Del via

Bruk miljøvariabler for Azure Key Vault-hemmeligheter

Miljøvariabler gjør det mulig å henvise til hemmeligheter lagret i Azure Key Vault. Disse hemmelighetene blir deretter gjort tilgjengelige i Power Automate-flyter og egendefinerte koblinger. Legg merke til at hemmelighetene ikke er tilgjengelige for bruk i andre tilpassinger eller generelt via APIen.

De faktiske hemmelighetene lagres i Azure Key Vault, og miljøvariabelen henviser til plasseringen til Key Vault-hemmeligheten. Bruk av Azure Key Vault-hemmeligheter med miljøvariabler krever at du konfigurerer Azure Key Vault slik at Power Platform kan lese de bestemte hemmelighetene du vil henviser til.

Miljøvariabler som refererer til hemmeligheter, er for øyeblikket ikke tilgjengelige fra den dynamiske innholdsvelgeren for bruk i Power Automate-flyter.

Konfigurere Azure Key Vault

Hvis du vil bruke Azure Key Vault-hemmeligheter med Power Platform, må Azure-abonnementet som har hvelvet, ha PowerPlatform-ressursleverandøren registrert, og brukeren som oppretter miljøvariabelen, må ha nødvendige tillatelser til Azure Key Vault-ressursen.

Viktig!

  • Det er nylige endringer i sikkerhetsrollen som brukes til å hevde tilgangstillatelser i Azure Key Vault. Tidligere instruksjoner omfattet tilordning av Key Vault-leserrollen. Hvis du tidligere har konfigurert Key Vault med rollen som Key Vault-leser, må du legge til brukerrollen for Key Vault-hemmeligheter for å sikre at brukerne og Microsoft Dataverse har tilstrekkelig tillatelse til å hente hemmelighetene.
  • Vi registrerer at tjenesten vår bruker Azure-rollebaserte tilgangskontroll-APIer til å vurdere sikkerhetsrolletilordning selv om du fremdeles har nøkkelhvelvet konfigurert til å bruke tillatelsesmodellen for vault-tilgangspolicy. Vi anbefaler at du endrer vault-tillatelsesmodellen til Azure-rollebasert tilgangskontroll for å forenkle konfigurasjonen. Du kan gjøre dette på fanen Tilgangskonfigurasjon.

  1. Registrer Microsoft.PowerPlatform-ressursleverandøren i Azure-abonnementet ditt. Følg denne fremgangsmåten for å kontrollere og konfigurere: Ressursleverandører og ressurstyper

    Registrer Power Platform-leverandøren i Azure

  2. Opprett et Azure Key Vault-hvelv. Vurder å bruke et separat hvelv for hvert Power Platform-miljø for å redusere trusselen ved et sikkerhetsbrudd. Vurder å konfigurere key vault til å bruke Azure-rollebasert tilgangskontroll for Tillatelse-modellen. Mer informasjon: Anbefalte fremgangsmåter for bruk av Azure Key Vault, Hurtigstart – Opprett et Azure Key Vault med Azure Portal

  3. Brukere som oppretter eller bruker miljøvariabler av typen hemmelig, må ha tillatelse til å hente det hemmelige innholdet. Hvis du vil gi en ny bruker muligheten til å bruke hemmeligheten, velger du området Tilgangskontroll (IAM), velg Legg til, og velg deretter Legg til rolletilordning fra rullegardinlisten. Mer informasjon: Gi tilgang til key Vault-nøkler, -sertifikater og -hemmeligheter med en Azure-rollebasert tilgangskontroll

    Vis min tilgang i Azure

  4. I veiviseren for å Legge til rolletilordning lar du standard tilordningstype være Jobbfunksjonsroller og fortsetter til kategorien Rolle. Finn brukerrollen Key Vault-hemmeligheter, og velg den. Fortsett til medlemskategorien, velg koblingen Velg medlemmer, og finn brukeren i sidepanelet. Når du har valgt brukeren og vist i medlemsdelen, fortsetter du til kategorien se gjennom og tilordne, og fullfører veiviseren.

