Bagikan melalui

Menggunakan variabel lingkungan untuk rahasia Azure Key Vault

  • Artikel

Variabel lingkungan memungkinkan referensi rahasia yang tersimpan di Azure Key Vault. Selanjutnya, rahasia ini akan tersedia untuk digunakan di dalam aliran Power Automate dan konektor kustom. Perhatikan bahwa rahasia tidak tersedia untuk digunakan di penyesuaian lain atau secara umum melalui API.

Rahasia aktual disimpan di Azure Key Vault dan variabel lingkungan mereferasikan lokasi rahasia vault utama. Menggunakan rahasia Azure Key Vault dengan variabel lingkungan mengharuskan Anda mengkonfigurasi Azure Key Vault agar Power Platform dapat membaca rahasia khusus yang ingin Anda referensi.

Variabel lingkungan yang merujuk rahasia saat ini tidak tersedia dari pemilih konten dinamis untuk digunakan pada alur.

konfigurasikan Azure Key Vault

Agar dapat menggunakan rahasia Azure Key Vault dengan Power Platform, langganan Azure yang memiliki vault harus mendaftarkan penyedia sumber daya PowerPlatform dan pengguna yang membuat variabel lingkungan harus memiliki izin yang sesuai ke sumber daya Azure Key Vault.

Catatan

  • Kami baru-baru ini mengubah peran keamanan yang kami gunakan untuk menegaskan izin akses dalam Azure Key Vault. Instruksi sebelumnya termasuk menetapkan peran Pembaca Key Vault. Jika Anda telah menyiapkan brankas kunci sebelumnya dengan peran Pembaca Key Vault, pastikan Anda menambahkan peran Pengguna Rahasia Key Vault untuk memastikan bahwa pengguna Anda dan Dataverse akan memiliki izin yang memadai untuk mengambil rahasia.
  • Kami menyadari bahwa layanan kami menggunakan API kontrol akses berbasis peran Azure untuk menilai penetapan peran keamanan meskipun brankas kunci Anda masih dikonfigurasi untuk menggunakan model izin kebijakan akses vault. Untuk menyederhanakan konfigurasi Anda, sebaiknya alihkan model izin vault Anda ke kontrol akses berbasis peran Azure. Anda dapat melakukannya di tab Konfigurasi akses.

  1. Daftarkan penyedia sumber daya Microsoft.PowerPlatform dalam langganan Azure. Ikuti langkah-langkah berikut untuk memverifikasi dan mengkonfigurasi: Penyedia sumber daya dan jenis sumber daya

    Daftarkan penyedia Power Platform di Azure

  2. Buat vault Azure Key Vault. Pertimbangkan untuk menggunakan vault terpisah untuk setiap lingkungan Power Platform agar dapat meminimalkan ancaman jika terjadi pelanggaran. Pertimbangkan untuk mengonfigurasi brankas kunci Anda untuk menggunakan kontrol akses berbasis peran Azure untuk model Izin. Informasi selengkapnya: Praktik terbaik untuk menggunakan Azure Key Vault,Mulai Cepat - Membuat Azure Key Vault dengan portal Microsoft Azure

  3. Pengguna yang membuat atau menggunakan variabel lingkungan jenis rahasia harus memiliki izin untuk mengambil konten rahasia. Untuk memberi pengguna baru kemampuan untuk menggunakan rahasia, pilih area Kontrol akses (IAM), pilih Tambahkan, lalu pilih Tambahkan penetapan peran dari menu dropdown. Informasi selengkapnya: Menyediakan akses ke kunci, sertifikat, dan rahasia Key Vault dengan kontrol akses berbasis peran Azure

    lihat akses saya di Azure

  4. Pada panduan Tambahkan penetapan peran, biarkan jenis penetapan default sebagai Peran fungsi pekerjaan dan lanjutkan ke tab Peran . Temukan peran Pengguna Rahasia Key Vault dan pilih. Lanjutkan ke tab anggota dan pilih tautan Pilih anggota dan temukan pengguna di panel samping. Saat Anda telah memilih dan menampilkan pengguna di bagian anggota, lanjutkan ke tab tinjau dan tetapkan dan selesaikan panduan.

