Deli z drugimi prek

Uporabite spremenljivke okolja za skrivnosti Azure Key Vault

Spremenljivke okolja omogočajo sklicevanje na skrivnosti, shranjene v storitvi Azure Key Vault. Te skrivnosti so nato na voljo za uporabo znotraj Power Automate tokov in povezovalnikov po meri. Upoštevajte, da skrivnosti niso na voljo za uporabo v drugih prilagoditvah ali na splošno prek API-ja.

Dejanske skrivnosti so shranjene v storitvi Azure Key Vault in spremenljivka okolja se sklicuje na skrivno lokacijo shrambe ključev. Uporaba skrivnosti storitve Azure Key Vault s spremenljivkami okolja zahteva, da konfigurirate Azure Key Vault tako, da storitev Power Platform lahko prebere posebne skrivnosti, na katere se želite sklicevati.

Spremenljivke okolja, ki se sklicujejo na skrivnosti, trenutno niso na voljo v izbirniku dinamične vsebine za uporabo v Power Automate tokovih.

Konfiguriraj storitev Azure Key Vault

Če želite uporabljati skrivnosti Azure Key Vault z Power Platform, mora imeti naročnina Azure, ki ima trezor, registriranega PowerPlatform ponudnika virov in uporabnik, ki ustvari spremenljivko okolja, mora imeti ustrezna dovoljenja za vir Azure Key Vault.

Pomembno

  • Obstajajo nedavne spremembe varnostne vloge, ki se uporablja za uveljavljanje dovoljenj za dostop znotraj Azure Key Vault. Prejšnja navodila so vključevala dodelitev vloge Bralnik trezorja ključev. Če ste svoj trezor ključev predhodno nastavili z vlogo bralnik ključev trezorja, se prepričajte, da ste dodali vlogo uporabnika skrivnosti trezorja ključev, da zagotovite, da imajo vaši uporabniki in Microsoft Dataverse ustrezna dovoljenja za pridobivanje skrivnosti.
  • Zavedamo se, da naša storitev uporablja API-je za nadzor dostopa Azure, ki temeljijo na vlogah, za ocenjevanje dodelitve varnostne vloge, tudi če je vaš trezor ključev še vedno konfiguriran za uporabo modela dovoljenj pravilnika o dostopu do trezorja. Za poenostavitev vaše konfiguracije priporočamo, da svoj model dovoljenj za trezor preklopite na nadzor dostopa na podlagi vloge Azure. To lahko storite na zavihku Konfiguracija dostopa .

  1. Registrirajte Microsoft.PowerPlatform ponudnika virov v svoji naročnini na Azure. Sledite tem korakom za preverjanje in konfiguracijo: Ponudniki virov in vrste virov

    Registrirajte Power Platform ponudnika v Azure

  2. Ustvarite shrambo Azure Key Vault. Razmislite o uporabi ločenega trezorja za vsako okolje v storitvi Power Platform za minimiziranje grožnje v primeru kršitve. Razmislite o konfiguraciji vašega trezorja ključev za uporabo nadzora dostopa Azure na podlagi vlog za model dovoljenj. Več informacij: Najboljše prakse za uporabo trezorja ključev Azure, Hitri začetek – ustvarite trezor ključev Azure s portalom Azure

  3. Uporabniki, ki ustvarjajo ali uporabljajo spremenljivke okolja tipa secret, morajo imeti dovoljenje za pridobivanje skrivne vsebine. Če želite novemu uporabniku omogočiti uporabo skrivnosti, izberite območje Nadzor dostopa (IAM) , izberite Dodaj, nato pa v spustnem meniju izberite Dodaj dodelitev vloge . Več informacij: Zagotovite dostop do ključev, potrdil in skrivnosti Key Vault z nadzorom dostopa Azure na podlagi vlog

    Ogled mojega dostopa v Azure

  4. V čarovniku Dodaj dodelitev vloge pustite privzeto vrsto dodelitve kot Vloge delovnih funkcij in nadaljujte na zavihek Vloga . Poiščite Vlogo uporabnika Key Vault Secrets in jo izberite. Nadaljujte na zavihek članov in izberite povezavo Izberi člane in poiščite uporabnika na stranski plošči. Ko je uporabnik izbran in prikazan v razdelku članov, nadaljujte z zavihkom Pregled in dodelitev ter dokončajte čarovnika.