  5. Azure Key Vault må ha rollen Key Vault-hemmeligheter-bruker til Dataverse-tjenestekontohaver. Hvis det ikke finnes for dette hvelvet, legger du til en ny tilgangspolicy på samme måte som du tidligere brukte for sluttbrukertillatelsen, bare ved å bruke Dataverse-program-IDen i stedet for brukeren. Hvis du har flere Dataverse-tjenestekontohavere i leieren, anbefaler vi at du velger alle og lagrer rolletilordningen. Når rollen er tilordnet, ser du gjennom hvert Dataverse-element i listen over rolletilordninger og velger Dataverse-navnet for å vise detaljene. Hvis Program-ID ikke er 00000007-0000-0000-c000-000000000000**, velger du identiteten og deretter Fjern for å fjerne den fra listen.

  6. Hvis du har aktivert Azure Key Vault-brannmuren, må du gi Power Platform IP-adresser tilgang til Key Vault. Power Platform er ikke tatt med i alternativet Bare klarerte tjenester. Gå til Power Platform URL-adresser og IP-adresseområder for gjeldende IP-adresser som brukes i tjenesten.

  7. Hvis du ikke har gjort det allerede, legger du til en hemmelighet i det nye hvelvet. Mer informasjon: Azure-Hurtigstart – Angi og hente en hemmelighet fra Key Vault ved hjelp Azure Portal

Opprett en ny miljøvariabel for Key Vault-hemmeligheten

Når Azure Key Vault er konfigurert og du har en hemmelighet registrert i hvelvet, kan du nå henvise til den i Power Apps ved å bruke en miljøvariabel.

Notat

  • Validering av brukertilgang for hemmeligheten utføres i bakgrunnen. Hvis brukeren ikke har minst lesetillatelse, vises denne valideringsfeilen: «Denne variabelen ble ikke lagret på riktig måte. Brukeren er ikke autorisert til å lese hemmeligheter fra «Azure Key Vault-bane».
  • Azure Key Vault er for øyeblikket det eneste hemmelige lageret som støttes med miljøvariabler.
  • Azure Key Vault må være i samme leier som Power Platform-abonnementet.

  1. Logg deg på Power Apps, og åpne den uadministrerte løsningen du bruker for utvikling, i Løsninger-området.

  2. Velg Ny>Mer>Miljøvariabel.

  3. Angi Visningsnavn og en beskrivelse (valgfritt) for miljøvariabelen.

  4. Velg datatypen som hemmelighet og hemmelig lager som Azure Key Vault.

  5. Velg blant følgende alternativer:

    • Velg Ny Azure Key Vault-verdireferanse. Når informasjonen er lagt til i neste trinn og lagret, opprettes det en oppføring for en miljøvariabelverdi.
    • Vis Vis standardverdi for å vise feltene for å opprette en hemmelighet som er standard for Azure Key Vault. Når informasjonen er lagt til i neste trinn og lagret, legges det til en standard verdiavgrensning i oppføringen for miljøvariabeldefinisjon.

  6. Angi følgende informasjon:

    • Azure-abonnements-ID: Azure-abonnements-ID-en som er tilknyttet Key Vault.

    • Navn på ressursgruppe: Azure-ressursgruppen der Key Vault som inneholder hemmeligheten, er plassert.

    • Navnet på Azure Key Vault: Navnet på Key Vault som inneholder hemmeligheten.

    • Navn på hemmelighet: Navnet på hemmeligheten plassert i Azure Key Vault.

      Tips

      Abonnements-ID-en, ressursgruppenavnet og Key Vault-navnet finnes på siden Oversikt for Key Vault i Azure Portal. Du finner navnet på hemmeligheten på Key Vault-siden i Azure Portal ved å velge Hemmeligheter under Innstillinger.

  7. Velg Lagre.

Opprett en Power Automate-flyt for å teste hemmeligheten til miljøvariabelen

Et enkelt scenario som viser hvordan du bruker en hemmelighet hentet fra Azure Key Vault, er å opprette en Power Automate-flyt for å bruke hemmeligheten til godkjenning mot en nettjeneste.

Notat

URI-en for nettjenesten i dette eksemplet er ikke en nettjeneste som fungerer.

  1. Logg deg på Power Apps, velg Løsninger og åpne den uadministrerte løsningen du vil bruke. Hvis elementet ikke finnes i sideruten, velger du ...Mer og deretter elementet du vil ha.

  2. Velg Ny>Automatisering>Skyflyt>Direkte.

  3. Angi et navn for flyten, velg Utløs en flyt manuelt, og velg deretter Opprett.

  4. Velg Nytt trinn, velg Microsoft Dataverse-koblingen, og velg deretter Utfør en ubundet handling på fanen Handlinger.

  5. Velg handlingen som heter RetrieveEnvironmentVariableSecretValue fra rullegardinlisten.

  6. Angi det unike navnet på miljøvariabelen (ikke visningsnavnet) som ble lagt til i forrige del, i dette eksemplet brukes new_TestSecret.

