Прочитать на английском

Поделиться через

Создание учетных данных Azure Key Vault

  • Статья

На странице Учетные данные в Power Automate можно создавать, редактировать и совместно использовать учетные данные для входа с помощью Azure Key Vault, а также использовать их в классических потоках или в подключениях классических потоков.

Вы также можете создать учетные данные с помощью CyberArk® (предварительная версия).

Важно!

  • В настоящее время эта функция недоступна для облаков для государственных учреждений США.

Предварительные условия

Учетные данные используют секреты, хранящиеся в Azure Key Vault. Чтобы создать учетные данные, администратор должен сначала настроить Azure Key Vault.

Если кратко, администратору необходимо обеспечить:

  1. Выполнена регистрация поставщика ресурсов Microsoft Power Platform в подписке Azure.
  2. Существует хранилище Azure Key Vault, содержащее секреты, которые будут использоваться в учетных данных.
  3. Субъект-служба Dataverse имеет разрешения на использование секретов.
  4. Пользователи, создающие переменную среды, имеют соответствующие разрешения для ресурса Azure Key Vault.
  5. Среда Power Automate и подписка Azure должны находиться в одном арендаторе.

Чтобы настроить Azure Key Vault, выполните действия, описанные в разделе Настройка Azure Key Vault.

Проверка подлинности на основе сертификата (предварительная версия)

Проверка подлинности на основе сертификата Microsoft Entra ID — это однофакторная проверка подлинности, которая позволяет соответствовать требованиям многофакторной проверки подлинности (MFA). Вместо проверки подлинности на основе пароля используйте аутентификацию на основе сертификатов (CBA), которая проверяет вашу личность на основе цифровых сертификатов.

Чтобы использовать CBA, выполните действия из раздела Настройка проверки подлинности на основе сертификата. В противном случае начните создавать учетные данные.

Создание учетных данных

Чтобы создать учетные данные:

  1. Перейдите на страницу Учетные данные. Если страница Учетные данные не отображается , выполните следующие действия:

    1. Выбрать Еще в левой области навигации, затем выберите Узнать обо всем.
    2. В разделе Данные выберите Учетные данные. Вы можете закрепить страницу в левой панели навигации, чтобы сделать ее более доступной.

  2. На странице Учетные данные создайте свои первые учетные данные, выбрав Создать учетные данные.

Снимок экрана с определением имени учетных данных.

Определение имени учетных данных

Введите следующие сведения для создания ваших учетных данных:

  • Имя учетных данных: введите имя для учетных данных
  • Описание: (необязательно)

Выбор хранилища учетных данных

  1. После нажатия кнопки Далее выберите расположение для использования учетных данных.
  2. Выберите Подключение, Классический поток или Сеть в качестве расположения для использования учетных данных.
  3. При появлении запроса выберите Azure Key Vault в качестве типа хранилища учетных данных, а затем нажмите кнопку Далее.
Место использования учетных данных Описаниен Поддерживаемая проверка подлинности Azure Key Vault
Connection Учетные данные, используемые при подключении классического потока, используются для входа на компьютер во время выполнения (выполнение с сопровождением и без него). • Имя пользователя и пароль
• Проверка подлинности на основе сертификата
Классический поток При автоматизации классического потока учетные данные позволяют входить в систему, вводить пароли и выполнять аналогичные действия без сохранения конфиденциальной информации в сценарии. • Имя пользователя и пароль
Сеть Используется при создании подключения к сети с гибридным присоединением к Microsoft Entra для групп размещенных компьютеров. • Имя пользователя и пароль

Выбор значений учетных данных

На последнем шаге мастера выберите значения учетных данных. В зависимости от расположения для использования учетных данных может поддерживаться два типа аутентификации:

  1. Имя пользователя и пароль: секрет, хранящийся в хранилище, является паролем.
  2. Проверка подлинности на основе сертификатов: секрет, хранящийся в хранилище, является сертификатом.
  • Имя пользователя: чтобы выбрать имя пользователя, вы можете использовать раскрывающийся список. Если у вас нет переменных среды, выберите Создать:

    • Отображаемое имя. Введите имя для переменной среды.

    • Имя. Уникальное имя автоматически генерируется из значения Отображаемое имя, но вы можете изменить его.

    • Значение. Укажите имя пользователя. Для локальных пользователей укажите имя пользователя. Для пользователей домена укажите <DOMAIN\username> или <username@domain.com>.

      Снимок экрана с определением имени пользователя в учетных данных.

