Vytvoření přihlašovacích údajů v Azure Key Vault

Stránka Přihlašovací údaje v Power Automate umožňuje vytvářet, upravovat a sdílet přihlašovací údaje pomocí Azure Key Vault a používat je v připojení desktopového toku.

Přihlašovací údaje můžete vytvořit také pomocí CyberArk® (Preview).

Důležité

• V současné době není tato funkce dostupná pro cloudy US Government.

Předpoklady

Přihlašovací údaje používají tajné klíče uložené v Azure Key Vault. Pokud chcete vytvořit přihlašovací údaje, musí správce nejprve nastavit Azure Key Vault.

Stručně řečeno, správce musí zajistit:

1. Poskytovatel prostředků Microsoft Power Platform je zaregistrován v předplatném Azure.
2. Obsahuje Azure Key Vault, který obsahuje tajné klíče, které se mají použít v přihlašovacích údajích.
3. Instanční objekt Dataverse má oprávnění k použití tajných klíčů.
4. Uživatelé, kteří vytvářejí proměnnou prostředí, mají příslušná oprávnění k prostředku Azure Key Vault.
5. Prostředí Power Automate a předplatné Azure musí být ve stejném klientovi.

Chcete-li nakonfigurovat Azure Key Vault, postupujte podle kroků popsaných v části Konfigurace Azure Key Vault.

Ověřování na základě certifikátů (Preview)

Ověřování na základě certifikátů Microsoft Entra ID je jednofaktorové ověřování, které umožňuje splnit požadavky na vícefaktorové ověřování (MFA). Místo ověřování založeného na heslech použijte ověřování na základě certifikátů (CBA), které ověřuje vaši identitu na základě digitálních certifikátů.

Chcete-li používat CBA, postupujte podle kroků v části Konfigurace ověřování na základě certifikátu. V opačném případě začněte vytvářet přihlašovací údaje.

Vytvoření přihlašovacích údajů

K vytvoření přihlašovacích údajů:

1. Přejděte na stránku Přihlašovací údaje. Pokud stránku Přihlašovací údaje nevidíte, postupujte takto:

   1. Vyberte Více v levém navigačním panelu a poté vyberte Objevit všechny.
   2. V části Data vyberte Přihlašovací údaje. Stránku můžete připnout v levém navigačním panelu, aby byla přístupnější.

2. Na stránce Přihlašovací údaje vytvořte své první přihlašovací údaje tak, že vyberete Nové přihlašovací údaje.

Definování názvu přihlašovacích údajů

Zadejte následující informace pro vytvoření přihlašovacího údaje:

• Název přihlašovacího údaje: Zadejte název přihlašovacího údaje
• Popis: (volitelně)

Výběr úložiště přihlašovacích údajů

1. Po výběru Další musíte jako úložiště přihlašovacích údajů vybrat Azure Key Vault.
2. Jako umístění pro použití přihlašovacích údajů vyberte Připojení. Použití přihlašovacích údajů v desktopovém toku se zatím Azure Key Vault nepodporuje.
3. Vyberte Azure Key Vault jako typ úložiště přihlašovacích údajů a potom vyberte Další.

Výběr hodnot přihlašovacích údajů

V posledním kroku v průvodci vyberte hodnoty přihlašovacích údajů. S Azure Key Vault existují dva typy podporovaných ověřování:

1. Uživatelské jméno a heslo: Tajný klíč uložený v trezoru je heslo.
2. Ověřování na základě certifikátů: Tajný klíč uložený v trezoru je certifikát.

• Uživatelské jméno: K výběru uživatelského jména můžete použít rozbalovací nabídku. Pokud nemáte žádné proměnné prostředí, vyberte Nová:

  • Zobrazovaný název. Zadejte název proměnné prostředí.

  • Name (Název): Jedinečný název je automaticky generován z pole Zobrazovaný název, ale můžete jej změnit.

  • Hodnota. Zadejte jméno uživatele. Pro místní uživatele zadejte uživatelské jméno. Pro uživatele domény uveďte <DOMAIN\username> nebo <username@domain.com>.