  5. Azure Key Vault harus memiliki peran Pengguna Rahasia Key Vault yang diberikan kepada Dataverse perwakilan layanan. Jika tidak ada untuk vault ini, tambahkan kebijakan akses baru menggunakan metode yang sama yang sebelumnya Anda gunakan untuk izin pengguna akhir, hanya menggunakan Dataverse identitas aplikasi, bukan pengguna. Jika Anda memiliki beberapa Dataverse perwakilan layanan di penyewa Anda, sebaiknya pilih semuanya dan simpan penetapan peran. Setelah peran ditetapkan, tinjau setiap Dataverse item yang tercantum dalam daftar penetapan peran dan pilih Dataverse nama untuk melihat detailnya. Jika ID Aplikasi tidak 00000007-0000-0000-c000-000000000000, pilih identitas, lalu pilih Hapus untuk menghapusnya dari daftar.

  6. Jika Anda telah mengaktifkan Azure Key Vault Firewall , Anda harus mengizinkan Power Platform akses alamat IP ke brankas kunci Anda. Power Platform tidak disertakan dalam opsi "Hanya Layanan Tepercaya". Oleh karena itu, lihat Power Platform artikel URL dan rentang alamat IP untuk alamat IP saat ini yang digunakan dalam layanan.

  7. Jika belum, tambahkan rahasia ke vault baru Anda. Informasi lebih lanjut: Azure Quickstart - Mengatur dan mengambil rahasia dari Key Vault menggunakan portal Azure

Membuat variabel lingkungan baru untuk rahasia Key Vault

Setelah Azure Key Vault dikonfigurasi dan Anda memiliki rahasia yang terdaftar di vault, sekarang Anda dapat mereferensikannya dalam Power Apps menggunakan variabel lingkungan.

Catatan

  • Validasi akses pengguna untuk rahasia dilakukan di latar belakang. Jika pengguna tidak memiliki setidaknya izin baca, kesalahan validasi ini ditampilkan: "Variabel ini tidak disimpan dengan benar. Pengguna tidak berwenang untuk membaca rahasia dari 'jalur Azure Key Vault'."
  • Saat ini, Azure Key Vault adalah satu-satunya penyimpanan rahasia yang didukung dengan variabel lingkungan.
  • Azure Key Vault harus dalam penyewa sama seperti langganan Power Platform Anda.

  1. Masuk ke Power Apps, dan di area Solusi, buka solusi tidak terkelola yang Anda gunakan untuk pengembangan.

  2. Pilih baru > lainnya > variabel lingkungan.

  3. Masukkan nama tampilan dan opsional, Deskripsi untuk variabel lingkungan.

  4. Pilih Jenis Data sebagai Penyimpanan Rahasia dan Penyimpanan Rahasia sebagai Azure Key Vault.

  5. Pilih dari opsi berikut:

    • Pilih Referensi rahasia nilai Azure Key Vault baru. Setelah informasi ditambahkan pada langkah berikutnya dan disimpan, rekaman nilai variabel lingkungan dibuat.
    • Perluas Tampilkan nilai default untuk menampilkan bidang untuk membuat rahasia Azure Key Vault Default. Setelah informasi ditambahkan pada langkah berikutnya dan disimpan, demarkasi nilai default ditambahkan ke rekaman definisi variabel lingkungan.

  6. Masukkan informasi berikut:

    • ID Langganan Azure: ID langganan Azure yang terkait dengan Key Vault.

    • Nama Grup Sumber Daya: Grup sumber daya Azure dengan vault utama tempat rahasia tersebut terletak.

    • Nama Azure Key Vault: nama Key Vault yang berisi rahasia.

    • Nama Rahasia: Nama rahasia yang terletak di Azure Key Vault.

