Compartilhar via

Criar uma credencial do Azure Key Vault

A página Credenciais no Power Automate permite criar, editar e compartilhar credenciais de entrada usando o Azure Key Vault e usá-las em fluxos da área de trabalho ou conexões de fluxo da área de trabalho.

Você também pode criar credenciais com o CyberArk® (versão preliminar).

Importante

  • Atualmente, esse recurso não está disponível para Nuvens do Governo dos EUA.

Pré-requisitos

As credenciais usam segredos armazenados no Azure Key Vault. Para criar credenciais, seu administrador deve configurar o Azure Key Vault primeiro.

Em resumo, o administrador precisa garantir:

  1. O provedor de recursos do Microsoft Power Platform está registrado na assinatura do Azure.
  2. Há um Azure Key Vault que contém os segredos a serem usados nas credenciais.
  3. A entidade de serviço do Dataverse tem permissões para usar os segredos.
  4. Os usuários que criam a variável ambiental têm permissões apropriadas para o recurso Azure Key Vault.
  5. O ambiente do Power Automate e a assinatura do Azure devem estar no mesmo locatário.

Para configurar o Azure Key Vault, siga as etapas descritas em Configurar o Azure Key Vault.

Autenticação baseada em certificado (versão preliminar)

A autenticação baseada em certificado do Microsoft Entra ID é uma autenticação de fator único que permite atender aos requisitos de MFA (autenticação multifator). Em vez de usar a autenticação baseada em senha, use a autenticação baseada em certificado (CBA), que verifica sua identidade com base em certificados digitais.

Para usar a CBA, siga as etapas em Configurar autenticação baseada em certificado. Caso contrário, comece a criar uma credencial.

Criar uma credencial

Para criar suas credenciais:

  1. Vá para a página Credenciais. Se não vir a página Credenciais, siga estes passos:

    1. Selecione Mais na navegação esquerda e escolha Descobrir tudo.
    2. Em Dados, selecione Credenciais. Você pode fixar a página na navegação à esquerda para torná-la mais acessível.

  2. Na página Credenciais, crie sua primeira credencial selecionando Nova Credencial.

Captura de tela da definição do nome da credencial.

Definir nome de credencial

Forneça as seguintes informações para criar sua credencial:

  • Nome da credencial: insira um nome para a credencial
  • Descrição (opcional)

Selecionar armazenamento de credenciais

  1. Depois de selecionar Avançar, selecione o local para usar a credencial.
  2. Selecione Conexão, Fluxo da área de trabalho ou Rede como o local para usar a credencial.
  3. Se solicitado, selecione Azure Key Vault como o tipo de repositório de credenciais e selecione Avançar.
Local para usar a credencial Description Autenticação com suporte do Azure Key Vault
Connection Usada em uma conexão de fluxo da área de trabalho, a credencial é usada para fazer logon na máquina durante o tempo de execução (execuções assistidas e autônomas). • Nome de usuário e senha
• Autenticação baseada em certificado
Fluxo da área de trabalho Na automação de fluxo da área de trabalho, as credenciais permitem que você faça login, insira senhas e execute ações semelhantes sem armazenar informações confidenciais no script. • Nome de usuário e senha
Rede Usado ao criar Conexão de rede de associação híbrida do Microsoft Entra para grupos de computadores hospedados. • Nome de usuário e senha

Selecionar valores de credencial

Na última etapa do assistente, selecione valores da credencial. Dependendo do local para usar a credencial, pode haver dois tipos de autenticações com suporte:

  1. Nome de usuário e senha: o segredo armazenado no cofre é uma senha.
  2. Autenticação baseada em certificado: o segredo armazenado no cofre é um certificado.
  • Nome de usuário: para selecionar um nome de usuário, você pode usar a lista suspensa. Se você não tiver nenhuma variável de ambiente, selecione nova:

    • Nome para exibição. Insira um nome para a variável do ambiente.

    • Nome.. O nome exclusivo é gerado automaticamente do Nome de exibição, mas você pode alterá-lo.

    • Valor. Preencha o nome do usuário. Para usuários locais, forneça o nome de usuário. Para usuários do domínio, forneça <DOMAIN\username> ou <username@domain.com>.

      Captura de tela da definição do nome de usuário da credencial.

Observação

O nome de usuário da credencial é uma variável de ambiente de texto. Você também pode criar uma variável de texto na página de soluções e selecioná-la como nome de usuário.

