Dela via

Använd Azure Key Vault-hemligheter i miljövariabler

  • Artikel

Miljövariabler möjliggör refererande hemligheter som lagras i Azure Key Vault. Hemligheterna görs sedan tillgängliga för användning i Power Automate-flöden och anpassade anslutningsprogram. Observera att hemligheterna inte är tillgängliga för användning i andra anpassningar eller allmänt via API.

De faktiska hemligheterna lagras i Azure Key Vault, och miljövariabeln refererar platsen för Key Vault-hemligheter. Om du använder Azure Key Vault-hemligheter med miljövariabler måste du konfigurera Azure Key Vault så att Power Platform kan läsa de specifika hemligheter du vill hänvisa till.

Miljövariabler som refererar till hemligheter är för närvarande inte tillgängliga från den dynamiska innehållsväljaren för användning i flöden.

Konfigurera Azure Key Vault

För att kunna använda Azure Key Vault-hemligheter med Power Platform måste Azure-prenumerationen som omfattar har detta valv ha PowerPlatform-resursleverantören registrerad, och användaren som skapar miljövariabeln måste ha lämpliga behörigheter till Azure Key Vault-resursen.

Anteckning

  • Vi har nyligen ändrat säkerhetsroll som vi använder för att ge åtkomstbehörigheter i Azure Key Vault. Tidigare instruktioner omfattade tilldelning av Key Vault läsarroll. Om du tidigare har konfigurerat ditt key vault med rollen Key Vault-läsare bör du se till att du lägger till rollen användare av Key Vault-hemlighet för att säkerställa att dina användare och Dataverse har tillräckliga behörigheter för att hämta hemligheterna.
  • Vi inser att vår tjänst använder Azure rollbaserade åtkomstkontroll-API:er för att utvärdera tilldelning av säkerhetsroller även om du fortfarande har konfigurerat ditt nyckelvalv för att använda modellen för åtkomstbehörighet för valv. För att förenkla konfigurationen rekommenderar vi att du byter din behörighetsmodell till Azure-rollbaserad åtkomstkontroll. Du kan göra detta på fliken åtkomstkonfiguration.

  1. Registrera Microsoft.PowerPlatform-resursleverantören i din Azure-prenumeration. Kontrollera och konfigurera följande steg: Resursleverantörer och resurstyper

    Registrera Power Platform-leverantören i Azure

  2. Skapa ett Azure Key Vault-valv. Överväg att använda ett separat valv för varje Power Platform-miljö i syfte att minimera risken om störningar skulle uppstå. Överväg att konfigurera ditt nyckelvalv för att använda Azure rollbaserad åtkomstkontroll för Behörighetsmodellen. Mer information: Bästa metoder för att använda Azure Key Vault, Snabbstart – Skapa ett Azure Key Vault med Azure-portalen

  3. Användare som skapar eller använder miljövariabler av typen hemlighet måste ha behörighet att hämta det hemliga innehållet. Om du vill ge en ny användare behörighet att använda hemligheten väljer du området Åtkomstkontroll (IAM), sedan Lägg till och väljer Lägg till rolltilldelning i listrutan. Mer information: Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med en Azure-rollbaserad åtkomstkontroll

    Visa min åtkomst i Azure

  4. I guiden Lägg till rolltilldelning, lämna standardtilldelningstypen somJobbfunktionsroller och fortsätt till fliken Roll. Leta upp användarrollen Key Vault-hemlighet och välj den. Fortsätt till fliken Medlemmar och markera länken Välj medlemmar och leta upp användaren i sidopanelen. När du har valt användaren och visas i medlemsavsnittet fortsätter du till fliken Granska och tilldela och slutför guiden.

  5. Azure Key Vault måste ha rollen Användare av Key Vault-hemlighet Dataverse huvudkonto för tjänsten. Om det inte finns för detta valv, lägg till en ny åtkomstpolicy med samma metod som du tidigare använde för slutanvändarbehörigheten, endast med Dataverse appidentitet istället för användaren. Om du har flera Dataverse tjänsternas huvudnamn i din klientorganisation rekommenderar vi att du väljer dem alla och sparar rolltilldelningen. När rollen är tilldelad, granska var och en Dataverse objekt listat i rolltilldelningslistan och välj Dataverse namn för att se detaljerna. Om Program-ID inte markeras 00000007-0000-0000-c000-000000000000 väljer du identiteten och väljer Ta bort för att ta bort den från listan.

  6. Om du har aktiverat Azure Key Vault-brandvägg måste du tillåta Power Platform IP-adresser åtkomst till ditt nyckelvalv. Power Platform ingår inte i alternativet "Endast betrodda tjänster". Se därför artikeln Power Platform URL och IP-adressintervall för de aktuella IP-adresserna som används i tjänsten.

  7. Om du inte redan har gjort det lägger du till en hemlighet i ditt nya valv. Mer information finns i: Azure-snabbstart: – Konfigurera och hämta en hemlighet från Key Vault med hjälp av Azure-portalen.

Skapa en ny miljövariabel för Key Vault-hemligheten

När Azure Key Vault har konfigurerats och du har registrerat ett moln i ditt valv kan du nu referera till det i Power Apps med hjälp av en miljövariabel.

