Jaa

Azure-resurssien käyttäminen suojatusti Power Platformin avulla

Power Platform tukee Azure-näennäisverkkoa käyttöä näennäisverkossasi olevien resurssien käyttämiseen altistamatta niitä julkiselle internetille.

Vinkki

Tässä artikkelissa esitetään esimerkkiskenaario ja yleinen esimerkkiarkkitehtuuri, jotka havainnollistavat, miten Azure-resurssien Power Platform -käyttö suojataan Azure-näennäisverkon avulla. Arkkitehtuuriesimerkkiä voidaan muokata moniin eri skenaarioihin ja toimialoihin.

Arkkitehtuurikaavio

Arkkitehtuurikaavio, jossa näkyy Azure-resurssien suojattu Power Platform -käyttö.

Workflow

Seuraavat vaiheet kuvaavat arkkitehtuuriesimerkkikaaviossa esitettyä työnkulkua:

  1. Palvelupyyntöjen hallintasovellus: pohjaan tai malliin perustuva Power Apps -sovellus käyttää mukautettua Power Platform -yhdistintä Azuressa isännöidyn taustatietokannan tai -palvelun käyttöön. Määritystä hallitaan ympäristötasolla, jotta voidaan muodostaa yhteys tiettyyn Azure-näennäisverkkoon tarpeen mukaan. Esimerkiksi kehitysympäristön ei välttämättä tarvitse käyttää virtuaaliverkkoa, mutta testauksen ja tuotannon tarvitsee.

  2. Hakupyyntö: Sovelluksesta peräisin oleva hakupyyntö käyttää mukautettua Power Platform -yhdistintä Azuressa isännöidyn taustaohjelmointirajapinnan käyttämiseen.

  3. Valtuutuksen pyytäminen: Taustaohjelmointirajapinta on suojattu Microsoft Entra ID:llä, ja Microsoft Entra ID todentaa käyttäjän sovellukseen. Yhdistin valtuuttaa käyttäjän taustaohjelmointirajapinnan käytön OAuthin avulla. Yhdistin noutaa asiakastunnuksen ja salaisen koodin Azure Key Vaultista Power Platformin ympäristömuuttujien avulla.

  4. Verkkoyhteys: Taustaohjelmointirajapintaa isännöidään Azure-näennäisverkossa, eikä se salli julkisen verkon käyttöä. Näennäisverkko delegoi Power Platform -ympäristölle aliverkon, jolloin API-pyyntö ja -vastaus voivat kulkea verkon läpi käyttämättä julkista Azure-verkkoa.

  5. Taustaohjelmointirajapintahaku: Taustaohjelmointirajapinta vastaanottaa hakupyynnön ja suorittaa tietokantahaun pyynnön tehneen käyttäjän kontekstissa.

Komponentit

Power Platform -ympäristö: Sisältää Power Platform -resursseja. Ympäristö on tietojen käytön ja turvallisuuden raja. Power Platform -ympäristöt voidaan määrittää käyttämään Azuren näennäisverkkointegraatiota, jonka avulla Power Platform -resurssit voivat siirtää tietoja Azure-resurssien kanssa näennäisverkossa.

Power Apps: Toteuttaa ratkaisun käyttökokemuksen. Käyttäjät kirjautuvat pohjaan tai malliin perustuvaan sovellukseen Microsoft Entra ID:n avulla.

Mukautetut Power Platform -yhdistimet: Määritä toiminnot, jotka ovat Power Platform -sovellusten käytettävissä palveluista, joihin ne muodostavat yhteyden.

Azure-näennäisverkko: Tukee hybridiyhteyksiä paikallisten ja muiden Azure-verkko-ominaisuuksien kanssa virtuaaliverkon tarjoamiseksi pilvessä. Näennäisverkot voivat delegoida aliverkon Power Platform -resursseille, jolloin Power Platform- ja Azure-resurssit voivat olla vuorovaikutuksessa yksityisen verkon kautta lähettämättä liikennettä julkisten verkkojen kautta.

Azure Key Vault: Tallentaa tunnistetiedot, jotka tarvitaan yhteyden muodostamiseen taustaohjelmointirajapintoihin OAuthin avulla. Samoin kuin taustaohjelmointirajapinnat Power Platform -resurssit käyttävät Azure Key Vaultia virtuaaliverkon kautta.

Skenaarion tiedot

Organisaatioiden, joilla on korkeat tietoturvatarpeet, on varmistettava turvallinen viestintä sisäisten järjestelmien ja pilvipalveluiden välillä. Käytä käytettävissä olevia suojausohjausobjekteja ja integroi näennäisverkkoja Power Platform- ja Azure-resurssien välille osaksi ratkaisuarkkitehtuuriasi.

Verkkoturvallisuuden hallinnan toteuttaminen sovelluskomponenttien välillä aiheuttaa usein haasteita, varsinkin kun ne ovat tekniikan abstraktion eri tasoilla. Azure-näennäisverkon avulla voit luoda Power Platform- ja Azure-komponentteja sisältäviä ratkaisuja ilman tyypillisen moniverkkoratkaisun monimutkaisuutta. Esimerkkiarkkitehtuurissa käytetään näennäisverkon aliverkon delegointia, jotta Power Platform- ja Azure-resurssit voivat toimia yhdessä ratkaisuissa, joissa käytetään molempien tuotteiden vahvuuksia yksinkertaisuudesta ja turvallisuudesta tinkimättä.

