Deli z drugimi prek


Uporabite spremenljivke okolja za skrivnosti Azure Key Vault

Spremenljivke okolja omogočajo sklicevanje na skrivnosti, shranjene v storitvi Azure Key Vault. Te skrivnosti so nato na voljo za uporabo znotraj Power Automate tokov in povezovalnikov po meri. Upoštevajte, da skrivnosti niso na voljo za uporabo v drugih prilagoditvah ali na splošno prek API-ja.

Dejanske skrivnosti so shranjene v storitvi Azure Key Vault in spremenljivka okolja se sklicuje na skrivno lokacijo shrambe ključev. Uporaba skrivnosti storitve Azure Key Vault s spremenljivkami okolja zahteva, da konfigurirate Azure Key Vault tako, da storitev Power Platform lahko prebere posebne skrivnosti, na katere se želite sklicevati.

Spremenljivke okolja, ki se sklicujejo na skrivnosti, trenutno niso na voljo v izbirniku dinamične vsebine za uporabo v tokovih.

Konfiguriraj storitev Azure Key Vault

Za uporabo skrivnosti Azure Key Vault s storitvijo Power Platform, mora imeti naročnina Azure, ki ima shrambo, PowerPlatform registriranega ponudnika virov in uporabnik, ki ustvari spremenljivko okolja, mora imeti ustrezna dovoljenja za vir storitve Azure Key Vault.

Opomba

  • Nedavno smo spremenili varnostna vloga, ki ga uporabljamo za uveljavljanje dovoljenj za dostop v Azure Key Vault. Prejšnja navodila so vključevala dodelitev vloge Key Vault Uporabnik z dovoljenjem za branje. Če ste svoj shrambo ključev predhodno nastavili z vlogo Shramba ključev Uporabnik z dovoljenjem za branje, se prepričajte, da ste dodali vlogo Uporabnik skrivnosti Shramba ključev, da zagotovite, da bodo imeli vaši uporabniki in Dataverse ustrezna dovoljenja za pridobivanje skrivnosti.
  • Zavedamo se, da naša storitev uporablja API-je za nadzor dostopa Azure, ki temeljijo na vlogah, za ocenjevanje dodelitve varnostna vloga, tudi če je vaš trezor ključev še vedno konfiguriran za uporabo modela dovoljenj pravilnika o dostopu do trezorja. Za poenostavitev vaše konfiguracije priporočamo, da svoj model dovoljenj za trezor preklopite na nadzor dostopa na podlagi vloge Azure. To lahko storite na zavihku Konfiguracija dostopa.
  1. Registrirajte ponudnika virov Microsoft.PowerPlatform v svoji naročnini na Azure. Za preverjanje in konfiguracijo sledite tem korakom: Ponudniki virov in vrste virov

    Registrirajte ponudnika v storitvi Power Platform v Azure

  2. Ustvarite shrambo Azure Key Vault. Razmislite o uporabi ločenega trezorja za vsako okolje v storitvi Power Platform za minimiziranje grožnje v primeru kršitve. Razmislite o konfiguraciji vašega trezorja ključev za uporabo nadzora dostopa Azure na podlagi vlog za model dovoljenj. Več informacij: Najboljše prakse za uporabo trezorja ključev Azure, Hitri začetek – ustvarite trezor ključev Azure s portalom Azure

  3. Uporabniki, ki ustvarjajo ali uporabljajo spremenljivke okolja tipa secret, morajo imeti dovoljenje za pridobivanje skrivne vsebine. Če želite novemu uporabniku omogočiti uporabo skrivnosti, izberite območje Nadzor dostopa (IAM), izberite Dodaj in nato v spustnem meniju izberite Dodaj dodelitev vloge . Več informacij: Zagotovite dostop do ključev, potrdil in skrivnosti Key Vault z nadzorom dostopa Azure na podlagi vlog

    Ogled mojega dostopa v Azure

  4. V čarovniku za dodajanje dodelitve vlog pustite privzeto vrsto dodelitve kot Vloge delovnih funkcij in nadaljujte do Zavihek Vloga. Poiščite Vlogo uporabnika Key Vault Secrets in jo izberite. Nadaljujte na zavihek članov in izberite povezavo Izberi člane in poiščite uporabnika na stranski plošči. Ko je uporabnik izbran in prikazan v razdelku članov, nadaljujte z zavihkom Pregled in dodelitev ter dokončajte čarovnika.

