Поділитися через

Створення облікових даних Azure Key Vault

На сторінці «Облікові дані » можна Power Automate створювати, редагувати та надавати доступ до облікових даних за допомогою Azure Key Vault і використовувати їх у потоках робочого стола або підключеннях до потоку робочого стола.

Ви також можете створювати облікові дані за допомогою CyberArk® (попередній перегляд).

Важливо

  • Наразі ця функція недоступна для хмар уряду США.

вимоги

Для отримання облікових даних використовуються секретні дані, що зберігаються в Azure Key Vault. Щоб створити облікові дані, ваш адміністратор має спочатку налаштувати Azure Key Vault.

Коротше кажучи, адміністратор повинен забезпечити:

  1. Microsoft Power Platform постачальник ресурсів зареєстрований у передплаті Azure.
  2. Існує сховище ключів Azure, яке містить секретні дані, які будуть використовуватися в облікових даних.
  3. Dataverse Керівник сервісу має дозволи на використання секретів.
  4. Користувачі, які створюють змінну середовища, мають відповідні дозволи на ресурс Azure Key Vault.
  5. Середовище Power Automate та передплата Azure мають бути в одному клієнті.

Щоб настроїти Azure Key Vault, виконайте дії, описані в розділі Налаштування сховища ключів Azure.

Автентифікація на основі сертифіката (підготовча версія)

Microsoft Entra Автентифікація на основі сертифіката ідентифікатора – це однофакторна автентифікація, яка дає змогу виконувати вимоги багатофакторної автентифікації (MFA). Замість автентифікації на основі пароля використовуйте автентифікацію на основі сертифіката (CBA), яка перевіряє вашу особу на основі цифрових сертифікатів.

Щоб використовувати CBA, дотримуйтесь інструкцій, наведених у розділі Налаштування автентифікації на основі сертифікатів. В іншому випадку почніть створювати облікові дані.

Створення облікових даних

Щоб створити облікові дані:

  1. Перейдіть на сторінку Облікові дані. Якщо ви не бачите сторінку «Облікові дані », виконайте такі дії:

    1. Виберіть «Більше » на навігаційній панелі ліворуч, а потім виберіть «Знайти все».
    2. У розділі «Дані» виберіть «Облікові дані». Ви можете закріпити сторінку на навігаційній панелі ліворуч, щоб зробити її більш доступною.

  2. На сторінці «Облікові дані » створіть свій перший обліковий запис, вибравши « Нові облікові дані».

Скріншот визначення назви облікових даних.

Укажіть ім’я для облікових даних

Надайте наступну інформацію для створення своїх облікових даних:

  • Ім’я облікових даних: введіть ім’я для облікових даних
  • Опис (необов’язково)

Виберіть сховище для облікових даних

  1. Вибравши Далі , виберіть місцезнаходження для використання облікових даних.
  2. Виберіть «Підключення», «Потік робочого столу» або «Мережа » як місце для використання облікових даних.
  3. Якщо з’явиться відповідний запит, виберіть Azure Key Vault як тип сховища облікових даних, а потім натисніть кнопку Далі.
Розташування для використання облікових даних Опис Підтримується автентифікація Azure Key Vault
Підключення Облікові дані, що використовуються в потоковому з’єднанні на робочому столі, використовуються для входу в комп’ютер під час виконання (контрольовані та неконтрольовані запуски). • Логін і пароль
• Аутентифікація на основі сертифіката
Потік на робочому столі В автоматизації потоку робочого столу облікові дані дають змогу входити в систему, вводити паролі та виконувати подібні дії без зберігання конфіденційної інформації в сценарії. • Логін і пароль
Мережа Використовується при створенні Microsoft Entra гібридного мережевого з’єднання для розміщених груп машин. • Логін і пароль

Виберіть значення для облікових даних

На останньому кроці майстра виберіть значення облікових даних. Залежно від розташування для використання облікових даних може бути два типи підтримуваних автентифікацій:

  1. Ім’я користувача та пароль: секрет, що зберігається в сховищі, є паролем.
  2. Автентифікація на основі сертифіката: секрет, що зберігається в сховищі, є сертифікатом.
  • Ім’я користувача: щоб вибрати ім’я користувача, ви можете скористатися випадаючим списком. Якщо у вас немає змінних середовища, виберіть новий:

    • Відображуване ім’я. Введіть ім’я змінної середовища.

    • Назва. Унікальне ім’я автоматично генерується з відображуваного імені, але ви можете його змінити.

    • Цінність. Введіть ім’я користувача. Для локальних користувачів вкажіть ім’я користувача. Для користувачів домену надайте <DOMAIN\username> або <username@domain.com>.

      Скріншот визначення імені користувача облікових даних.

Нотатка

Ім’я користувача облікових даних є змінною текстового середовища. Ви також можете створити текстову змінну на сторінці рішень і вибрати її як ім’я користувача.

