通过

创建 Azure Key Vault 凭据

  • 项目

Power Automate 中的凭据页面允许您使用 Azure Key Vault 创建、编辑和共享登录凭据,并在桌面流连接中使用。

您也可以使用 CyberArk® 创建凭据(预览)

重要提示

  • 目前,这项功能不可用于美国政府云。

先决条件

凭据使用存储在 Azure Key Vault 中的密码。 若要允许您创建凭据,您的管理员需要首先配置 Azure Key Vault。

简而言之,管理员需要确保:

  1. Microsoft Power Platform 资源提供程序已在 Azure 订阅中注册。
  2. 有一个 Azure Key Vault,其中包含要在凭据中使用的密码。
  3. Dataverse 服务主体具有使用密码的权限。
  4. 创建环境变量的用户对 Azure Key Vault 资源拥有适当的权限。
  5. Power Automate 环境和 Azure 订阅必须在同一个租户上。

要配置 Azure Key Vault,请按照配置 Azure Key Vault 中描述的步骤操作。

创建凭据

要创建您的凭据:

  1. 转到凭据页面。
  2. 选择左侧导航中的更多,然后选择查找全部
  3. 数据下,选择凭据。 您可以将页面固定在左侧导航中,使其更易于访问。

在凭据页面中,您现在可以创建您的第一个凭据。

定义凭据名称的屏幕截图。

要创建您的凭据,您需要提供以下信息:

  • 凭据名称:输入凭据的名称
  • 描述(可选)

选择下一步后,您需要选择 Azure Key Vault 作为凭据存储。

在向导的最后一步,选择用户名和密码或创建新的用户名和密码:

  • 用户名:选择用户名,您可以使用下拉功能。 如果您没有任何环境变量,请选择新建

    • 显示名称。 输入环境变量的名称。

    • Name。 唯一名称会自动从显示名称生成,但您可以更改它。

    • 。 填充用户的名称。 对于本地用户,请提供用户名。 对于域用户,请提供 <DOMAIN\username><username@domain.com>

      定义凭据的用户名的屏幕截图。

备注

Credential username 是一个文本环境变量。 您也可以从解决方案页面创建一个文本变量,并选择它作为用户名。

  • 密码:要选择密码,您可以使用下拉菜单。 如果您没有任何密码环境变量,请选择新建
    • 显示名称。 输入环境变量的名称。
    • Name。 唯一名称会自动从显示名称生成,但您可以更改它。
    • 订阅 id。与密钥保管库关联的 Azure 订阅 ID。
    • 资源组名称。 包含机密的密钥保管库所在的 Azure 资源组。
    • Azure 密钥保管库名称。 包含机密的密钥保管库的名称。
    • 密码名称。 Azure Key Vault 中机密的名称。

定义凭据密码的屏幕截图。

备注

订阅 ID、资源组名称和密钥保管库名称可在密钥保管库的 Azure 门户概览页上找到。 通过选择设置下的机密可以在 Azure 门户的密钥保管库页面上找到机密名称。 将在后台执行机密的用户访问验证。 如果用户没有最基本的读取权限,将显示此验证错误:“此变量未正确保存。 用户无权从“Azure Key Vault 路径”读取密码。密码使用密码环境变量。 您也可以从解决方案页面创建一个密码变量,并选择它作为密码。

使用凭据创建桌面流连接

注意:凭据目前仅在桌面流连接中受支持。

您现在可以在桌面流连接中使用您的凭据

查看密码的使用位置

从解决方案页面,您可以检索所有密码环境变量的依赖关系。 这有助于您在编辑 Azure Key Vault 密码之前了解它们的使用位置。

  • 选择一个环境变量。
  • 选择高级选项,然后选择显示依赖关系
  • 您可以看到:
    • 使用此环境变量的凭据。
    • 使用此环境变量的连接。

共享凭据

您可以与组织中的其他用户共享您拥有的凭据,并授予这些用户特定的访问权限。

  1. 登录到 Power Automate,然后转到凭据
  2. 从凭据列表中选择您的凭据。
  3. 在命令栏上,选择共享
  4. 选择添加人员,输入您组织中要与其共享凭据的人员的姓名,然后选择您要授予此用户的角色:
    • 共同所有者(可以编辑)。 此访问级别授予该凭据完全权限。 共同所有者可以使用凭据、与其他人共享凭据、编辑凭据的详细信息以及删除凭据。
    • 用户(只能查看)。 此访问级别仅授予使用凭据的权限。 此访问权限不支持编辑、共享或删除权限。
    • 用户(可以查看和共享)。 此访问级别与只能查看选项相同,但授予共享权限。
  5. 选择保存

备注

通过共享您的凭据,凭据中使用的所有环境变量也被共享。 删除凭据的权限不会删除环境变量的权限。

删除凭据

  1. 登录到 Power Automate,然后转到凭据
  2. 从列表中选择要删除的凭据,然后选择命令栏上的删除机器

备注

删除凭据不要删除关联的环境变量

使用凭据导出桌面流连接

备注

您应该首先阅读关于桌面流 ALM 的文章。

您可以使用凭据通过桌面流连接导出云端流。 您应该首先导入包含凭据和相关环境变量的解决方案,然后导入包含云端流和桌面流的解决方案。

限制

  • 目前,此功能仅适用于桌面流连接。
  • 在新设计器中创建凭据尚不可用。
  • 您不能编辑现有凭据中的选定环境变量。 如果您想要更改用户名和密码的值,您需要更新环境变量或 Azure Key Vault 密码。
  • 使用凭据更新连接是异步的。 更新密码后,桌面流连接可能需要一分钟的时间来使用新凭据。

更新密钥(密码轮换)- 已弃用

备注

本节现在已弃用。 所有使用凭据的连接现在都在流执行期间检索密码。 再不需要再创建该自定义流来更新连接。 应该更新使用 2024 年 4 月之前创建的凭据的连接,以受益于自动更新。

更新密钥(密码轮换)的必备条件

备注

此部分需要特定权限,例如组织的系统管理员,否则只会更新您自己的桌面流连接。

使用 Event Grid 触发器创建云端流

当您在 Azure Key Vault 中编辑密码时,您希望确保使用这些密码的凭据和连接始终是最新的,以避免破坏您的自动化。 在 Power Automate 中,您需要创建一个云端流,当 Azure Key Vault 中的密码发生更改时,该云端流将更新凭据。

此云端流包含一个触发器和一项操作:

  1. 触发器:当资源事件发生时(事件网格)
    • 资源类型:Microsoft.KeyVault.vaults
    • 资源名称:提供密钥库的名称。
    • 订阅:提供订阅的名称。
    • 事件类型:Microsoft.KeyVault.SecretNewVersionCreated
  2. 操作:执行未绑定操作 (Dataverse)
    • 操作名称:NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl:主题
    • 密码名称:Subject

Dataverse 操作的屏幕截图。

如果您使用一个密钥保管库来保存所有的密码,那么您只需要一个云端流。 如果您有几个密钥保管库,您需要复制云端流并更新资源名称。

要确保您的云端流与 Azure Key Vault 一起正常使用:

  1. 转至密钥保管库。
  2. 选择事件
  3. 活动订阅中,检查您是否能看到 LogicApps webhook。

Azure 密钥保管库中的事件订阅的屏幕截图。