Partilhar via

Criar uma credencial do Azure Key Vault

  • Artigo

A página Credenciais no Power Automate permite criar, editar e partilhar credenciais de início de sessão através do Azure Key Vault e utilizá-las em ligações de fluxo de ambiente de trabalho.

Também pode criar credenciais com o CyberArk® (pré-visualização).

Importante

  • Atualmente, esta funcionalidade não está disponível para as clouds governamentais dos EUA.

Pré-requisitos

As credenciais usam segredos armazenados no Azure Key Vault. Para permitir que crie credenciais, o seu administrador tem de configurar o Azure Key Vault primeiro.

Em resumo, o administrador tem de garantir:

  1. O fornecedor de recursos do Microsoft Power Platform está registado na subscrição do Azure.
  2. Há um Azure Key Vault que contém os segredos a utilizar nas credenciais.
  3. O principal de serviço Dataverse tem permissões para usar os segredos.
  4. Os utilizadores que criam a variável de ambiente têm permissões apropriadas para o recurso Azure Key Vault.
  5. O ambiente do Power Automate e a subscrição do Azure devem estar no mesmo inquilino.

Para configurar o Azure Key Vault, siga os passos descritos em Configurar Azure Key Vault.

Criar uma credencial

Para criar as suas credenciais:

  1. Aceda à página Credenciais.
  2. Selecione mais no painel de navegação esquerdo e, em seguida, selecione Descobrir tudo.
  3. Em Dados, selecione Credenciais. Pode afixar a página no painel de navegação esquerdo para torná-la mais acessível.

Na página de credenciais, agora pode criar a sua primeira credencial.

Captura de ecrã da definição do nome da credencial.

Para criar a sua credencial, tem de fornecer as seguintes informações:

  • Nome da credencial: introduza um nome para a credencial
  • Descrição: (opcional)

Depois de selecionar Seguinte, tem de selecionar Azure Key Vault como um arquivo de credenciais.

Na último passo do assistente, seleciona o nome de utilizador e a palavra-passe ou cria novos:

  • Nome de utilizador: para selecionar um nome de utilizador, pode utilizar a lista pendente. Se não tiver nenhuma variável de ambiente, selecione nova:

    • Nome a apresentar. Introduza um nome para a variável de ambiente.

    • Name. O nome exclusivo é gerado automaticamente a partir do Nome a apresentar, mas pode alterá-lo.

    • Valor. Preencha o nome do utilizador. Para utilizadores locais, forneça o nome de utilizador. Para utilizadores de domínio, forneça <DOMAIN\username> ou <username@domain.com>.

      Captura de ecrã da definição do nome de utilizador da credencial.

Nota

O nome de utilizador de credenciais é uma variável de ambiente de texto. Também pode criar uma variável de texto a partir da página de soluções e selecioná-la como nome de utilizador.

  • Palavra-passe: para selecionar uma palavra-passe, pode utilizar a lista pendente. Se não tiver nenhuma variável de ambiente secreta, selecione nova:
    • Nome a apresentar. Introduza um nome para a variável de ambiente.
    • Name. O nome exclusivo é gerado automaticamente a partir do Nome a apresentar, mas pode alterá-lo.
    • ID da Subscrição: o ID da subscrição do Azure associado ao cofre de chaves.
    • Nome do grupo de recursos. O grupo de recursos do Azure onde o cofre de chaves que contém o segredo está localizado.
    • Nome do cofre de chaves do Azure. O nome do cofre de chaves que contém o segredo.
    • Nome do segredo. O nome do segredo localizado no Azure Key Vault.

Captura de ecrã da definição da palavra-passe da credencial.

Nota

O ID de subscrição, o nome do grupo de recursos e o nome do cofre de chaves podem ser encontrados na página Descrição geral do portal do Azure do cofre de chaves. O nome do segredo pode ser encontrado na página do cofre de chaves no portal do Azure selecionando Segredos sob Definições. A validação de acesso ao utilizador para o segredo é efetuada em segundo plano. Se o utilizador não tiver, pelo menos, permissão de leitura, este erro de validação é apresentado: "Esta variável não foi guardada corretamente. O utilizador não está autorizado a ler segredos do "caminho do Azure Key Vault". "As palavras-passe utilizam variáveis de ambiente secretas. Também pode criar uma variável secreta a partir da página de soluções e selecioná-la como palavra-passe.

Criar ligações de fluxo de área de trabalho usando uma credencial

Nota: Por enquanto, as credenciais só são suportadas nas ligações de fluxo de ambiente de trabalho.

Pode agora utilizar a sua credencial numa ligação de fluxo de ambiente de trabalho

Ver onde os segredos são usados

Na página Soluções, pode obter todas as dependências de variáveis de ambiente secretas. Isso ajuda-o a entender onde os segredos do Azure Key Vault são usados antes de serem editados.

  • Selecione uma variável de ambiente.
  • Selecione a opção avançada e selecione Mostrar dependências.
  • Pode ver:
    • As credenciais usando esta variável de ambiente.
    • As ligações usando esta variável de ambiente.