  • Пароль: щоб вибрати пароль, ви можете скористатися випадаючим списком. Якщо у вас немає секретних змінних середовища, виберіть новий:
    • Відображуване ім’я. Введіть ім’я змінної середовища.
    • Назва. Унікальне ім’я автоматично генерується з відображуваного імені, але ви можете його змінити.
    • Ідентифікатор підписки. Ідентифікатор підписки Azure, пов’язаний зі сховищем ключів.
    • Назва групи ресурсів. Група ресурсів Azure, у якій розташовано сховище ключів, що містить секрет.
    • Ім’я сховища ключів Azure. Ім’я сховища ключів, яке містить секрет.
    • Таємне ім’я. Ім’я секрету, розташованого в сховищі ключів Azure.

Скріншот визначення пароля облікових даних.

Нотатка

Ідентифікатор підписки, ім’я групи ресурсів та ім’я сховища ключів можна знайти на сторінці «Огляд» порталу Azure у сховищі ключів. Секретне ім’я можна знайти на сторінці сховища ключів на порталі Azure, вибравши «Секрети» в розділі «Налаштування». Перевірка доступу користувача до секрету виконується у фоновому режимі. Якщо у користувача немає хоча б дозволу на читання, відображається така помилка перевірки: «Ця змінна не збереглася належним чином. Користувач не має права зчитувати секрети зі шляху «Azure Key Vault». У паролях використовуються змінні секретного середовища. Ви також можете створити секретну змінну на сторінці рішень і вибрати її як пароль.

Створення з’єднань Desktop Flow за допомогою облікових даних

Тепер ви можете використовувати свої облікові дані в з’єднаннях потоку робочого столу

Використання облікових даних у дії потоку на робочому столі (попередній перегляд)

Важливо

  • Підготовчі функції призначені для невиробничого використання. Їх можливості можуть бути обмеженими. Ці функції доступні до офіційного випуску, щоб клієнти могли ознайомитися з ними заздалегідь і залишити відгуки.
  • Щоб дізнатися більше, перейдіть до наших попередніх умов.
  • Ця дія поки що недоступна в суверенних хмарах.

  1. Переконайтеся, що у вас зареєстрований апарат , на якому проходить потік робочого столу. Облікові дані витягуються з цього комп’ютера.

    Нотатка

    Зареєстрована машина потрібна для належної роботи облікових даних під час виконання, навіть для локальних відвідувань або налагодження.

  2. У конструкторі ланцюжків для настільних комп’ютерів виберіть Power Automate модуль секретних змінних (попередній перегляд ), а потім виберіть дію Отримати облікові дані (попередній перегляд).

  3. Вкажіть облікові дані, які потрібно отримати. Ви бачите лише облікові дані, визначені як придатні для використання в потоці настільних комп’ютерів. У загальнодоступному ознайомлюванні підтримуються лише облікові дані, які використовують сховище ключів Azure або CyberArk як сховище.

  4. Визначте ім’я змінної, яку ви створюєте. Ця змінна позначена як «чутлива» і не може бути змінена. Це означає, що значення цієї змінної не зберігається в журналах.

    Нотатка

    Змінні типу облікових даних завжди мають бути чутливими, незалежно від того, як вони створюються (дія «Отримати облікові дані (попередній перегляд») або перепризначити змінну облікових даних новій, яка успадковує той самий тип змінної). Те саме стосується властивості ’Password’ змінних облікових даних.

  5. Після того, як ви натиснете Зберегти, використайте свої облікові дані в іншій дії. Для всіх Power Automate дій можна використовувати облікові дані.

  6. У полі дії виберіть засіб вибору змінних. У списку змінних ланцюжка знайдіть свої облікові дані та розгорніть їх. Ви можете побачити атрибути Ім’я користувача та Пароль. Виберіть той, який ви хочете використовувати в цій дії (подвійне клацання).

  7. Запустіть свій потік.

Подивіться, де використовуються секрети

На сторінці Рішення ви можете отримати всі залежності змінних секретного середовища. Це допоможе вам зрозуміти, де використовуються ваші секретні дані Azure Key Vault, перш ніж редагувати їх.

  • Виберіть одну змінну середовища.
  • Виберіть опцію «Додатково» та виберіть «Показати залежності ».
  • Ви можете побачити:
    • Облікові дані використовують цю змінну середовища.
    • З’єднання з використанням цієї змінної середовища.

Поділіться обліковими даними

Ви можете поділитися своїми обліковими даними з іншими користувачами у своїй організації та надати цим користувачам конкретні дозволи на доступ до них.

