Поділитися через

Створення облікових даних Azure Key Vault

  • Стаття

Сторінка «Облікові дані » дає Power Automate змогу створювати, редагувати та надавати доступ до облікових даних за допомогою Azure Key Vault і використовувати їх у з’єднаннях настільного циклу.

Ви також можете створювати облікові дані за допомогою CyberArk® (підготовча версія).

Важливо

  • Наразі ця функція недоступна для хмар уряду США.

вимоги

Облікові дані використовують секретні дані, що зберігаються в Azure Key Vault. Щоб дозволити вам створювати облікові дані, адміністратор має спочатку настроїти Azure Key Vault.

У двох словах, адміністратор повинен забезпечити:

  1. Microsoft Power Platform постачальник ресурсів зареєстрований у передплаті Azure.
  2. Існує сховище ключів Azure, яке містить секретні дані, які потрібно використовувати в облікових даних.
  3. Dataverse Керівник служби має дозволи на використання секретів.
  4. Користувачі, які створюють змінну середовища, мають відповідні дозволи на ресурс Azure Key Vault.
  5. Середовище Power Automate та передплата Azure мають бути в одному клієнті.

Щоб настроїти Сховище ключів Azure, виконайте дії, описані в розділі Налаштування сховища ключів Azure.

Створити облікові дані

Щоб створити облікові дані:

  1. Перейдіть на сторінку Облікові дані.
  2. Виберіть більше на навігаційній панелі ліворуч, а потім виберіть Виявити все.
  3. У розділі Дані виберіть Облікові дані. Ви можете закріпити сторінку на навігаційній панелі ліворуч, щоб зробити її більш доступною.

Тепер на сторінці облікових даних можна створити свій перший обліковий запис.

Скріншот визначення імені облікових даних.

Щоб створити облікові дані, вам потрібно надати таку інформацію:

  • Ім’я облікових даних: введіть ім’я для облікових даних
  • Опис (необов’язково)

Після вибору «Далі» вам потрібно вибрати Azure Key Vault як сховище облікових даних.

На останньому кроці майстра ви вибираєте ім’я користувача та пароль або створюєте нові:

  • Ім’я користувача: щоб вибрати ім’я користувача, ви можете скористатися випадаючим списком. Якщо у вас немає змінних середовища, виберіть новий:

    • Відображуване ім’я. Введіть ім’я змінної середовища.

    • Ім'я. Унікальне ім’я автоматично генерується з відображуваного імені, але ви можете його змінити.

    • Цінність. Введіть ім’я користувача. Для локальних користувачів укажіть ім’я користувача. Для користувачів домену надайте <DOMAIN\username> або <username@domain.com>.

      Скріншот визначення імені користувача облікового запису.

Нотатка

Ім’я користувача облікових даних є змінною текстового середовища. Ви також можете створити текстову змінну на сторінці рішень і вибрати її як ім’я користувача.

  • Пароль: щоб вибрати пароль, ви можете скористатися випадаючим списком. Якщо у вас немає секретних змінних середовища, виберіть нові:
    • Відображуване ім’я. Введіть ім’я змінної середовища.
    • Ім'я. Унікальне ім’я автоматично генерується з відображуваного імені, але ви можете його змінити.
    • Ідентифікатор підписки. Ідентифікатор підписки Azure, пов’язаний зі сховищем ключів.
    • Назва групи ресурсів. Група ресурсів Azure, у якій розташовано сховище ключів, що містить секрет.
    • Ім’я сховища ключів Azure. Ім’я сховища ключів, яке містить секрет.
    • Таємне ім’я. Ім’я секрету, розташованого в сховищі ключів Azure.

Скріншот визначення пароля облікових даних.

Нотатка

Ідентифікатор підписки, ім’я групи ресурсів та ім’я сховища ключів можна знайти на сторінці «Огляд» порталу Azure у сховищі ключів. Секретне ім’я можна знайти на сторінці сховища ключів на порталі Azure, вибравши «Секрети» в розділі «Налаштування». Перевірка доступу користувача до секрету виконується у фоновому режимі. Якщо користувач не має хоча б дозволу на читання, відображається така помилка перевірки: «Ця змінна не збереглася належним чином. Користувач не має права читати секретні дані зі шляху «Azure Key Vault». У паролях використовуються змінні секретного середовища. Ви також можете створити секретну змінну на сторінці рішень і вибрати її як пароль.

Створення настільних циклів з’єднань на робочому столі за допомогою облікових даних

Примітка: Наразі облікові дані підтримуються лише в настільних циклах з’єднань.

Тепер ви можете використовувати свої облікові дані в настільних циклах з’єднань

Подивіться, де використовуються секрети

На сторінці Рішення ви можете отримати всі залежності змінних секретного середовища. Це допоможе вам зрозуміти, де використовуються ваші секретні дані Azure Key Vault, перш ніж редагувати їх.

  • Виберіть одну змінну середовища.
  • Виберіть опцію «Додатково» та виберіть «Показати залежності ».
  • Ви можете побачити:
    • Облікові дані використовують цю змінну середовища.
    • З’єднання, що використовують цю змінну середовища.

