Делите путем

Користите променљиве окружења за Азуре Кеy Ваулт тајне

  • Чланак

Променљиве окружења омогућавају упућивање на тајне ускладиштене у услузи Azure Key Vault. Ове тајне се затим омогућавају за употребу унутар Power Automate токоваи прилагођених конектора. Обратите пажњу на то да тајне нису доступне за употребу у другим прилагођавањима или уопште путем API-ја.

Стварне тајне су ускладиштене у услузи Azure Key Vault и променљива окружења упућује на тајну локацију безбедносног складишта. Коришћење Azure Key Vault тајни са променљивима окружења захтева да конфигуришете Azure Key Vault тако да Power Platform може да прочита одређене тајне на које желите да упућујете.

Променљиве окружења које се односе на тајне тренутно нису доступне из бирача динамичког садржаја за коришћење у токовима.

Конфигурисање услуге Azure Key Vault

Да бисте користили Azure Key Vault тајне у услузи Power Platform, Azure претплата која има трезор мора да има регистрованог PowerPlatform добављача ресурса, а корисник који креира променљиву окружења мора да има одговарајуће дозволе за Azure Key Vault ресурс.

Напомена

  • Недавно смо променили < ДИЦТ__безбедносна улога > сецуритy роле </ДИЦТ__безбедносна улога > користимо за уврљжање дозвола за приступ у Азуре Кљуи трезору. Претходна упутства су укључивала додељивање кључног трезора читалац улогу. Ако сте претходно подесили свој кључни трезор са улогом Кеy Ваулт читалац, уверите се да сте додали улогу Кеy Ваулт Сецретс Усер како бисте се уверили Dataverse да ваши корисници и да ће имати одговарајуће дозволе за преузимање тајни.
  • Препознајемо да наша услуга користи АПИ-је за контролу приступа засноване на Азуре улози за процену < ДИЦТ__безбедносна улога > сецуритy роле </ДИЦТ__безбедносна улога > додељивање чак и ако још увек имате конфигурисан кључни трезор да користите модел дозволе за смернице за приступ трезору. Да бисте поједноставили конфигурацију, препоручили смо вам да пребаците модел дозволе трезора на Азуре контролу приступа засновану на улози. То можете да урадите на картици "Конфигурација програма Аццесс".

  1. Региструјте Microsoft.PowerPlatform добављача ресурса у Azure претплати. Следите ове кораке да бисте проверили и конфигурисали: Добављачи ресурса и типови ресурса

    Региструјте Power Platform добављача у услузи Azure

  2. Направите Azure Key Vault трезор. Размислите о коришћењу засебног трезора за свако Power Platform окружење како бисте умањили претњу у случају пробоја. Размислите о конфигурисању трезора кључа да бисте користили Азуре контролу приступа засновану на улози за модел дозволе. Више информација: Најбоље праксе за коришћење Азуре Кеy Ваулт,Qуицкстарт - Креирање Азуре кључ трезора са Азуре порталом

  3. Корисници који креирају или користе променљиве окружења типа тајна морају да имају дозволу за преузимање тајног садржаја. Да бисте новом кориснику доделили могућност коришћења тајне, изаберите област Аццесс контроле (ИАМ), кликните на дугме "Додај", а затим у падајућем менију изаберите ставку Додај доделу улога. Више информација:Обезбедите приступ кључевима, цертификатима и тајнама помоћу Азуре контроле приступа засноване на улози

    Приказ мог приступа у услузи Azure

  4. У чаробњаку за додељивање улога оставите подразумевани тип доделе као улоге функције"Посао " и наставите на картици "Улога ". Пронађите улогу корисника "Кључне трезорске тајне" и изаберите је. И даље на картицу "Чланови" и изаберите везу "Изабери чланове" и пронађите корисника на бочној табли. Када је корисник изабран и приказан у одељку "Чланови", преклињејте редиговање и доделите картицу и довршите чаробњак.

  5. Азуре Кључ Трезора мора имати улогу корисника кључних трезора додељену директору Dataverse услуге. Ако не постоји за овај трезор, додајте нове смернице за приступ користећи исти метод који сте претходно користили за дозволу крајњег корисника, само Dataverse користећи идентитет апликације уместо корисника. Ако у закупцу имате Dataverse више директора услуга, препоручујемо да их све изаберете и сачувате доделу улога. Када доделите улогу, прегледајте сваку ставку Dataverse наведену на листи додела улога и изаберите име Dataverse да бисте видели детаље. Ако ИД апликације није, изаберите идентитет 00000007-0000-0000-c000-000000000000, а затим кликните на дугме Уклони да бисте га уклонили са листе.

  6. Ако сте омогућили Азуре Кеy Ваулт Фиреwалл мораћете да дозволите Power Platform приступ ИП адресама у вашем трезору. Power Platform није укључена у опцију "Само поуздане услуге". Стога погледајте чланак Power Platform опсега УРЛ адреса и ИП адреса за тренутне ИП адресе које се користе у услузи.

  7. Ако то већ нисте урадили, додајте тајну свом новом трезору. Још информација: Azure брзи старт – Поставите и преузмите тајну из услуге Key Vault користећи Azure портал

Креирање нове променљиве окружења за Key Vault тајну

Када се Azure Key Vault конфигурише и имате тајну регистровану у трезору, сада је можете референцирати у услузи Power Apps помоћу променљиве окружења.