  • Senha: para selecionar uma senha, você pode usar a lista suspensa. Se você não tiver nenhuma variável de ambiente secreta, selecione nova:
    • Nome para exibição. Insira um nome para a variável do ambiente.
    • Nome.. O nome exclusivo é gerado automaticamente do Nome de exibição, mas você pode alterá-lo.
    • ID da assinatura. a ID da assinatura do Azure associada ao cofre de chaves.
    • Nome do grupo de recursos. O grupo de recursos do Azure onde o cofre de chaves que contém o segredo está localizado.
    • Nome do Azure key vault. O nome do cofre de chaves que contém o segredo.
    • Nome do segredo. O nome do segredo localizado no Azure Key Vault.

Captura de tela da definição de senha da credencial.

Observação

A ID da assinatura, o nome do grupo de recursos e o nome do cofre de chaves podem ser encontrados na página Visão geral do cofre de chaves no portal do Azure. O nome do segredo pode ser encontrado na página do cofre de chaves no portal do Azure selecionando Segredos em Configurações. A validação de acesso do usuário para o segredo é executada em segundo plano. Se o usuário não tiver, pelo menos, permissão de leitura, este erro de validação será exibido: "Esta variável não foi salva corretamente. O usuário não está autorizado a ler segredos do 'caminho do Azure Key Vault'." As senhas usam variáveis de ambiente secretas. Você também pode criar uma variável secreta na página de soluções e selecioná-la como senha.

Criar conexões de fluxo da área de trabalho usando uma credencial

Agora você pode usar sua credencial em conexões de fluxo da área de trabalho

Use a credencial em uma ação do fluxo da área de trabalho (versão preliminar)

Importante

  • Os recursos de versão preliminar não foram criados para uso em ambientes de produção e podem ter funcionalidade restrita. Esses recursos são disponibilizados antes de um lançamento oficial para que os clientes possam ter acesso antecipado e forneçam comentários.
  • Para obter mais informações, vá para condições da versão preliminar.
  • Essa ação ainda não está disponível em nuvens soberanas.

  1. Certifique-se de ter um computador registrado onde seu fluxo da área de trabalho é executado. A credencial é recuperada dessa máquina.

    Observação

    A máquina registrada é necessária para que as credenciais funcionem corretamente em runtime, mesmo para execuções assistidas no local ou de depuração.

  2. No designer de fluxo da área de trabalho, selecione o módulo variáveis secretas do Power Automate (versão preliminar) e, em seguida, selecione a ação Obter credencial (versão preliminar).

  3. Especifique a credencial a ser recuperada. Você vê apenas as credenciais definidas como utilizáveis em um fluxo da área de trabalho. Na versão preliminar pública, somente há suporte para credenciais que usam o Azure Key Vault ou o CyberArk como um cofre.

  4. Defina o nome da variável que você criar. Essa variável é marcada como "sensível" e não pode ser alterada. Isso significa que o valor dessa variável não é armazenado nos logs.

    Observação

    As variáveis de tipo de credencial são sempre impostas para serem confidenciais, independentemente de como são produzidas (ação Obter credencial (versão preliminar) ou reatribuir uma variável de credencial a uma nova, que herda o mesmo tipo de variável). O mesmo se aplica à propriedade "Senha" das variáveis de credencial.

  5. Depois de selecionar Salvar, use sua credencial em outra ação. Todas as ações do Power Automate podem usar credenciais.

  6. No campo de ação, selecione o seletor de variável. Na lista de variáveis de fluxo, localize sua credencial e expanda-a. Você pode ver os atributos Nome de usuário e Senha. Selecione aquela que você deseja usar nessa ação (clique duas vezes).

  7. Execute o fluxo.

Veja onde os segredos são usados

Na página Soluções, você pode recuperar todas as dependências de variáveis ​​de ambiente secretas. Isto ajuda-o a compreender onde os segredos do Azure Key Vault são usados ​​antes de os editar.

  • Selecione uma variável do ambiente.
  • Selecione a opção avançada e escolha Mostrar dependências.
  • Você pode ver:
    • As credenciais que usam esta variável de ambiente.
    • As conexões que usam esta variável de ambiente.

Compartilhe uma credencial

Você pode compartilhar as credenciais que possui com outros usuários em sua organização e fornecer a esses usuários permissões especificas para acessá-las.

  1. Entre no Power Automate e depois acesse Credenciais.
  2. Selecione sua credencial da lista de credenciais.
  3. Na barra de comandos, selecione Compartilhar.
  4. Selecione Adicionar pessoas, informe o nome da pessoa de sua organização com quem você deseja compartilhar as credenciais e selecione a função que deseja conceder a este usuário:
    • Coproprietário (pode editar). Esse nível de acesso concede permissões totais a essa credencial. Coproprietários podem usar a credencial, compartilhá-la com outras pessoas, editar seus detalhes e excluí-la.
    • Usuário (somente para exibição). Esse nível de acesso somente concede permissão para usar a credencial. Nenhuma permissão de edição, compartilhamento ou exclusão é possível com esse acesso.
    • Usuário (pode visualizar e compartilhar). Este nível de acesso é igual à opção somente visualizar, mas dá permissão para compartilhar.
  5. Selecione Salvar.