Partilhar uma credencial

Pode partilhar as credenciais que tiver com outros utilizadores na sua organização e dar a esses utilizadores permissões específicas para acederem às mesmas.

  1. Inicie sessão no Power Automate e, em seguida, aceda a Credenciais.
  2. Selecione a sua credencial na lista de credenciais.
  3. Na barra de comando, selecione Partilhar.
  4. Selecione Adicionar pessoas, introduza o nome da pessoa na sua organização com quem gostaria de partilhar as credenciais e, em seguida, selecione a função que pretende conceder a este utilizador:
    • Coproprietário (pode editar). Este nível de acesso dá permissão completa a essa credencial. Os coproprietários podem utilizar a credencial, partilhá-la com outros, editar os respetivos detalhes e eliminá-los.
    • Utilizador (só pode ver). Este nível de acesso só dá permissão para utilizar a credencial. Não são possíveis permissões de edição, eliminação ou partilha com este acesso.
    • Utilizador (pode ver e partilhar). Este nível de acesso é o mesmo que a opção só pode ver, mas dá permissão para partilhar.
  5. Selecione Guardar.

Nota

Ao partilhar a sua credencial, todas as variáveis de ambiente usadas na credencial também são partilhadas. Remover permissões numa credencial não remove permissões nas variáveis de ambiente.

Eliminar uma credencial

  1. Inicie sessão no Power Automate e, em seguida, aceda a Credenciais.
  2. A partir da lista, selecione a credencial que pretende eliminar e, em seguida, selecione Eliminar máquina na barra de comando.

Nota

Ao eliminar uma credencial não elimina as variáveis de ambiente associadas.

Exportar uma ligação de fluxo de ambiente de trabalho usando credencial

Nota

Deve primeiro ler o artigo sobre ALM para fluxos de ambiente de trabalho.

Pode exportar um fluxo de cloud com uma ligação de fluxo de ambiente de trabalho usando credencial. Deve importar a solução que contém a credencial e as variáveis de ambiente relacionadas primeiro e, em seguida, importar a que contém o fluxo de cloud e o fluxo de ambiente de trabalho.

Limitações

  • Atualmente, esta funcionalidade está disponível apenas para ligações de fluxo de ambiente de trabalho.
  • A criação de credenciais no novo designer ainda não está disponível.
  • Não é possível editar as variáveis de ambiente selecionadas numa credencial existente. Se quiser alterar o valor de nome de utilizador e palavra-passe, tem de atualizar as variáveis de ambiente ou o segredo do Azure Key Vault.
  • A atualização de ligações através de credenciais é assíncrona. Pode levar até um minuto para que a conexão do fluxo de ambiente de trabalho use as novas credenciais após a atualização do segredo.

Atualizar um segredo (rotação de palavras-passe) — Preterido

Nota

Esta secção foi agora preterida. Todas as ligações que utilizam Credenciais estão agora a obter segredos durante a execução do fluxo. Já não é necessário criar este fluxo personalizado para atualizar as ligações. As ligações que utilizam Credenciais criadas antes de abril de 2024 deverão ser atualizadas para beneficiarem da atualização automática.

Pré-requisitos para atualizar um segredo (rotação de palavra-passe)

Nota

Esta secção requer permissões específicas, como administrador do sistema da organização, caso contrário, apenas as suas próprias ligações de fluxo de ambiente de trabalho serão atualizadas.

Criar um fluxo de cloud utilizando o acionador do Event Grid

Ao editar segredos no seu Azure Key Vault, pretende garantir que as credenciais e ligações que usam esses segredos estejam sempre atualizadas para evitar interromper as suas automatizações. No Power Automate, necessita de criar um fluxo de cloud que atualiza as credenciais quando os segredos no Azure Key Vault forem alterados.

Esse fluxo de cloud contém um acionador e uma ação:

  1. Acionador: Quando ocorre um evento de recurso (Event Grid)
    • Tipo de recurso: Microsoft.KeyVault.vaults
    • Nome do recurso: forneça o nome do cofre de chaves.
    • Subscrição: forneça o nome da subscrição.
    • Tipo de evento: Microsoft.KeyVault.SecretNewVersionCreated
  2. Ação: realizar uma ação não vinculada (Dataverse)
    • Nome da ação: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Tópico
    • Nome secreto: Assunto

Captura de ecrã da ação do Dataverse.

Se usa um Key Vault para todos os seus segredos, precisará apenas de um fluxo de cloud. Se tiver vários Key Vaults, terá de duplicar o fluxo de cloud e atualizar o nome do recurso.

Para garantir que o seu fluxo de cloud esteja a funcionar corretamente com o Azure Key Vault:

  1. Aceda ao Key Vault.
  2. Selecione Eventos.
  3. Em Subscrições de eventos, verifique se consegue ver um webhook do LogicApps.

Captura de ecrã das subscrições de eventos no Azure Key Vault.