  1. Увійдіть у Power Automate систему, а потім перейдіть до розділу Облікові дані.
  2. Виберіть свої облікові дані зі списку облікових даних.
  3. На панелі команд виберіть Поділитися.
  4. Виберіть пункт Додати людей, введіть ім’я особи у вашій організації, з якою ви хочете надати облікові дані, а потім виберіть роль, яку потрібно надати цьому користувачу.
    • Співвласник (може редагувати). Цей рівень доступу надає повний дозвіл на використання цих облікових даних. Співвласники можуть використовувати облікові дані, ділитися ними з іншими, редагувати їх деталі та видаляти.
    • Користувач (може лише переглядати). Цей рівень доступу лише дає дозвіл на використання облікових даних. З цим доступом неможливі дозволи на редагування, оприлюднення чи видалення.
    • Користувач (може переглядати та ділитися). Цей рівень доступу такий самий, як і параметр «Лише для перегляду», але він дає дозвіл на спільний доступ.
  5. Виберіть Зберегти.

Нотатка

Надаючи доступ до ваших облікових даних, усі змінні середовища, які використовуються в облікових даних, також стають спільними. Видалення дозволів на облікові дані не призводить до видалення дозволів для змінних середовища.

Видалення облікових даних

  1. увійдіть у Power Automate систему, а потім перейдіть до розділу «Облікові дані».
  2. Зі списку виберіть облікові дані, які потрібно видалити, а потім на панелі команд натисніть кнопку Видалити комп’ютер .

Нотатка

Видалення облікових даних не призводить до видалення пов’язаних змінних середовища.

Експорт з’єднання потоку на робочому столі за допомогою облікових даних

Нотатка

Спочатку вам слід прочитати статтю про ALM для настільних потоків.

Ви можете експортувати хмарний потік із підключенням до потоку настільного комп’ютера за допомогою облікових даних. Спочатку слід імпортувати рішення, що містить облікові дані та пов’язані змінні середовища, а потім імпортувати те, що містить хмарний потік і потік робочого столу.

Обмеження

  • Наразі ця функція доступна лише для з’єднань Desktop Flow.
  • Ви не можете редагувати вибране ім’я користувача та секретні дані в наявних облікових даних. Якщо ви хочете змінити значення імені користувача та пароля, вам потрібно оновити змінні середовища або секрет Azure Key Vault.
  • Якщо ваше середовище використовує керований ідентифікатор для доступу до Azure Data Lake, цей ідентифікатор також використовується для доступу до вашого Сховища ключів Azure. Лише одна корпоративна політика може одночасно підключатися Dataverse до середовища. Переконайтеся, що керований ідентифікатор має відповідні дозволи на доступ до ресурсу Azure Key Vault.

Оновлення секрету (ротація пароля) - Застаріло

Нотатка

Цей розділ тепер вважається застарілим для з’єднань з потоком стільниці. З’єднання потоку на робочому столі за допомогою облікових даних тепер отримують секретні дані під час виконання потоку. Більше не потрібно створювати цей кастомний ланцюжок, щоб оновити з’єднання. З’єднання з використанням облікових даних, створених до квітня 2024 року, мають бути оновлені відповідно до автоматичного оновлення.

Передумови для оновлення секрету (ротація пароля)

  • Переконайтеся, що Event Grid зареєстровано як постачальника ресурсів в Azure. Докладніше про постачальників ресурсів.
  • Переконайтеся, що користувачі, які використовують активатор Power Automate сітки подій, мають дозволи для автора сітки подій. Дізнатися більше

Нотатка

Цей розділ вимагає певних дозволів, таких як системний адміністратор організації, інакше оновлюватимуться лише ваші власні з’єднання з потоком робочого столу.

Створення хмарного потоку за допомогою активатора Event Grid

Коли ви редагуєте секретні дані в Azure Key Vault, ви хочете переконатися, що облікові дані та з’єднання, які використовують ці секрети, завжди актуальні, щоб уникнути порушення автоматизації. Вам Power Automate потрібно створити хмарний потік, який оновлює облікові дані при зміні секретів у Azure Key Vault.

Цей хмарний потік містить один тригер і одну дію:

  1. Тригер: коли відбувається ресурсна подія (сітка подій)
    • Тип ресурсу: Microsoft.KeyVault.vaults
    • Ім’я ресурсу: укажіть ім’я сховища ключів.
    • Підписка: укажіть назву передплати.
    • Тип події: Microsoft.KeyVault.SecretNewVersionCreated
  2. Дія: виконання незв’язаної дії (Dataverse)
    • Назва дії: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Тема
    • Таємне ім’я: Піддослідний

Скріншот Dataverse дії.

Якщо ви використовуєте одне сховище ключів для всіх своїх секретів, вам потрібен лише один хмарний потік. Якщо у вас кілька Сховищ ключів, вам потрібно продублювати хмарний потік і оновити ім’я ресурсу.

Щоб переконатися, що ваш хмарний потік працює належним чином із Azure Key Vault, виконайте такі дії:

  1. Перейдіть до свого Сховища ключів.
  2. Виберіть Події.
  3. У підписках на події перевірте, чи бачите ви веб-хук LogicApps.

Знімок екрана підписок на події в Azure Key Vault.