Huomioitavia seikkoja

Näillä näkökohdilla toteutetaan Power Platform Well-Architected -pilareita, joka on joukko ohjaavia periaatteita, jotka parantavat työkuorman laatua. Lisätietoja: Microsoft Power Platform Well-Architected.

Luotettavuus

Redundanssi: Power Platform -infrastruktuuri on suunniteltu käyttämään ensisijaista aluetta ja vikasietoaluetta ilman erillisiä nimenomaisia toimia. Jos esimerkiksi Power Platform -ympäristösi on Länsi-Yhdysvalloissa, vikasietoalueena on Itä-Yhdysvallat. Parhaan vikasietoisuuden saavutat määrittämällä näennäisverkon molemmille yhdistetyille Azure-alueille ja luomalla vertaisverkkoyhteyden niiden välille. Tämä määritys mahdollistaa Azure-resurssien saumattoman vikasietoisuuden katastrofin sattuessa. Lisätietoja: Liiketoiminnan jatkuvuus ja järjestelmäpalautus ja Näennäisverkon asentamisen ja määrityksen esimerkkiskenaariot.

Suojaus

Tietojen käyttöoikeuksien hallinta: Ratkaisun ohjelmointirajapinnat, tietosäilö ja muut Azure-resurssit ovat eristettyjä, ja niitä voidaan käyttää vain sovelluksista, jotka suoritetaan näennäisverkkoon yhdistetyssä Power Platform -ympäristössä.

Tarkoituksellisen segmentointi ja rajat: Azure-näennäisverkon integrointi antaa Power Platform- ja Azure-resurssien viestiä suojatusti eristettynä muun pilviverkon häiriöiltä. Tämä määritys estää alemman tason ympäristöjä, kuten kehitysympäristöjä, muodostamasta vahingossa yhteyttä Azuren testi- tai tuotantoresursseihin, mikä auttaa ylläpitämään suojattua kehityselinkaarta. Kun näennäisverkko on määritetty Power Platform -ympäristössä, voit hallita lähtevää liikennettä Power Platformissa. Lisätietoja: Power Platform -palvelujen lähtevien yhteyksien suojaamisen parhaat käytännöt.

Salaus: Näennäisverkossa Power Platformista Azure-palveluihin siirtyvät tiedot eivät kulje julkisessa internetissä.

Toiminnan korkea laatu

Sovelluksen elinkaaren hallinta (ALM): Integrointi määritetään Power Platform -ympäristön tasolla. Vastaavat Azure-virtuaaliverkot muodostavat täydellisen laskeutumisalueen koko ratkaisulle ja voivat eristää kehityksen, testauksen ja tuotannon tai tietyt elinkaaren vaiheet organisaatiosi ALM-prosesseissa.

Suoritustehokkuus

Suorituskykytietojen kerääminen: Azure Monitor -palvelu kerää ja koostaa mittareita ja lokeja järjestelmän jokaisesta komponentista ja antaa sinulle näkymän käytettävyydestä, suorituskyvystä ja vikasietoisuudesta. Lisätietoja: Azure-näennäisverkon seuranta.

Osallistujat

Microsoft ylläpitää tätä artikkelia. Seuraavat avustajat kirjoittivat tämän artikkelin.

Pääasialliset tekijät:

Seuraavat vaiheet

Luo kokonaisvaltainen ratkaisu noudattamalla näitä korkean tason vaiheita:

  1. Power Platformin näennäisverkon tuen määrittäminen.

  2. Luo Azuren isännöimä REST-ohjelmointirajapinta haluamallasi tekniikalla. Suojaa ohjelmointirajapinta Microsoft Entra ID:llä. Lisätietoja: Sovelluspalvelun tai Azure Functions -sovelluksen määrittäminen käyttämään Microsoft Entra -kirjautumista.

  3. Luo Power Platform -ympäristömuuttujia säilyttämään Azure Key Vaultista peräisin olevaa asiakastunnusta ja salaista koodia. Lisätietoja: Ympäristömuuttujien käyttö Azure Key Vaultin salaisina koodeina.

  4. Luo mukautettu yhdistin ohjelmointirajapinnalle. Aloita opetusohjelmalla.

  5. Määritä mukautettu yhdistin käyttämään OAuth 2.0:aa ja Azure Active Directoryä (Microsoft Entra ID) ja ota palvelun päänimen tuki käyttöön.

    Näyttökuva mukautetun yhdistimen suojauksen todennusasetuksista, joissa näkyy OAuth 2.0:n käyttö.

  6. Määritä asiakastunnus ja asiakasohjelman salasana käyttämään vaiheessa 2 luotujen ympäristömuuttujien arvoja.

    Näyttökuva mukautetun yhdistimen suojausasetuksista, joissa näkyy Asiakastunnus-kentän arvo ympäristömuuttujana.

  7. Luo Power Appsissa pohjaan perustuva sovellus hakuliittymän tarjoamista varten.