Anteckning

  • Valideringen av användaråtkomsten för hemligheten utförs i bakgrunden. Om användaren inte har minst läsbehörighet visas detta valideringsfel: Variabeln sparades inte korrekt. Användaren har inte behörighet att läsa hemligheter från "Azure Key Vault-sökväg".
  • För närvarande är Azure Key Vault den enda lagringsmiljö som stöds med miljövariabler.
  • Azure Key Vault måste vara i samma klientorganisation som din Power Platform prenumeration.

  1. Logga in på Power Apps och öppna den ohanterade lösning du använder för utveckling i området Lösningar.

  2. Välj Ny > Mer > Miljövariabel.

  3. Ange ett Displaynamn och (valfritt) en beskrivning för miljövariabeln.

  4. Välj datatypen Hemlighet och Hemlig lagring som Azure Key Vault

  5. Välj bland följande alternativ:

    • Välj Ny värdereferens för Azure Key Vault. När informationen har lagts till i nästa steg och sparats, skapas en värdepost för en miljövariabel.
    • Visa Visa standardvärde, så visas fälten där du kan skapa en Standardhemlighet för Azure Key Vault. När informationen har lagts till i nästa steg och sparats, läggs separationslinjen för standardvärde till i posten definition för miljövariabeln.

  6. Ange följande information:

    • Azure-prenumerations-ID: Det Azure-prenumerations-ID som är associerat med nyckelvalvet.

    • Resursgruppsnamn: Den Azure-resursgrupp där det nyckelvalv finns som innehåller hemligheten.

    • Namn på Azure Key Vault: Namnet på det nyckelvalv som innehåller hemligheten.

    • Hemlighetens namn: Namnet på den hemlighet som finns i Azure Key Vault.

      Tips

      Prenumerations-ID, resursgruppnamn och namn på nyckelvalv finns på Azure-portalsidan Översikt i nyckelvalvet. Namnet på hemligheten finns på nyckelvalvssidan i Azure-portalen genom att välja Hemligheter under Inställningar.

  7. Välj Spara.

Skapa ett Power Automate-flöde för att testa miljövariabelns hemlighet

Ett enkelt scenario som demonstrerar hur man använder en hemlighet som erhållits via Azure Key Vault är att skapa ett Power Automate-flöde som använder hemligheten för autentisering gentemot en webbtjänst.

Anteckning

URI för webbtjänsten är i detta exempel ingen fungerande webbtjänst.

  1. Logga in på PowerApps, välj Lösningar och öppna sedan önskad ohanterad lösning. Om objektet inte finns i sidopanelsfönstret väljer du ... Mer och markerar sedan det objekt du vill använda.

  2. Välj Ny > Automatisering > Molnflöde > Direkt.

  3. Ange ett namn för flödet, välj Utlös ett flöde manuellt och välj sedan Skapa.

  4. Välj Nytt steg, markera anslutningsprogrammet Microsoft Dataverse och välj sedan, på fliken Åtgärder, Utför en obunden åtgärd.

  5. Välj åtgärden RetrieveEnvironmentVariableSecretValue i listrutan.

  6. Ge miljövariabeln ett unikt namn (inte visningsnamnet) som lagts till i avsnittet ovan – i detta exempel används new_TestSecret.

  7. Välj   > Byt namn om du vill byta namn på åtgärden så att den blir lättare att referera till i nästa åtgärd. I skärmbilden nedan har namnet ändrats till GetSecret.

    Direktflödeskonfiguration för testning av en miljövariabelhemlighet

  8. Välj   > Inställningar för att visa åtgärdsinställningar för GetSecret.

  9. Aktivera alternativet Säker utdata bland inställningarna, och välj sedan Klar. Detta för att förhindra att åtgärdens utdata visas i flödeskörningshistoriken.

    Aktivera inställningen för säkra utdata för åtgärden

  10. Välj Nytt steg, sök och välj sedan anslutningsprogrammet HTTP.

  11. Ange Metod som GET och ange URI för webbtjänsten. I detta exempel används den fiktiva webbtjänsten httpbin.org.

  12. Välj Visa avancerade alternativ, ange Autentisering som Vanlig och ange sedan Användarnamn.

  13. Välj fältet Lösenord. I fliken Dynamiskt innehåll, under namnet på flödessteget ovan (GetSecret i detta exempel) väljer du RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, vilket sedan läggs till som ett uttryck outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] eller body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Skapa ett nytt steg med HTTP-anslutningsprogrammet

  14. Välj   > Inställningar för att visa åtgärdsinställningar för HTTP.

  15. Aktivera alternativen Säkra indata och Säkra utdata bland inställningarna, och välj sedan Klar. Aktivering av dessa alternativ förhindrar in- och utgångar i åtgärden visas i flödeskörningshistoriken.

  16. Välj Spara för att skapa flödet.

  17. Testa flödet genom att köra det manuellt.

    Utdata kan verifieras med hjälp av körningshistoriken för flödet.

    Flödesutdata

Begränsningar

  • Miljövariabler som refererar till Azure Key Vault-hemligheter är för närvarande begränsade för användning med Power Automate-flöden och anpassade anslutningar.

Se även

Använda datakälla miljövariabler i appar
Använda miljövariabler i Power Automate-lösningens molnflöden
Översikt över miljövariabler.

Anteckning

Kan du berätta om dina inställningar för dokumentationsspråk? Svara i en kort undersökning. (observera att undersökningen är på engelska)

Undersökningen tar ungefär sju minuter. Inga personuppgifter samlas in (sekretesspolicy).