Observação

Ao compartilhar sua credencial, todas as variáveis ​​de ambiente usadas na credencial também são compartilhadas. A remoção de permissões em uma credencial não remove permissões nas variáveis ​​de ambiente.

Excluir uma credencial

  1. Entre no Power Automate e depois acesse Credenciais.
  2. Da lista, selecione a credencial que deseja excluir e, em seguida, selecione Excluir máquina na barra de comandos.

Observação

Excluir uma credencial não exclui as variáveis ​​de ambiente associadas.

Exportar uma conexão de fluxo da área de trabalho usando credencial

Observação

Você deve primeiro ler o artigo sobre ALM para fluxos da área de trabalho.

Você pode exportar um fluxo da nuvem com uma conexão de fluxo da área de trabalho usando credenciais. Você deve importar primeiro a solução que contém a credencial e as variáveis ​​de ambiente relacionadas e depois importar aquela que contém o fluxo da nuvem e o fluxo da área de trabalho.

Limitações

  • No momento, este recurso está disponível apenas para conexões de fluxo da área de trabalho.
  • Não é possível editar o nome de usuário e o segredo selecionados em uma credencial existente. Se quiser alterar o valor do nome de usuário e da senha, você precisará atualizar as variáveis de ambiente ou o segredo do Azure Key Vault.
  • Se o seu ambiente usa uma identidade gerenciada para acessar o Azure Data Lake, essa identidade também é usada para acessar o Azure Key Vault. Somente uma política corporativa pode se conectar ao ambiente do Dataverse simultaneamente. Verifique se a identidade gerenciada tem as permissões apropriadas para o recurso Azure Key Vault.

Atualizar um segredo (rotação de senha) - Preterido

Observação

Esta seção agora foi preterida para conexões de fluxo da área de trabalho. As conexões do fluxo da área de trabalho que usam Credenciais agora estão recuperando segredos durante a execução do fluxo. Não é mais necessário criar esse fluxo personalizado para atualizar as conexões. As conexões que usam Credenciais criadas antes de abril de 2024 devem ser atualizadas para se beneficiarem da atualização automática.

Pré-requisitos para atualizar um segredo (rotação de senha)

  • Certifique-se de que a Grade de Eventos está registada como Fornecedor de Recursos no Azure. Saiba mais sobre provedores de recursos.
  • Certifique-se de que os usuários que usam o gatilho da Grade de Eventos no Power Automate tem permissões de Colaborador da Grade de Eventos. Saiba mais

Observação

Esta seção requer permissões específicas, como administrador do sistema da organização, caso contrário, apenas suas próprias conexões de fluxo da área de trabalho serão atualizadas.

Criar uma fluxo da nuvem usando o gatilho Grade de Eventos

Ao editar segredos no Azure Key Vault, você quer garantir que as credenciais e conexões que usam esses segredos estejam sempre atualizadas para evitar quebrar suas automações. No Power Automate, você precisa criar um fluxo da nuvem que atualize as credenciais quando os segredos forem alterados no Azure Key Vault.

Este fluxo da nuvem contém um gatilho e uma ação:

  1. Gatilho: Quando ocorre um evento de recurso (Grade de Eventos)
    • Tipo de recurso: Microsoft.KeyVault.vaults
    • Nome do recurso: forneça o nome do cofre de chaves.
    • Assinatura: forneça o nome da assinatura.
    • Tipo de evento: Microsoft.KeyVault.SecretNewVersionCreated
  2. Ação: executar uma ação não associada (Dataverse)
    • Nome da ação: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Tópico
    • Nome do segredo: Assunto

Captura de tela da ação do Dataverse.

Se você usar um Key Vault para todos os seus segredos, precisará apenas de um fluxo da nuvem. Se tiver vários Key Vaults, será necessário duplicar o fluxo da nuvem e atualizar o nome do recurso.

Para garantir que o seu fluxo da nuvem está funcionando corretamente com o Azure Key Vault:

  1. Vá para o seu Key Vault.
  2. Selecione Eventos.
  3. Em Assinaturas de eventos, verifique se você consegue ver um webhook do LogicApps.

Captura de tela de Assinaturas de evento no Azure Key Vault.