  5. Shramba ključev Azure mora imeti vlogo uporabnika skrivnosti shrambe ključev dodeljeno glavnemu servisu Dataverse . Če za ta trezor ne obstaja, dodajte nov pravilnik dostopa z isto metodo, ki ste jo prej uporabili za dovoljenje končnega uporabnika, le z uporabo Dataverse identitete aplikacije namesto uporabnika. Če imate v najemniku več Dataverse storitvenih principalov, priporočamo, da jih izberete vse in shranite dodelitev vlog. Ko je vloga dodeljena, preglejte vsak Dataverse element na seznamu dodelitev vlog in izberite Dataverse ime za ogled podrobnosti. Če ID aplikacije ni 00000007-0000-0000-c000-000000000000**, izberite identiteto in nato izberite Odstrani , da jo odstranite s seznama.

  6. Če ste omogočili požarni zid Azure Key Vault, morate dovoliti Power Platform naslovom IP dostop do vašega trezorja ključev. Power Platform ni vključeno v možnost »Samo zaupanja vredne storitve«. Pojdite na Power Platform URL-je in obsege naslovov IP za trenutne naslove IP, ki se uporabljajo v storitvi.

  7. Če tega še niste storili, dodajte skrivnost v svojo novo shrambo. Več informacij: Azure Quickstart - nastavite in pridobite skrivnost iz Key Vault z uporabo portala Azure

Ustvarite novo spremenljivko okolja za skrivnost storitve Key Vault

Ko je Azure Key Vault konfiguriran in imate v svoji shrambi registrirano skrivnost, se lahko zdaj nanjo sklicujete znotraj storitve Power Apps z uporabo spremenljivke okolja.

opomba,

  • Preverjanje uporabniškega dostopa za skrivnost se izvaja v ozadju. Če uporabnik nima vsaj dovoljenja za branje, se prikaže ta napaka pri preverjanju: »Ta spremenljivka se ni pravilno shranila. Uporabnik ni pooblaščen za branje skrivnosti iz 'poti Azure Key Vault'."
  • Trenutno je storitev Azure Key Vault edina skrivna shramba, ki je podprta s spremenljivkami okolja.
  • Storitev Azure Key Vault mora biti v istem najemniku kot vaša naročnina na platformo Power Platform.

  1. Prijavite se v Power Apps in v območju Rešitve odprite neupravljano rešitev, ki jo uporabljate za razvoj.

  2. Izberite Novo>Več>Spremenljivka okolja.

  3. Vnesite Prikazno ime in po želji Opis za spremenljivko okolja.

  4. Izberite Vrsto podatkov kot Skrivnost in Skrivno shrambo kot Shrambo ključev Azure.

  5. Izberite med naslednjimi možnostmi:

    • Izberite New Azure Key Vault reference value. Ko so informacije dodane v naslednjem koraku in shranjene, se ustvari zapis spremenljivke okolja value .
    • Razširite Prikaži privzeto vrednost, da prikažete polja za ustvarjanje Privzete skrivnosti Azure Key Vault. Ko so informacije dodane v naslednjem koraku in shranjene, je razmejitev privzete vrednosti dodana spremenljivki okolja definicija zapis.

  6. Vnesite te podatke:

    • ID naročnine Azure: ID naročnine Azure, povezan s trezorjem ključev.

    • Ime skupine virov: skupina virov Azure, kjer se nahaja shramba ključev, ki vsebuje skrivnost.

    • Ime trezorja ključev Azure: ime trezorja ključev, ki vsebuje skrivnost.

    • Skrivno ime: ime skrivnega ključa v Azure Key Vault.

      Nasvet

      ID naročnine, ime skupine virov in ime trezorja ključev najdete na portalu Azure Pregled strani trezorja ključev. Skrivno ime lahko najdete na strani trezorja ključev na portalu Azure tako, da izberete Skrivnosti pod Nastavitve.

  7. Izberite možnost Shrani.

Ustvarite tok za Power Automate za preizkus skrivnosti spremenljivke okolja

Preprost scenarij za prikaz uporabe skrivnosti, pridobljene iz storitve Azure Key Vault, je ustvariti tok za Power Automate za uporabo skrivnosti za preverjanje pristnosti v spletni storitvi.

opomba,

URI za spletno storitev v tem primeru ni delujoča spletna storitev.

  1. Prijavite se v Power Apps, izberite Rešitve in nato odprite želeno neupravljano rešitev. Če elementa ni v podoknu stranske plošče, izberite …Več in nato izberite želeni element.

  2. Izberite Novo>Avtomatizacija>Cloud flow>Takoj.

  3. Vnesite ime toka, izberite Ročno sproži tok in nato izberite Ustvari.

  4. Izberite Nov korak, izberite Microsoft Dataverse konektor in nato na zavihku Dejanja izberite Izvedi nevezano dejanje.