Поділіться обліковими даними

Ви можете поділитися обліковими даними, якими володієте, з іншими користувачами у своїй організації та надати цим користувачам певні дозволи на доступ до них.

  1. Увійдіть у Power Automate обліковий запис, а потім перейдіть до розділу Облікові дані.
  2. Виберіть свої облікові дані зі списку облікових даних.
  3. На панелі команд виберіть Поділитися.
  4. Виберіть пункт Додати користувачів, введіть ім’я особи у вашій організації, якій ви хочете надати доступ до облікових даних, а потім виберіть роль, яку потрібно надати цьому користувачеві.
    • Співвласник (може редагувати). Цей рівень доступу надає повний дозвіл на використання цих облікових даних. Співвласники можуть використовувати облікові дані, ділитися ними з іншими, редагувати їх деталі та видаляти.
    • Користувач (може лише переглядати). Цей рівень доступу лише дає дозвіл на використання облікових даних. Жодні дозволи на редагування, оприлюднення чи видалення неможливі.
    • Користувач (може переглядати та ділитися). Цей рівень доступу такий самий, як і параметр «Лише для перегляду», але він дає дозвіл на спільний доступ.
  5. Виберіть Зберегти.

Нотатка

Надаючи доступ до ваших облікових даних, усі змінні середовища, які використовуються в облікових даних, також є спільними. Вилучення дозволів на облікові дані не призводить до вилучення дозволів для змінних середовища.

Видалення облікових даних

  1. увійдіть у систему Power Automate, а потім перейдіть до розділу Облікові дані.
  2. Зі списку виберіть облікові дані, які потрібно видалити, а потім натисніть кнопку Видалити комп’ютер на панелі команд.

Нотатка

Видалення реєстраційних даних не призводить до видалення пов’язаних змінних середовища.

Експорт настільний цикл з’єднання за допомогою облікових даних

Нотатка

Спочатку вам слід прочитати статтю про ALM для потоків робочого столу.

Ви можете експортувати хмарний цикл з підключенням настільний цикл за допомогою облікових даних. Спочатку слід імпортувати рішення, що містить облікові дані та пов’язані змінні середовища, а потім імпортувати рішення, що містить хмарний цикл та настільний цикл.

Обмеження

  • Наразі ця функція доступна лише для настільний цикл підключень.
  • Створення облікових даних у новому конструкторі поки що недоступне.
  • Не можна редагувати вибрані змінні середовища в наявних облікових даних. Якщо ви хочете змінити значення імені користувача та пароля, вам потрібно оновити змінні середовища або секрет Azure Key Vault.
  • Оновлення з’єднань за допомогою облікових даних є асинхронним. Використання нових облікових даних після оновлення секретних даних може зайняти до однієї хвилини, перш ніж настільний цикл з’єднання.

Оновлення секрету (ротація пароля) - Застаріло

Нотатка

Цей розділ тепер вважається застарілим. Усі з’єднання, що використовують облікові дані, тепер отримують секретні дані під час виконання потоку. Більше не потрібно створювати цей кастомний ланцюжок, щоб оновити з’єднання. З’єднання за допомогою облікових даних, створених до квітня 2024 року, слід оновити для автоматичного оновлення.

Обов’язкові умови для оновлення секрету (ротація пароля)

  • Переконайтеся, що Event Grid зареєстровано як постачальника ресурсів в Azure. Докладніше про постачальників ресурсів.
  • Переконайтеся, що користувачі, які використовують активатор Power Automate сітки подій, мають дозволи для учасників сітки подій. Дізнатися більше

Нотатка

Цей розділ вимагає певних дозволів, таких як системний адміністратор організації, інакше будуть оновлюватися лише ваші власні настільний цикл підключення.

Як створити хмарний цикл за допомогою активатора «Сітка подій»

Коли ви редагуєте секретні дані в сховищі ключів Azure, ви хочете переконатися, що облікові дані та підключення, які використовують ці секрети, завжди актуальні, щоб уникнути порушення автоматизації. У Power Automate ньому потрібно створити хмарний цикл, який оновлює облікові дані при зміні секретних даних в Azure Key Vault.

Цей хмарний цикл містить один тригер і одну дію:

  1. Тригер: коли відбувається подія ресурсу (сітка подій)
    • Тип ресурсу: Microsoft.KeyVault.vaults
    • Ім’я ресурсу: укажіть ім’я сховища ключів.
    • Підписка: укажіть назву підписки.
    • Тип події: Microsoft.KeyVault.SecretNewVersionCreated
  2. Дія: виконання незв’язаної дії (Dataverse)
    • Назва дії: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Тема
    • Таємне ім’я: Тема

Скріншот Dataverse дії.

Якщо ви використовуєте одне сховище ключів для всіх своїх секретів, вам знадобиться лише один хмарний цикл. Якщо у вас кілька сховищ ключів, потрібно продублювати хмарний цикл та оновити ім’я ресурсу.

Щоб переконатися, що ваш хмарний цикл правильно працює зі сховищем ключів Azure, виконайте такі дії:

  1. Перейдіть до сховища ключів.
  2. Виберіть Події.
  3. У розділі «Підписки на події» перевірте, чи бачите ви вебхук LogicApps.

Знімок екрана підписки на події в Azure Key Vault.