Примечание

Имя пользователя в учетных данных — это текстовая переменная среды. Вы также можете создать текстовую переменную на странице решений и выбрать ее в качестве имени пользователя.

  • Пароль: чтобы выбрать пароль, вы можете использовать раскрывающийся список. Если у вас нет секретных переменных среды, выберите Создать:
    • Отображаемое имя. Введите имя для переменной среды.
    • Имя. Уникальное имя автоматически генерируется из значения Отображаемое имя, но вы можете изменить его.
    • Идентификатор подписки. Идентификатор подписки Azure, связанной с хранилищем ключей.
    • Имя группы ресурсов. Группа ресурсов Azure, где расположено хранилище ключей, содержащее секрет.
    • Имя Azure Key Vault. Имя хранилища ключей, содержащего секрет.
    • Имя секрета. Имя секрета, расположенного в Azure Key Vault.

Снимок экрана с определением пароля в учетных данных.

Примечание

Идентификатор подписки, имя группы ресурсов и имя хранилища ключей можно найти на странице Обзор хранилища ключей портала Azure. Имя секрета можно найти на странице хранилища ключей на портале Azure, выбрав Секреты в разделе Параметры. Проверка доступа пользователя к секрету выполняется в фоновом режиме. Если у пользователя нет разрешения хотя бы на чтение, отображается следующая ошибка проверки: "Эта переменная не сохранилась надлежащим образом. Пользователю не разрешено читать секреты из «Пути к Azure Key Vault». В паролях используются секретные переменные среды. Вы также можете создать секретную переменную на странице решений и выбрать ее в качестве пароля.

Создание подключения классического потока с использованием учетных данных

Теперь вы можете использовать свои учетные данные в подключениях классических потоков

Использование учетных данных в действиях классических потоков (предварительная версия)

Важно!

  • Предварительные версии функций не предназначены для использования в производственной среде, а их функциональность может быть ограничена. Они доступны перед официальным выпуском, чтобы клиенты могли досрочно получить доступ и предоставить отзывы.
  • Дополнительные сведения см. в условия предварительной версии.
  • Это действие пока недоступно в национальных облаках.

  1. Убедитесь, что у вас есть зарегистрированный компьютер, на котором выполняется классический поток. Учетные данные извлекаются с этого компьютера.

    Примечание

    Зарегистрированный компьютер необходим для правильной работы учетных данных во время выполнения, даже для локальных запусков с сопровождением или отладкой.

  2. В конструкторе классических потоков выберите модуль переменных секретов Power Automate (предварительная версия), а затем выберите действие Получить учетные данные (предварительная версия).

  3. Укажите извлекаемые учетные данные. В классическом потоке отображаются только учетные данные, определенные как пригодные для использования. В общедоступной предварительной версии поддерживаются только учетные данные, использующие Azure Key Vault или CyberArk в качестве хранилища.

  4. Определите имя создаваемой переменной. Эта переменная помечена как "конфиденциальная" и не может быть изменена. Это означает, что значение этой переменной не хранится в журналах.

    Примечание

    Переменные типа учетных данных всегда должны быть конфиденциальными, независимо от того, как они были созданы (действие "Получить учетные данные (предварительная версия)" или переназначение переменной учетных данных новой, которая наследует тот же тип переменной). То же самое относится и к свойству "Password" переменных учетных данных.

  5. После выбора Сохранить используйте свои учетные данные в другом действии. Все действия Power Automate могут использовать учетные данные.

  6. В поле действия выберите средство выбора переменной. В списке переменных потока найдите свои учетные данные и разверните их. Вы увидите атрибуты Имя пользователя и Пароль. Выберите атрибут, который вы хотите использовать в этом действии (двойным щелчком кнопки мыши).

  7. Выполнение потока.

Посмотреть, где используются секреты

На странице "Решения" вы можете получить все зависимости секретных переменных среды. Это поможет вам понять, где используются ваши секреты Azure Key Vault, прежде чем редактировать их.

  • Выберите одну переменную среды.
  • Выберите параметр дополнительный и выберите Показать зависимости.
  • Вы можете видеть:
    • Учетные данные, использующие эту переменную среды.
    • Подключения, использующие эту переменную среды.

Поделитесь учетными данными

Вы можете поделиться учетными данными с другими пользователями в вашей организации и предоставить этим пользователям определенные разрешения для доступа к ним.