  5. Na spustnem seznamu izberite dejanje z imenom RetrieveEnvironmentVariableSecretValue .

  6. Navedite edinstveno ime spremenljivke okolja (ne prikaznega imena), dodano v prejšnjem razdelku, za ta primer je uporabljen new_TestSecret .

  7. Izberite ...>Preimenuj , da preimenujete dejanje, da se bo nanj lažje sklicevati v naslednjem dejanju. Na tem posnetku zaslona je preimenovan v GetSecret.

    Konfiguracija takojšnjega toka za testiranje skrivnosti spremenljivke okolja

  8. Izberite ...>Nastavitve za prikaz nastavitev dejanja GetSecret .

  9. V nastavitvah omogočite možnost Varni izhodi in nato izberite Končano. S tem preprečimo, da bi bil rezultat dejanja izpostavljen v zgodovini izvajanja toka.

    Omogoči nastavitev varnih izhodov za dejanje

  10. Izberite Nov korak, poiščite in izberite HTTP konektor.

  11. Izberite Metodo kot GET in vnesite URI za spletno storitev. V tem primeru je uporabljena izmišljena spletna storitev httpbin.org .

  12. Izberite Pokaži napredne možnosti, izberite Preverjanje pristnosti kot Osnovno in nato vnesite Uporabniško ime.

  13. Izberite polje Geslo in nato na zavihku Dinamična vsebina pod zgornjim imenom koraka toka (GetSecret v tem primeru) izberite RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, ki je nato dodan kot izraz outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] ali body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Ustvarite nov korak z uporabo priključka HTTP

  14. Izberite ...>Nastavitve za prikaz nastavitev dejanj HTTP .

  15. Omogočite možnosti Varni vhodi in Varni izhodi v nastavitvah in nato izberite Končano. Če omogočite te možnosti, preprečite, da bi bili vnos in rezultati dejanja izpostavljeni v zgodovini izvajanja toka.

  16. Izberite Shrani , da ustvarite tok.

  17. Ročno zaženite tok in ga preizkusite.

    Rezultate je mogoče preveriti z uporabo zgodovine izvajanja toka.

    Izhod pretoka

Uporabite skrivnosti spremenljivk okolja v Microsoft Copilot Studio

Skrivnosti spremenljivk okolja v Microsoft Copilot Studio delujejo nekoliko drugače. Opraviti morate korake v razdelkih v Konfiguracija trezorja ključev Azure in Ustvarjanje nove spremenljivke okolja za skrivnost trezorja ključev za uporabo skrivnosti s spremenljivkami okolja.

Omogočite Copilot Studio dostop do Azure Key Vault

Upoštevajte ta navodila:

  1. Vrnite se v svoj trezor ključev Azure.

  2. Copilot Studio potrebuje dostop do trezorja ključev. Če želite podeliti Copilot Studio možnost uporabe skrivnosti, izberite Nadzor dostopa (IAM) v levem podoknu za krmarjenje, izberite Dodaj in nato izberite Dodaj dodelitev vloge.

    Ogled mojega dostopa v Azure

  3. Izberite Vlogo uporabnika Key Vault Secrets in nato izberite Naprej.

  4. Izberite Izberi člane, poiščite Power Virtual Agents Storitev, jo izberite in nato izberite Izberi.

  5. Izberite Pregled + dodeli na dnu zaslona. Preglejte informacije in znova izberite Pregled + dodeli če je vse pravilno.

Dodajte oznako, da kopilotu omogočite dostop do skrivnosti v Azure Key Vault

Če dokončate prejšnje korake v tem razdelku, Copilot Studio zdaj imate dostop do Azure Key Vault, vendar ga še ne morete uporabljati. Za dokončanje naloge sledite tem korakom:

  1. Pojdite na Microsoft Copilot Studio in odprite agenta, ki ga želite uporabiti za skrivnost spremenljivke okolja, ali ustvarite novega.

  2. Odprite temo agenta ali ustvarite novo.

  3. Izberite ikono + , da dodate vozlišče, in nato izberite Pošlji sporočilo.

  4. Izberite možnost Vstavi spremenljivko {x} v vozlišču Pošlji sporočilo .

  5. Izberite zavihek Okolje . Izberite skrivnost spremenljivke okolja, ki ste jo ustvarili v koraku Ustvari novo spremenljivko okolja za skrivnost trezorja ključev .

  6. Izberite Shrani , da shranite svojo temo.

  7. V preizkusnem podoknu preizkusite svojo temo z uporabo enega od začetnih stavkov teme, kamor ste pravkar dodali vozlišče Pošlji sporočilo s skrivnostjo spremenljivke okolja. Naleteli bi na napako, ki je videti takole:

    Sporočilo o napaki: Botu ni dovoljeno uporabljati spremenljivke okolja. Če želite bota dodati na seznam dovoljenih, dodajte oznako 'AllowedBots' z vrednostjo.