  5. Shramba ključev Azure mora imeti vlogo uporabnika skrivnosti shrambe ključev dodeljeno Dataverse principalu storitve. Če za ta trezor ne obstaja, dodajte nov pravilnik dostopa z isto metodo, ki ste jo prej uporabili za dovoljenje končnega uporabnika, le z uporabo Dataverse identitete aplikacije namesto uporabnika. Če imate v najemniku več Dataverse principalov storitev, priporočamo, da jih izberete vse in shranite dodelitev vlog. Ko je vloga dodeljena, preglejte vsak Dataverse element na seznamu dodelitev vlog in izberite Dataverse ime za ogled podrobnosti. Če ID aplikacije ni 00000007-0000-0000-c000-000000000000 izberite identiteto in nato Odstrani da ga odstranite s seznama.

  6. Če ste omogočili požarni zid Azure Key Vault boste morali dovoliti Power Platform naslovom IP dostop do vašega trezorja ključev. Power Platform ni vključeno v možnost »Samo zaupanja vredne storitve«. Zato glejte Power Platform URL-je in obsege naslovov IP članek za trenutne naslove IP, ki se uporabljajo v storitvi.

  7. Če tega še niste storili, dodajte skrivnost v svojo novo shrambo. Več informacij: Azure hitri začetek – Nastavite in pridobite skrivnost iz Key Vault z uporabo portala Azure

Ustvarite novo spremenljivko okolja za skrivnost storitve Key Vault

Ko je Azure Key Vault konfiguriran in imate v svoji shrambi registrirano skrivnost, se lahko zdaj nanjo sklicujete znotraj storitve Power Apps z uporabo spremenljivke okolja.

Opomba

  • Preverjanje uporabniškega dostopa za skrivnost se izvaja v ozadju. Če uporabnik nima vsaj dovoljenja za branje, se prikaže ta napaka pri preverjanju: »Ta spremenljivka se ni pravilno shranila. Uporabnik nima pooblastila za branje skrivnosti iz 'poti Azure Key Vault'."
  • Trenutno je storitev Azure Key Vault edina skrivna shramba, ki je podprta s spremenljivkami okolja.
  • Storitev Azure Key Vault mora biti v istem najemniku kot vaša naročnina na platformo Power Platform.
  1. Prijavite se v storitev Power Apps, in v Rešitve odprite neupravljano rešitev, ki jo uporabljate za razvoj.

  2. Izberite Nova > Več > Spremenljivka okolja.

  3. Vnesite Prikazno ime in neobvezen Opis za spremenljivko okolja.

  4. Izberite Vrsto podatkov kot Skrivnost in Shrambo za skrivnosti kot Azure Key Vault.

  5. Izberite med naslednjimi možnostmi:

    • Izberite Nova referenčna vrednost za Azure Key Vault. Ko so informacije dodane v naslednjem koraku in shranjene, je ustvarjen zapis spremenljivke okolja vrednost.
    • Razširite Prikaz privzete vrednosti, za prikaz polj za ustvarjanje Privzete skrivnosti storitve Azure Key Vault. Ko so informacije dodane v naslednjem koraku in shranjene, je privzeta vrednost demarkacije dodana v zapis spremenljivke okolja definicija.
  6. Vnesite te podatke:

    • ID naročnine za Azure : ID naročnine za Azure, povezan s shrambo ključev.

    • Ime skupine virov : Skupina virov za Azure, kjer se nahaja shramba ključev, ki vsebuje skrivnost.

    • Ime za Key Vault za Azure: Ime shrambe ključev, ki vsebuje skrivnost.

    • Skrivno ime : Ime skrivnosti, ki se nahaja v shrambi ključev za Azure.