  1. Войдите в Power Automate, а затем перейдите в раздел Учетные данные.
  2. Выберите ваши учетные данные из списка учетных данных.
  3. На панели команд выберите Поделиться.
  4. Выберите Добавить людей, введите имя пользователя в вашей организации, с которым вы хотите поделиться учетными данными, а затем выберите роль, которую вы хотите назначить этому пользователю:
    • Совладелец (может редактировать). Этот уровень доступа дает полное разрешение для этих учетных данных. Совладельцы могут использовать учетные данные, предоставлять доступ к ним другим пользователям, редактировать сведения о них, а также могут удалить их.
    • Пользователь (может только просматривать). Этот уровень доступа дает только разрешение на использование этих учетных данных. С этим доступом нельзя редактировать, совместно использовать или удалять.
    • Пользователь (можно просмотреть и поделиться). Этот уровень доступа аналогичен параметру «только просмотр», но он дает разрешение на общий доступ.
  5. Выберите Сохранить.

Примечание

При совместном использовании ваших учетных данных все переменные среды, используемые в учетных данных, также становятся общими. Удаление разрешений в отношении учетных данных не удаляет разрешения в отношении переменных среды.

Удалите учетные данные

  1. Войдите в Power Automate, а затем перейдите в раздел Учетные данные.
  2. Выберите в списке учетные данные, которые вы хотите удалить, а затем выберите Удалить компьютер на панели команд.

Примечание

Удаление учетных данных не приводит к удалению связанных переменных среды.

Экспорт подключения классического потока с использованием учетных данных

Примечание

Сначала вам следует прочитать статью о ALM для классических потоков.

Вы можете экспортировать облачный поток с подключением к классическому потоку, используя учетные данные. Сначала вам следует импортировать решение, содержащее учетные данные и связанные переменные среды, а затем импортировать решение, содержащее облачный поток и классический поток.

Ограничения

  • В настоящее время эта функция доступна только для подключений классических потоков.
  • Вы не можете изменить выбранное имя пользователя и секрет в существующих учетных данных. Если вы хотите изменить значение имени пользователя и пароля, вам необходимо обновить переменные среды или секрет Azure Key Vault.
  • Если в вашей среде используется управляемое удостоверение для доступа к Azure Data Lake, это удостоверение также используется для доступа к Azure Key Vault. Только одна политика предприятия может одновременно подключаться к среде Dataverse. Убедитесь, что управляемое удостоверение имеет соответствующие разрешения на доступ к ресурсу Azure Key Vault.

Обновление секрета (чередование паролей) — не рекомендуется

Примечание

Этот раздел теперь устарел для подключений классических потоков. Подключения классических потоков, использующие учетные данные, теперь получают секреты во время выполнения потока. Больше нет необходимости создавать этот пользовательский поток для обновления подключений. Подключения, использующие учетные данные, созданные до апреля 2024 года, должны быть обновлены, чтобы воспользоваться преимуществами автоматического обновления.

Предварительные условия для обновления секрета (чередование паролей)

Примечание

Для этого раздела требуются особые разрешения, такие как системный администратор организации, в противном случае будут обновлены только ваши подключения классических потоков.

Создайте облачный поток с помощью триггера «Сетка событий»

Когда вы редактируете секреты в Azure Key Vault, вы должны быть уверены, что учетные данные и подключения, использующие эти секреты, всегда актуальны, чтобы не нарушить автоматизацию. В Power Automate необходимо создать облачный поток, который обновляет учетные данные при изменении секретов в Azure Key Vault.

Этот облачный поток содержит один триггер и одно действие:

  1. Триггер: когда происходит событие ресурса (Сетка событий)
    • Тип ресурса: Microsoft.KeyVault.vaults
    • Имя ресурса: укажите имя хранилища ключей.
    • Подписка: укажите имя подписки.
    • Тип события: Microsoft.KeyVault.SecretNewVersionCreated
  2. Действие: выполнить несвязанное действие (Dataverse)
    • Имя действия: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Тема
    • Имя секрета: Тема

Снимок экрана действия Dataverse.

Если вы используете одно хранилище ключей для всех своих секретов, вам понадобится только один облачный поток. Если у вас есть несколько хранилищ ключей, вам необходимо продублировать облачный поток и обновить имя ресурса.

Чтобы убедиться, что ваш облачный поток работает правильно с Azure Key Vault:

  1. Перейдите в свое хранилище ключей.
  2. Выберите События.
  3. В разделе Подписки на события проверьте, отображается ли веб-перехватчик LogicApps.

Снимок экрана: подписки на события в Azure Key Vault.