Crear una credencial de Azure Key Vault
La página Credenciales en Power Automate le permite crear, editar y compartir credenciales de inicio de sesión de Azure Key Vault y utilizarlas en las conexiones del flujo de escritorio.
También puede crear credenciales con CyberArk® (versión preliminar).
Importante
- Actualmente, esta característica no está disponible para las nubes de la administración pública de EE. UU.
Requisitos previos
Las credenciales usan secretos almacenados en Azure Key Vault. Para permitirle crear credenciales, su administrador debe configurar primero Azure Key Vault.
En pocas palabras, el administrador debe garantizar:
- El proveedor de recursos de Microsoft Power Platform está registrado en la suscripción de Azure.
- Hay un Azure Key Vault que contiene los secretos que se usarán en las credenciales.
- La entidad de servicio de Dataverse tiene permisos para usar los secretos.
- Los usuarios que crean la variable de entorno tienen los permisos adecuados para el recurso de Azure Key Vault.
- El ambiente de Power Automate y la suscripción de Azure deben estar en el mismo inquilino.
Para configurar Azure Key Vault, siga los pasos descritos en Configurar Azure Key Vault.
Crear una credencial
Para crear sus credenciales:
- Vaya a la página Credenciales.
- Seleccione más en el menú de la izquierda y, a continuación, seleccione Descubrir todo.
- En Datos, seleccione Credenciales. Puede anclar la página en el navegador de la izquierda para hacerla más accesible.
En la página de credenciales, ya puede crear su primera credencial.
Para crear su credencial, debe proporcionar la siguiente información:
- Nombre de credencial: introduzca un nombre para la credencial
- Descripción (opcional)
Después de seleccionar siguiente, debe seleccionar Azure Key Vault como almacén de credenciales.
En el último paso del asistente, selecciona nombre de usuario y contraseña o crea otros nuevos:
-
Nombre de usuario: Para seleccionar un nombre de usuario, puede utilizar el menú desplegable. Si no tiene ninguna variable de entorno, seleccione nuevo:
Nombre para mostrar. Escriba un nombre para la variable de entorno.
Nombre. El nombre único se genera automáticamente a partir de Nombre para mostrar, pero puede cambiarlo.
Valor. Rellene el nombre del usuario. Para usuarios locales, proporcione el nombre de usuario. Para usuarios de dominio, proporcione
<DOMAIN\username>
o<username@domain.com>
.
Nota
El nombre de usuario de la credencial es una variable de entorno de texto. También puede crear una variable de texto desde la página de soluciones y seleccionarla como nombre de usuario.
-
Contraseña: Para seleccionar una contraseña, puede utilizar el menú desplegable. Si no tiene ninguna variable de entorno secreta, seleccione nuevo:
- Nombre para mostrar. Escriba un nombre para la variable de entorno.
- Nombre. El nombre único se genera automáticamente a partir de Nombre para mostrar, pero puede cambiarlo.
- Id. de suscripción: el identificador de suscripción de Azure asociado con el almacén de claves.
- Nombre del grupo de recursos. El grupo de recursos de Azure donde se encuentra el almacén de claves que contiene el secreto.
- Nombre de Azure Key Vault. El nombre del almacén de claves que contiene el secreto.
- Nombre de secreto. El nombre del secreto que se encuentra en Azure Key Vault.
Nota
El identificador de suscripción, el nombre del grupo de recursos y el nombre del almacén de claves se pueden encontrar en la página de Información general del almacén de claves del portal de Azure. El nombre del secreto se puede encontrar en la página del almacén de claves en el portal de Azure seleccionando Secretos en Configuración. La validación de acceso de usuario para el secreto se realiza en segundo plano. Si el usuario no tiene al menos permiso de lectura, se muestra este error de validación: "Esta variable no se guardó correctamente. El usuario no está autorizado a leer secretos de la 'ruta de Azure Key Vault'". Las contraseñas utilizan variables de entorno secretas. También puede crear una variable secreta desde la página de soluciones y seleccionarla como contraseña.
Crear conexiones de flujo de escritorio usando una credencial
Nota: Por ahora, las credenciales solo se admiten en las conexiones de flujo de escritorio.
Ahora puede utilizar su credencial en unas conexiones de flujo de escritorio
Ver dónde se usan los secretos
Desde la página Soluciones, puede recuperar todas las dependencias de las variables de entorno secretas. Esto le ayuda a saber dónde se usan sus secretos de Azure Key Vault antes de editarlos.
- Seleccione una variable de entorno.
- Seleccione la opción avanzada y seleccione Mostrar dependencias.
- Puede ver:
- Las credenciales que usan esta variable de entorno.
- Las conexiones que usan esta variable de entorno.