      Nasvet

      ID naročnine, ime skupine virov in ime shrambe ključev lahko najdete na portalu Azure, na strani Pregled shrambe ključev. Skrivno ime najdete na strani shrambe ključev na portalu Azure tako, da izberete Skrivnosti pod Nastavitve.

  7. Izberite Shrani.

Ustvarite tok za Power Automate za preizkus skrivnosti spremenljivke okolja

Preprost scenarij za prikaz uporabe skrivnosti, pridobljene iz storitve Azure Key Vault, je ustvariti tok za Power Automate za uporabo skrivnosti za preverjanje pristnosti v spletni storitvi.

Opomba

URI za spletno storitev v tem primeru ni delujoča spletna storitev.

  1. Vpišite se v PowerApps, izberite Rešitve, in nato odprite neupravljano rešitev. Če elementa ni v podoknu leve plošče, izberite … Več in nato izberite želeni element.

  2. Izberite Novo > Avtomatizacija > Tok za oblak > takojšnji.

  3. Za ime toka izberite Ročno sproži potek, in nato izberite Ustvarjanje.

  4. Izberite Nov korak, izberite povezovalnik Microsoft Dataverse in nato na zavihku Dejanja izberite Izvedi nevezano dejanje.

  5. Na spustnem seznamu izberite dejanje RetrieveEnvironmentVariableSecretValue.

  6. Navedite edinstveno ime spremenljivke okolja (ne prikazno ime), dodano v prejšnjem razdelku, za ta primer se uporablja new_TestSecret.

  7. Izberite ... > Preimenuj za preimenovanje dejanja, tako da se bo nanj lažje sklicevati v naslednjem dejanju. Na spodnjem posnetku zaslona je bil preimenovan v GetSecret.

    Konfiguracija takojšnjega toka za testiranje skrivnosti spremenljivke okolja

  8. Izberite ... > Nastavitve za prikaz GetSecret nastavitev dejanja.

  9. V nastavitvah omogočite možnost Zaščitni rezultati in nato izberite Končano. S tem preprečimo, da bi bil rezultat dejanja izpostavljen v zgodovini izvajanja toka.

    Omogoči nastavitev varnih izhodov za dejanje

  10. Pod možnostjo Novi korak poiščite in izberite povezovalnik za HTTP.

  11. Izberite Metoda kot PRIDOBI in za spletno storitev vnesite URI. V tem primeru se uporablja fiktivna spletna storitev httpbin.org.

  12. Izberite Pokaži napredne možnosti, izberite Preverjanje pristnosti kot Osnovno, nato pa vnesite Uporabniško ime.

  13. Izberite polje Geslo, nato pa v zavihku Dinamična vsebina pod zgornjim imenom koraka toka (v tem primeru GetSecret) izberite RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, ki se nato doda kot izraz outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] ali body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Ustvarjanje novega koraka s povezovalnikom HTTP

  14. Izberite ... > Nastavitve za prikaz HTTP nastavitev dejanja.

  15. V nastavitvah omogočite možnost Zaščitni vnosi and Zaščitni rezultati in nato izberite Končano. Če omogočite te možnosti, preprečite, da bi bili vnos in rezultati dejanja izpostavljeni v zgodovini izvajanja toka.

  16. Izberite Shrani, da ustvarite tok.

  17. Ročno zaženite tok in ga preizkusite.

    Rezultate je mogoče preveriti z uporabo zgodovine izvajanja toka.

    Rezultat toka

Omejitve

  • Spremenljivke okolja, ki se nanašajo na skrivnosti storitve Azure Key Vault, so trenutno omejene za uporabo tokov storitve Power Automate in priključkov po meri.

Glejte tudi

Uporabite spremenljivke okolja vir podatkov v aplikacijah platna
Uporabite spremenljivke okolja v Power Automate tokovih oblaka rešitev
Pregled spremenljivk okolja.

Opomba

Ali nam lahko poveste, kateri je vaš prednostni jezik za dokumentacijo? Izpolnite kratko anketo. (upoštevajte, da je v angleščini)

Z anketo boste porabili približno sedem minut. Ne zbiramo nobenih osebnih podatkov (izjava o zasebnosti).