  7. Velg ...>Endre navn for å gi handlingen et nytt navn, slik at det blir enklere å henvise til den i neste handling. I dette skjermbildet har den fått navnet GetSecret.

    Konfigurasjon av direkteflyt for testing av en hemmelighet til en miljøvariabel

  8. Velg ...>Innstillinger for å vise GetSecret-handlingsinnstillingene.

  9. Aktiver alternativet Sikre utdata i innstillingene, og velg deretter Ferdig. Dette er for å hindre at utdataene for handlingen blir eksponert i historikken for flytkjøringen.

    Aktiver innstilling for sikre utdata for handlingen

  10. Velg Nytt trinn, søk etter og velg deretter HTTP-koblingen.

  11. Velg metoden som GET, og angi URI-en for nettjenesten. I dette eksemplet brukes den fiktive nettjenesten httpbin.org.

  12. Velg Vis avanserte alternativer, velg Godkjenning som Basic, og angi deretter brukernavnet.

  13. Velg Passord-feltet, og på fanen Dynamisk innhold under navnet på flyttrinnet ovenfor (GetSecret i dette eksemplet) velger du RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, som deretter legges til som et uttrykk outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] eller body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Opprett et nytt trinn ved hjelp av HTTP-koblingen

  14. Velg ...>Innstillinger for å vise HTTP-handlingsinnstillingene.

  15. Aktiver alternativene Sikre inndata og Sikre utdata i innstillingene, og velg deretter Ferdig. Aktivering av disse alternativene hindre at inndataene og utdataene for handlingen blir eksponert i historikken for flytkjøringen.

  16. Velg Lagre for å opprette flyten.

  17. Kjør flyten manuelt for å teste den.

    Ved hjelp av kjøreloggen for flyten kan utdataene bekreftes.

    Flytutdata

Bruk hemmeligheter for miljøvariabel i Microsoft Copilot Studio

Hemmeligheter for miljøvariabler i Microsoft Copilot Studio fungerer litt annerledes. Du må gå gjennom trinnene i delene i Konfigurer Azure Key Vault og Opprett en ny miljøvariabel for Key Vault-hemmeligheten for å bruke hemmeligheter med miljøvariabler.

Gi Copilot Studio tilgang til Azure Key Vault

Gjør følgende:

  1. Gå tilbake til Azure Key Vault.

  2. Copilot Studio trenger tilgang til Key Vault. Hvis du vil gi Copilot Studio muligheten til å bruke hemmeligheten, velger du Tilgangskontroll (IAM) i navigasjonsruten til venstre, velger Legg til og velger deretter Legg til rolletilordning.

    Vis min tilgang i Azure

  3. Velg brukerrollen Key Vault-hemmeligheter, og velg deretter Neste.

  4. Velg Velg medlemmer, søk etter Power Virtual Agents-tjenesten, velg den, og velg deretter Velg.

  5. Velg Se gjennom + tildel nederst på skjermen. Se gjennom informasjonen, og velg Se gjennom + tildel på nytt hvis alt er riktig.

Legg til en tagg for å gi en kopilot tilgang til hemmeligheten i Azure Key Vault

Ved å fullføre de forrige trinnene i denne delen har Copilot Studio nå tilgang til Azure Key Vault, men du kan ikke bruke det ennå. Følg disse trinnene for å fullføre oppgaven:

  1. Gå til Microsoft Copilot Studio, og åpne agenten du vil bruke for hemmeligheten for miljøvariabelen, eller opprett en ny.

  2. Åpne et agentemne, eller opprett et nytt.

  3. Velg +-ikonet for å legge til en node, og velg deretter Send en melding.

  4. Velg alternativet Sett inn variabel {x} i noden Send en melding.

  5. Velg Miljø-fanen. Velg hemmeligheten for miljøvariabelen du opprettet i trinnet Opprett en ny miljøvariabel for Key Vault-hemmeligheten.

  6. Velg Lagre for å lagre emnet.

  7. I testruten tester du emnet ved hjelp av en av startsetningene for emnet der du nettopp la til noden Send en melding med hemmeligheten for miljøvariabelen. Du bør støte på en feil som ser slik ut:

    Feilmelding: Roboter har ikke tillatelse til å bruke miljøvariabelen. Hvis du vil legge til roboten i den tillatte listen, legger du til taggen AllowedBots med verdi.

