Compartir a través de


Crear una credencial de Azure Key Vault

La página Credenciales en Power Automate le permite crear, editar y compartir credenciales de inicio de sesión de Azure Key Vault y utilizarlas en las conexiones del flujo de escritorio.

También puede crear credenciales con CyberArk® (versión preliminar).

Importante

  • Actualmente, esta característica no está disponible para las nubes de la administración pública de EE. UU.

Requisitos previos

Las credenciales usan secretos almacenados en Azure Key Vault. Para permitirle crear credenciales, su administrador debe configurar primero Azure Key Vault.

En pocas palabras, el administrador debe garantizar:

  1. El proveedor de recursos de Microsoft Power Platform está registrado en la suscripción de Azure.
  2. Hay un Azure Key Vault que contiene los secretos que se usarán en las credenciales.
  3. La entidad de servicio de Dataverse tiene permisos para usar los secretos.
  4. Los usuarios que crean la variable de entorno tienen los permisos adecuados para el recurso de Azure Key Vault.
  5. El ambiente de Power Automate y la suscripción de Azure deben estar en el mismo inquilino.

Para configurar Azure Key Vault, siga los pasos descritos en Configurar Azure Key Vault.

Crear una credencial

Para crear sus credenciales:

  1. Vaya a la página Credenciales.
  2. Seleccione más en el menú de la izquierda y, a continuación, seleccione Descubrir todo.
  3. En Datos, seleccione Credenciales. Puede anclar la página en el navegador de la izquierda para hacerla más accesible.

En la página de credenciales, ya puede crear su primera credencial.

Captura de pantalla de la definición del nombre de la credencial.

Para crear su credencial, debe proporcionar la siguiente información:

  • Nombre de credencial: introduzca un nombre para la credencial
  • Descripción (opcional)

Después de seleccionar siguiente, debe seleccionar Azure Key Vault como almacén de credenciales.

En el último paso del asistente, selecciona nombre de usuario y contraseña o crea otros nuevos:

  • Nombre de usuario: Para seleccionar un nombre de usuario, puede utilizar el menú desplegable. Si no tiene ninguna variable de entorno, seleccione nuevo:
    • Nombre para mostrar. Escriba un nombre para la variable de entorno.

    • Nombre. El nombre único se genera automáticamente a partir de Nombre para mostrar, pero puede cambiarlo.

    • Valor. Rellene el nombre del usuario. Para usuarios locales, proporcione el nombre de usuario. Para usuarios de dominio, proporcione <DOMAIN\username> o <username@domain.com>.

      Captura de pantalla del establecimiento del nombre de usuario de la credencial.

Nota

El nombre de usuario de la credencial es una variable de entorno de texto. También puede crear una variable de texto desde la página de soluciones y seleccionarla como nombre de usuario.

  • Contraseña: Para seleccionar una contraseña, puede utilizar el menú desplegable. Si no tiene ninguna variable de entorno secreta, seleccione nuevo:
    • Nombre para mostrar. Escriba un nombre para la variable de entorno.
    • Nombre. El nombre único se genera automáticamente a partir de Nombre para mostrar, pero puede cambiarlo.
    • Id. de suscripción: el identificador de suscripción de Azure asociado con el almacén de claves.
    • Nombre del grupo de recursos. El grupo de recursos de Azure donde se encuentra el almacén de claves que contiene el secreto.
    • Nombre de Azure Key Vault. El nombre del almacén de claves que contiene el secreto.
    • Nombre de secreto. El nombre del secreto que se encuentra en Azure Key Vault.

Captura de pantalla del establecimiento de la contraseña de la credencial.

Nota

El identificador de suscripción, el nombre del grupo de recursos y el nombre del almacén de claves se pueden encontrar en la página de Información general del almacén de claves del portal de Azure. El nombre del secreto se puede encontrar en la página del almacén de claves en el portal de Azure seleccionando Secretos en Configuración. La validación de acceso de usuario para el secreto se realiza en segundo plano. Si el usuario no tiene al menos permiso de lectura, se muestra este error de validación: "Esta variable no se guardó correctamente. El usuario no está autorizado a leer secretos de la 'ruta de Azure Key Vault'". Las contraseñas utilizan variables de entorno secretas. También puede crear una variable secreta desde la página de soluciones y seleccionarla como contraseña.

Crear conexiones de flujo de escritorio usando una credencial

Nota: Por ahora, las credenciales solo se admiten en las conexiones de flujo de escritorio.

Ahora puede utilizar su credencial en unas conexiones de flujo de escritorio

Ver dónde se usan los secretos

Desde la página Soluciones, puede recuperar todas las dependencias de las variables de entorno secretas. Esto le ayuda a saber dónde se usan sus secretos de Azure Key Vault antes de editarlos.