    To pomeni, da se morate vrniti v Azure Key Vault in urediti skrivnost. Pusti Copilot Studio odprto, ker se pozneje vrneš sem.

  8. Pojdite v Azure Key Vault. V levem podoknu za krmarjenje izberite Skrivnosti pod Predmeti. Izberite skrivnost, v kateri želite dati na voljo Copilot Studio tako, da izberete ime.

  9. Izberite različico skrivnosti.

  10. Izberite 0 oznak poleg Oznak. Dodajte Ime oznake in Vrednost oznake. Sporočilo o napaki v Copilot Studio bi moralo dati točne vrednosti teh dveh lastnosti. Pod Ime oznake morate dodati AllowedBots in v Vrednost oznake morate dodati vrednost, ki je bila prikazana v sporočilu o napaki. Ta vrednost je oblikovana kot {envId}/{schemaName}. Če je treba dovoliti več kopilotov, ločite vrednosti z vejico. Ko končate, izberite V redu.

  11. Izberite Uporabi , da uporabite oznako za skrivnost.

  12. Pojdi nazaj na Copilot Studio. Izberite Osveži v Preizkusite svojega kopilota podoknu.

  13. V preizkusnem podoknu znova preizkusite svojo temo z uporabo enega od začetnih stavkov teme.

Vrednost vaše skrivnosti mora biti prikazana na testni plošči.

Dodajte oznako, da omogočite vsem kopilotom v okolju dostop do skrivnosti v Azure Key Vault

Druga možnost je, da vsem kopilotom v okolju omogočite dostop do skrivnosti v Azure Key Vault. Za dokončanje naloge sledite tem korakom:

  1. Pojdite v Azure Key Vault. V levem podoknu za krmarjenje izberite Skrivnosti pod Predmeti. Izberite skrivnost, v kateri želite dati na voljo Copilot Studio tako, da izberete ime.
  2. Izberite različico skrivnosti.
  3. Izberite 0 oznak poleg Oznak. Dodajte Ime oznake in Vrednost oznake. Pod Ime oznake dodajte Dovoljena okolja in pod Vrednost oznake dodajte ID okolja, ki ga želite dovoliti. Ko končate, izberite OK
  4. Izberite Uporabi , da uporabite oznako za skrivnost.

Omejitev

Spremenljivke okolja, ki se nanašajo na skrivnosti Azure Key Vault, so trenutno omejene za uporabo s Power Automate tokovi, Copilot Studio agenti in povezovalniki po meri.

Uporaba skrivnosti Azure Key Vault s spremenljivkami okolja zahteva konfiguracijo Azure Key Vault, tako da Power Platform lahko bere določene skrivnosti, na katere se želite sklicevati. Ta zmožnost omogoča podporo za spremenljivke okolja s skrivnostmi Azure Key Vault, ki se povezujejo prek zasebne povezave, s čimer izboljšajo varnost in zagotavljajo robustnejšo integracijo.

  1. Nastavite podporo za virtualno omrežje Azure za Power Platform integracijo spremenljivk okolja s skrivnostmi Azure Key Vault, ne da bi jih izpostavili javnemu internetu. Za podrobna navodila pojdite na nastavitev navideznega omrežja.

  2. Prepričajte se, da sta naročnina Azure za Key Vault in Power Platform Virtual Network v istem najemniku, saj integracija med najemniki ni podprta.

  3. Zagotovite, da ima uporabnik, ki ustvarja spremenljivke okolja, ustrezna dovoljenja za vir Azure Key Vault. Za več podrobnosti pojdite na Konfigurirajte trezor ključev Azure

  4. Ustvarite trezor ključev in vzpostavite zasebno povezovalno povezavo. Koraki za ustvarjanje trezorja ključev morajo vključevati naslednja dejanja:

    • Onemogoči javni dostop.
    • Ustvari zasebno končno točko.
    • Izberite navidezno omrežje in podomrežje, kjer želite ustvariti to zasebno končno točko. Zagotovite povezavo z navideznim omrežjem (navideznim omrežjem), ki mu je dodeljeno Power Platform.
    • Preverite povezljivost zasebne povezave.

    Za podrobna navodila pojdite na Nastavitev podpore za navidezno omrežje Power Platform.

  5. Ustvarite skrivnosti okolja s povezovanjem s trezorjem ključev Azure.

Glejte tudi

Uporabite spremenljivke okolja vira podatkov v aplikacijah platna
Uporabite spremenljivke okolja v Power Automate tokovih oblaka rešitev
Pregled spremenljivk okolja.