente. Se quiser alterar o valor de nome de utilizador e palavra-passe, tem de atualizar as variáveis de ambiente ou o segredo do Azure Key Vault.

Atualizar um segredo (rotação de palavras-passe) — Preterido

Nota

Esta secção foi agora preterida para ligações de fluxos de ambiente de trabalho. As ligações de fluxo de área de trabalho usando Credenciais agora estão a recuperar segredos durante a execução do fluxo. Já não é necessário criar este fluxo personalizado para atualizar as ligações. As ligações que utilizam Credenciais criadas antes de abril de 2024 deverão ser atualizadas para beneficiarem da atualização automática.

Pré-requisitos para atualizar um segredo (rotação de palavra-passe)

Nota

Esta secção requer permissões específicas, como administrador do sistema da organização, caso contrário, apenas as suas próprias ligações de fluxo de ambiente de trabalho serão atualizadas.

Criar um fluxo de cloud utilizando o acionador do Event Grid

Ao editar segredos no seu Azure Key Vault, pretende garantir que as credenciais e ligações que usam esses segredos estejam sempre atualizadas para evitar interromper as suas automatizações. No Power Automate, necessita de criar um fluxo de cloud que atualiza as credenciais quando os segredos no Azure Key Vault forem alterados.

Esse fluxo de cloud contém um acionador e uma ação:

  1. Acionador: Quando ocorre um evento de recurso (Event Grid)
    • Tipo de recurso: Microsoft.KeyVault.vaults
    • Nome do recurso: forneça o nome do cofre de chaves.
    • Subscrição: forneça o nome da subscrição.
    • Tipo de evento: Microsoft.KeyVault.SecretNewVersionCreated
  2. Ação: realizar uma ação não vinculada (Dataverse)
    • Nome da ação: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Tópico
    • Nome secreto: Assunto

Captura de ecrã da ação do Dataverse.

Se usa um Key Vault para todos os seus segredos, precisará apenas de um fluxo de cloud. Se tiver vários Key Vaults, terá de duplicar o fluxo de cloud e atualizar o nome do recurso.

Para garantir que o seu fluxo de cloud esteja a funcionar corretamente com o Azure Key Vault:

  1. Aceda ao Key Vault.
  2. Selecione Eventos.
  3. Em Subscrições de eventos, verifique se consegue ver um webhook do LogicApps.

Captura de ecrã das subscrições de eventos no Azure Key Vault.