Напомена

  • Провера ваљаности корисничког приступа за тајну се обавља у позадини. Ако корисник нема бар дозволу за читање, приказује се ова грешка у провери ваљаности: "Ова променљива није исправно сачувала. Корисник није овлашћен да чита тајне са 'Азуре Кеy Ваулт патх'."
  • Тренутно је Azure Key Vault једина тајна продавница која је подржана променљивама окружења.
  • Azure Key Vault мора да буде у истом закупцу као ваша Power Platform претплата.

  1. Пријавите се у Power Apps и у области Решења отворите некомплетно решење које користите за развој.

  2. Изаберите Ново > Још > Променљива окружења.

  3. Унесите име за приказ и, опционално, опис за променљиву окружења.

  4. Изаберите да Тип података буде Тајна и да Тајно складиште буде Azure Key Vault.

  5. Одаберите неку од следећих опција:

    • Изаберите Референца на нову Azure Key Vault вредност. Када додате и сачувате информације додате у следећем кораку, креираће се запис value променљиве окружења.
    • Развијте Прикажи подразумевану вредност да бисте приказали поља за креирање подразумеване Azure Key Vault тајне. Када додате и сачувате информације у следећем кораку, подразумевана вредност разграничења ће се додати запису дефиниције променљиве окружења.

  6. Унесите следеће информације:

    • ID Azure претплате: ID Azure претплате повезан са безбедносним складиштем.

    • Назив групе ресурса: Azure група ресурса у којој се налази безбедносно складиште које садржи тајну.

    • Azure Key Vault име: Назив безбедносног складишта које садржи тајну.

    • Тајно име: Име тајне лоциране у услузи Azure Key Vault.

      Савет

      ID претплате, име групе ресурса и име безбедносног складишта се могу пронаћи на страници Преглед безбедносног складишта на Azure порталу. Тајно име можете пронаћи на страници безбедносног складишта у Azure порталу тако што ћете изабрати ставку Тајне у оквиру Поставке.

  7. Изаберите Сачувај.

Креирање Power Automate тока за тестирање тајне променљиве окружења

Једноставан сценарио за демонстрацију коришћења тајне добијене из услуге Azure Key Vault је креирање Power Automate тока за коришћење тајне за потврду идентитета веб-услуге.

Напомена

URI за веб-услугу у овом примеру није функционална веб-услуга.

  1. Пријавите се у PowerApps, изаберите Решења, па отворите жељено некомплетно решење. Ако се ставка не налази у окну бочне табле, изаберите …Више, а затим изаберите ставку коју желите.

  2. Изаберите Ново > Аутоматизација > Ток у облаку > Тренутни.

  3. Унесите назив за тока, изаберите Ручно покретање тока, а затим изаберите Креирај.

  4. Изаберите Нови корак, изаберите Microsoft Dataverse конектор, а затим на картици Радње изаберите ставку Изврши неповезану радњу.

  5. Изаберите радњу под називом RetrieveEnvironmentVariableSecretValue са падајуће листе.

  6. Наведите јединствено име променљиве окружења (а не име за приказ) додато у претходном одељку, у овом примеру се користи new_TestSecret.

  7. Изаберите ... > Преименуј да бисте преименовали радњу тако да се она лакше референцира у следећој радњи. У доле снимку екрана у наставку, радња је преименована у GetSecret.

    Конфигурација тренутног тока за тестирање тајне променљиве окружења

  8. Изаберите ... > Поставке за приказивање поставки радње GetSecret.

  9. Омогућите опцију Заштита излаза у поставкама, а затим изаберите Готово. Ово је зато да би се спречио излаз радње која је изложена у историји покретања тока.

    Омогућавање поставке безбедних излаза за радњу

  10. Изаберите Нови корак, потражите и изаберите конектор HTTP.

  11. Изаберите да Метод буде GET и унесите URI за веб-услугу. У овом примеру, користи се фиктивна веб-услуга httpbin.org.

  12. Изаберите Прикажи више опција, изаберите да Потврда идентитета буде Основна , а затим унесите Корисничко име.

  13. Изаберите поље Лозинка, а затим на картици Динамички садржај испод горенаведеног имена корака тока (GetSecret у овом примеру) изаберите RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, што се затим додаје као израз outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] или body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Креирање новог корака помоћу HTTP конектора

  14. Изаберите ... > Поставке за приказивање поставки радње HTTP.

  15. Омогућите опције Заштита улаза и Заштита излаза у поставкама, а затим изаберите Готово. Омогућавање ових опција спречава улаз и излаз радње која се разоткрива у историји покретања тока.

  16. Изаберите Сачувај да бисте креирали ток.

  17. Ручно покрените ток да бисте га тестирали.

    Коришћењем историје покретања тока, излаз се може проверити.

    Излаз тока

Ограничења

  • Променљиве окружења које упућују на Azure Key Vault тајне тренутно су ограничене за употребу са Power Automate токовима и прилагођеним конекторима.

Погледајте и

Коришћење < ДИЦТ__извор података > дата соурце </ДИЦТ__извор података > окружења у апликацијама подлоге за цртање
Коришћење променљивих окружења у токовима Power Automate облака раствора
Преглед променљивих окружења.

Напомена

Можете ли нам рећи о својим жељеним поставкама језика у документацији? Испуните кратку анкету. (имајте на уму да је ова анкета на енглеском језику)

Анкета ће трајати око седам минута. Не прикупљају се лични подаци (изјава о приватности).