  • Seleccione una variable de entorno.
  • Seleccione la opción avanzada y seleccione Mostrar dependencias.
  • Puede ver:
    • Las credenciales que usan esta variable de entorno.
    • Las conexiones que usan esta variable de entorno.

Compartir una credencial

Puede compartir las credenciales que posee con otros usuarios de su organización y dar a esos usuarios permisos específicos para acceder a ellas.

  1. inicie sesión en Power Automate y después vaya a Credenciales.
  2. Seleccione su credencial en la lista de credenciales.
  3. En la barra de comandos, seleccione Compartir.
  4. Seleccione Agregar personas, ingrese el nombre de la persona en su organización con quien le gustaría compartir las credenciales y seleccione el rol que desea conceder a este usuario:
    • Copropietario (puede editar). Este nivel de acceso da permiso total a esa credencial. Los copropietarios pueden usar la credencial, compartirla con otros, editar sus detalles y eliminarla.
    • Usuario (solo puede ver). Este nivel de acceso solo da permiso para usar la credencial. No es posible editar, compartir ni eliminar permisos con este acceso.
    • Usuario (puede ver y compartir). Este nivel de acceso es el mismo que el de la opción Sólo se puede ver, pero otorga permiso para compartir.
  5. Seleccione Guardar.

Nota

Al compartir su credencial, también se comparten todas las variables de entorno utilizadas en ella. Quitar permisos a una credencial no quita permisos a las variables de entorno.

Eliminar una credencial

  1. inicie sesión en Power Automate y después vaya a Credenciales.
  2. En la lista, seleccione la credencial que desea eliminar y luego seleccione Eliminar máquina en la barra de comandos.

Nota

Al eliminar una credencial no se eliminan las variables de entorno asociadas

Exportar una conexión de flujo de escritorio mediante credenciales

Nota

Primero debería leer el artículo sobre ALM para flujos de escritorio.

Puede exportar un flujo de nube con una conexión de flujo de escritorio mediante credenciales. Debe importar primero la solución que contiene la credencial y las variables de entorno relacionadas y, a continuación, importar la que contiene el flujo de nube y el flujo de escritorio.

Limitaciones

  • Actualmente, esta característica solo está disponible para las conexiones de flujo de escritorio.
  • La creación de credenciales en el nuevo diseñador aún no está disponible.
  • No puede editar las variables de entorno seleccionadas en una credencial existente. Si desea cambiar el valor del nombre de usuario y la contraseña, debe actualizar las variables de entorno o el secreto de Azure Key Vault.
  • La actualización de las conexiones mediante credenciales es asincrónica. La conexión de flujo de escritorio puede tardar hasta un minuto en utilizar las nuevas credenciales después de actualizar el secreto.

Actualizar un secreto (rotación de contraseñas) - obsoleto

Nota

Esta acción ahora está obsoleta. Todas las conexiones que utilizan Credenciales ahora recuperan secretos durante la ejecución del flujo. Ya no es necesario crear este flujo personalizado para actualizar las conexiones. Las conexiones que utilizan Credenciales creadas antes de abril de 2024 deben actualizarse para beneficiarse de la actualización automática.

Requisitos previos para actualizar un secreto (rotación de contraseña)

Nota

Esta sección requiere permisos específicos como el de administrador del sistema de la organización; de lo contrario, solo se actualizarán sus propias conexiones de flujo de escritorio.

Crear un flujo de nube mediante el desencadenador de Event Grid

Cuando edite secretos en su Azure Key Vault, querrá asegurarse de que las credenciales y conexiones que usan estos secretos están siempre actualizadas para evitar interrumpir sus automatizaciones. En Power Automate, debe crear un flujo en la nube que actualice las credenciales cuando se cambian los secretos en Azure Key Vault.

Este flujo de nube contiene un desencadenante y una acción:

  1. Desencadenador: cuando se produce un evento de recursos (Event Grid)
    • Tipo de recurso: Microsoft.KeyVault.vaults
    • Nombre de recurso: proporcione el nombre del almacén de claves.
    • Suscripción: proporcione el nombre de la suscripción.
    • Tipo de evento: Microsoft.KeyVault.SecretNewVersionCreated
  2. Acción: Realizar una acción sin enlazar (Dataverse)
    • Nombre de acción: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Tema
    • Nombre de secreto: Asunto

Captura de pantalla de la acción de Dataverse.

Si usa un único almacén de claves para todos sus secretos, solo necesitará un flujo de nube. Si dispone de varios almacenes de claves, deberá duplicar el flujo de nube y actualizar el nombre del recurso.

Para asegurarse de que su flujo de nube funciona correctamente con Azure Key Vault:

  1. Vaya a su almacén de claves.
  2. Seleccione Eventos.
  3. En Suscripciones a eventos, compruebe si puede ver un webhook de LogicApps.

Captura de pantalla de suscripciones a eventos en Azure Key Vault.