Compartir una credencial
Puede compartir las credenciales que posee con otros usuarios de su organización y dar a esos usuarios permisos específicos para acceder a ellas.
- inicie sesión en Power Automate y después vaya a Credenciales.
- Seleccione su credencial en la lista de credenciales.
- En la barra de comandos, seleccione Compartir.
- Seleccione Agregar personas, ingrese el nombre de la persona en su organización con quien le gustaría compartir las credenciales y seleccione el rol que desea conceder a este usuario:
- Copropietario (puede editar). Este nivel de acceso da permiso total a esa credencial. Los copropietarios pueden usar la credencial, compartirla con otros, editar sus detalles y eliminarla.
- Usuario (solo puede ver). Este nivel de acceso solo da permiso para usar la credencial. No es posible editar, compartir ni eliminar permisos con este acceso.
- Usuario (puede ver y compartir). Este nivel de acceso es el mismo que el de la opción Sólo se puede ver, pero otorga permiso para compartir.
- Seleccione Guardar.
Nota
Al compartir su credencial, también se comparten todas las variables de entorno utilizadas en ella. Quitar permisos a una credencial no quita permisos a las variables de entorno.
Eliminar una credencial
- inicie sesión en Power Automate y después vaya a Credenciales.
- En la lista, seleccione la credencial que desea eliminar y luego seleccione Eliminar máquina en la barra de comandos.
Nota
Al eliminar una credencial no se eliminan las variables de entorno asociadas
Exportar una conexión de flujo de escritorio mediante credenciales
Nota
Primero debería leer el artículo sobre ALM para flujos de escritorio.
Puede exportar un flujo de nube con una conexión de flujo de escritorio mediante credenciales. Debe importar primero la solución que contiene la credencial y las variables de entorno relacionadas y, a continuación, importar la que contiene el flujo de nube y el flujo de escritorio.
Limitaciones
- Actualmente, esta característica solo está disponible para las conexiones de flujo de escritorio.
- La creación de credenciales en el nuevo diseñador aún no está disponible.
- No puede editar las variables de entorno seleccionadas en una credencial existente. Si desea cambiar el valor del nombre de usuario y la contraseña, debe actualizar las variables de entorno o el secreto de Azure Key Vault.
- La actualización de las conexiones mediante credenciales es asincrónica. La conexión de flujo de escritorio puede tardar hasta un minuto en utilizar las nuevas credenciales después de actualizar el secreto.
Actualizar un secreto (rotación de contraseñas) - obsoleto
Nota
Esta acción ahora está obsoleta. Todas las conexiones que utilizan Credenciales ahora recuperan secretos durante la ejecución del flujo. Ya no es necesario crear este flujo personalizado para actualizar las conexiones. Las conexiones que utilizan Credenciales creadas antes de abril de 2024 deben actualizarse para beneficiarse de la actualización automática.
Requisitos previos para actualizar un secreto (rotación de contraseña)
- Asegúrese de que Event Grid está registrado como proveedor de recursos en Azure. Más información sobre los proveedores de recursos.
- Asegúrese de que los usuarios que usan el desencadenador de cuadrícula de eventos en Power Automate tienen permisos de colaborador de Event Grid. Más información
Nota
Esta sección requiere permisos específicos como el de administrador del sistema de la organización; de lo contrario, solo se actualizarán sus propias conexiones de flujo de escritorio.
Crear un flujo de nube mediante el desencadenador de Event Grid
Cuando edite secretos en su Azure Key Vault, querrá asegurarse de que las credenciales y conexiones que usan estos secretos están siempre actualizadas para evitar interrumpir sus automatizaciones. En Power Automate, debe crear un flujo en la nube que actualice las credenciales cuando se cambian los secretos en Azure Key Vault.
Este flujo de nube contiene un desencadenante y una acción:
- Desencadenador: cuando se produce un evento de recursos (Event Grid)
- Tipo de recurso: Microsoft.KeyVault.vaults
- Nombre de recurso: proporcione el nombre del almacén de claves.
- Suscripción: proporcione el nombre de la suscripción.
- Tipo de evento: Microsoft.KeyVault.SecretNewVersionCreated
- Acción: Realizar una acción sin enlazar (Dataverse)
- Nombre de acción: NotifyEnvironmentVariableSecretChange
- KeyVaultUrl: Tema
- Nombre de secreto: Asunto
Si usa un único almacén de claves para todos sus secretos, solo necesitará un flujo de nube. Si dispone de varios almacenes de claves, deberá duplicar el flujo de nube y actualizar el nombre del recurso.
Para asegurarse de que su flujo de nube funciona correctamente con Azure Key Vault:
- Vaya a su almacén de claves.
- Seleccione Eventos.
- En Suscripciones a eventos, compruebe si puede ver un webhook de LogicApps.