      Tip

      ID langganan, nama grup sumber daya, dan nama vault utama dapat ditemukan di halaman Ikhtisar portal Azure dari vault utama. Nama rahasia dapat ditemukan di halaman vault utama di portal Azure dengan memilih Rahasia dalam Pengaturan.

  7. Pilih Simpan.

Membuat alur Power Automate untuk menguji rahasia variabel lingkungan

Skenario sederhana untuk memperagakan cara menggunakan rahasia yang diperoleh dari Azure Key Vault adalah membuat alur Power Automate untuk menggunakan rahasia untuk diotentikasi dengan layanan web.

Catatan

URI untuk Layanan web dalam contoh ini bukan layanan web yang berfungsi.

  1. Masuk ke PowerApps, pilih Solusi, lalu buka solusi tidak terkelola yang diinginkan. Jika item tidak ada di panel pada panel sisi, pilih …Lainnya, lalu pilih item yang diinginkan.

  2. Pilih Baru > Otomatisasi > Alur cloud > instan.

  3. Masukkan nama untuk alur, pilih Picu alur secara manual, lalu pilih Buat.

  4. Pilih langkah baru, pilih Microsoft Dataverse connector, lalu pada tab Tindakan, pilih Lakukan tindakan tidak terikat.

  5. Pilih tindakan bernama RetrieveEnvironmentVariableSecretValue dari daftar menurun.

  6. Berikan nama unik variabel lingkungan (bukan nama tampilan) yang ditambahkan di bagian sebelumnya, untuk contoh new_TestSecret digunakan.

  7. Pilih ... > Ganti nama untuk mengganti nama tindakan sehingga dapat lebih mudah direferensikan dalam tindakan berikutnya. Pada gambar di bawah ini, telah diubah namanya menjadi GetSecret.

    Konfigurasi aliran instan untuk menguji rahasia variabel lingkungan

  8. Pilih ... > Pengaturan untuk menampilkan pengaturan tindakan GetSecret.

  9. Aktifkan pilihan Output Aman dalam pengaturan, lalu pilih Selesai. Hal ini untuk mencegah output tindakan diekspos dalam riwayat eksekusi alur.

    Aktifkan pengaturan output aman untuk tindakan

  10. Pilih Langkah baru, Cari dan pilih konektor HTTP.

  11. Pilih Metode sebagai GET, lalu masukkan URI untuk layanan web. Dalam contoh ini, layanan web fiktif httpbin.org digunakan.

  12. Pilih Tampilkan pilihan lanjutan, pilih Otentikasi sebagai Dasar, lalu masukkan Nama Pengguna.

  13. Pilih bidang Sandi,lalu pada tab Konten dinamis di dalam nama langkah aliran di atas (GetSecret dalam contoh ini) pilih RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, yang kemudian ditambahkan sebagai ekspresi outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] atau body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Membuat langkah baru menggunakan konektor HTTP

  14. Pilih ... > Pengaturan untuk menampilkan pengaturan tindakan HTTP.

  15. Aktifkan pilihan Input Aman dan Output Aman dalam pengaturan, lalu pilih Selesai. Mengaktifkan pilihan ini akan mencegah input dan output tindakan diekspos dalam riwayat jalankan aliran.

  16. pilih Simpan untuk membuat alur.

  17. jalankan alur secara manual untuk mengujinya.

    Menggunakan riwayat jalankan alur, output dapat diverifikasi.

    Output alur

Pembatasan

  • Variabel lingkungan yang mengacu pada rahasia Azure Key Vault saat ini terbatas untuk digunakan dengan alur Power Automate dan konektor kustom.

Baca juga

Menggunakan variabel lingkungan sumber data di aplikasi kanvas
Menggunakan variabel lingkungan dalam Power Automate alur cloud solusi
Ikhtisar variabel lingkungan.

Catatan

Apa bahasa dokumentasi yang Anda inginkan? Lakukan survei singkat. (perlu diketahui bahwa survei ini dalam bahasa Inggris)

Survei akan berlangsung kurang lebih selama tujuh menit. Tidak ada data pribadi yang dikumpulkan (pernyataan privasi).