    Dette betyr at du må gå tilbake til Azure Key Vault og redigere hemmeligheten. La Copilot Studio være åpent, fordi du kommer tilbake hit senere.

  8. Gå til Azure Key Vault. I den venstre navigasjonsruten, velg Hemmeligheter under Objekter. Velg hemmeligheten du vil gjøre tilgjengelig i Copilot Studio, ved å velge navnet.

  9. Velg versjonen av hemmeligheten.

  10. Velg 0 tagger ved siden av Tagger. Legg til et taggnavn og en taggverdi. Feilmeldingen i Copilot Studio skal gi deg de nøyaktige verdiene for disse to egenskapene. Under Taggnavn må du legge til AllowedBots, og i Taggverdi må du legge til verdien som ble vist i feilmeldingen. Denne verdien er formatert som {envId}/{schemaName}. Hvis det er flere kopiloter som må tillates, skiller du verdiene med komma. Når du er ferdig, velger du OK.

  11. Velg Bruk for å bruke taggen på hemmeligheten.

  12. Gå tilbake til Copilot Studio. Velg Oppdater i ruten Test kopiloten.

  13. I testruten tester du emnet på nytt ved å bruke en av startsetningene for emnet.

Verdien av hemmeligheten din skal vises i testpanelet.

Legg til en tagg for å gi alle kopiloter i et miljø tilgang til hemmeligheten i Azure Key Vault

Alternativt kan du gi alle kopiloter i et miljø tilgang til hemmeligheten i Azure Key Vault. Følg disse trinnene for å fullføre oppgaven:

  1. Gå til Azure Key Vault. I den venstre navigasjonsruten, velg Hemmeligheter under Objekter. Velg hemmeligheten du vil gjøre tilgjengelig i Copilot Studio, ved å velge navnet.
  2. Velg versjonen av hemmeligheten.
  3. Velg 0 tagger ved siden av Tagger. Legg til et taggnavn og en taggverdi. Under Taggnavn, legg til AllowedEnvironments, og i Taggverdi, legg til miljø-ID-en for miljøet du vil tillate. Når du er ferdig, velger du OK
  4. Velg Bruk for å bruke taggen på hemmeligheten.

Begrensning

Miljøvariabler som refererer til Azure Key Vault-hemmeligheter, er for øyeblikket begrenset for bruk med Power Automate-flyter, Copilot Studio-agenter og egendefinerte koblinger.

Bruk av Azure Key Vault-hemmeligheter med miljøvariabler krever konfigurasjon av Azure Key Vault, slik at Power Platform kan lese de bestemte hemmelighetene du vil henviser til. Denne funksjonen muliggjør støtte for miljøvariabler med Azure Key Vault-hemmeligheter som kobles til via en privat kobling, noe som forbedrer sikkerheten og gir en mer robust integrasjon.

  1. Sett opp Azure Virtual Network-støtte for Power Platform for å integrere miljøvariabler med Azure Key Vault-hemmeligheter uten å utsette dem for offentlig Internett. For detaljerte instruksjoner, gå til Konfigurer virtuelt nettverk.

  2. Kontroller at Azure-abonnementet for Key Vault og virtuelt nettverk for Power Platform er i samme leier, siden integrering av flere leiere ikke støttes.

  3. Kontroller at brukeren som oppretter miljøvariablene, har riktige tillatelser til Azure Key Vault-ressursen. Hvis du vil ha mer informasjon, kan du gå til Konfigurer Azure Key Vault

  4. Opprett et nøkkelhvelv og opprett en privat koblingsforbindelse. Trinnene for å opprette Key Vault bør omfatte følgende handlinger:

    • Deaktiver offentlig tilgang.
    • Opprett et privat endepunkt.
    • Velg det virtuelle nettverket og delnettet der du vil at dette private endepunktet skal opprettes. Sørg for å koble til det virtuelle nettverket som er delegert til Power Platform.
    • Valider den private koblingstilkoblingen.

    For detaljerte trinn, gå til Konfigurer støtte for virtuelt nettverk for Power Platform.

  5. Opprett hemmeligheter for miljøvariabler ved å koble til Azure Key Vault.

Se også

Bruke datakildemiljøvariabler i lerretsapper
Bruk miljøvariabler i skyflyter i Power Automate-løsning
Oversikt over miljøvariabler.