    

Poznámka:

Přihlašovací údaje pro přihlašovací údaje je textová proměnná prostředí. Můžete také vytvořit textovou proměnnou na stránce řešení a vybrat ji jako uživatelské jméno.

• Heslo: K výběru hesla můžete použít rozbalovací nabídku. Pokud nemáte žádné proměnné prostředí tajného kódu, vyberte Nová:
  • Zobrazovaný název. Zadejte název proměnné prostředí.
  • Name (Název): Jedinečný název je automaticky generován z pole Zobrazovaný název, ale můžete jej změnit.
  • ID předplatného. ID předplatného Azure přidružené k trezoru klíčů.
  • Název skupiny zdrojů. Skupina zdrojů Azure, ve které se nachází trezor klíčů obsahující tajný kód.
  • Název trezoru klíčů Azure. Název trezoru klíčů, který obsahuje tajný kód.
  • Název tajného kódu. Název tajného kódu umístěného v Azure Key Vault.

Poznámka:

ID předplatného, název skupiny prostředků a název trezoru klíčů najdete na stránce Přehled portálu Azure trezoru klíčů. Název tajného kódu lze najít na stránce trezoru klíčů v portálu Azure výběrem Tajné kódy v části Nastavení. Ověření uživatelského přístupu pro tajný kód se provádí na pozadí. Pokud uživatel nemá oprávnění alespoň ke čtení, zobrazí se tato chyba ověření: „Tato proměnná se neuložila správně. Uživatel nemá oprávnění číst tajné kódy z „Cesta k Azure Key Vault“. Hesla používají proměnné prostředí tajného kódu. Můžete také vytvořit proměnnou tajného kódu na stránce řešení a vybrat ji jako heslo.

Vytvoření připojeních k desktopovému toku využívajícího přihlašovací údaj

Poznámka: Přihlašovací údaje jsou prozatím podporovány pouze u připojení desktopového toku.

Nyní můžete používat své přihlašovací údaje v připojeních desktopových toků

Zobrazení, kde se tajné klíče používají

Na stránce Řešení můžete načíst všechny závislosti tajných proměnných prostředí. To vám pomůže pochopit, kde se používají vaše tajné klíče Azure Key Vault, než je upravíte.

• Vyberte jednu proměnnou prostředí.
• Vyberte možnost pokročilé a vyberte možnost Zobrazit závislosti.
• Můžete vidět:
  • Přihlašovací údaje používající tuto proměnnou prostředí.
  • Připojení používající tuto proměnnou prostředí.

Sdílení tajného klíče

Přihlašovací údaje, které vlastníte, můžete sdílet s ostatními uživateli ve vaší organizaci a udělit těmto uživatelům konkrétní oprávnění pro přístup k nim.

1. Přihlaste se k Power Automate a poté přejděte do části Přihlašovací údaje.
2. Ze seznamu přihlašovacích údajů vyberte přihlašovací údaj.
3. Na panelu příkazů vyberte Sdílet.
4. Vyberte pole Přidat osoby a poté zadejte jméno osoby ve vaší organizaci, se kterými chcete přihlašovací údaje sdílet, a potom vyberte roli, kterou chcete tomuto uživateli přidělit:
   • Spoluvlastník (může upravovat). Tato úroveň přístupu dává tomuto přihlašovacímu údaji úplná oprávnění. Spoluvlastníci mohou používat přihlašovací údaj, sdílet ho s ostatními, upravovat jeho údaje a odstraňovat ho.
   • Uživatel (může pouze zobrazovat). Tato úroveň přístupu oprávnění tento přihlašovací údaj pouze používat. S tímto přístupem nejsou možná žádná oprávnění k úpravám, sdílení ani mazání.
   • Uživatel (může prohlížet a sdílet). Tato úroveň přístupu je stejná jako prohlížení, ale uděluje oprávnění ke sdílení.
5. Zvolte Uložit.

Poznámka:

Sdílením přihlašovacího údaje jsou sdíleny také všechny proměnné prostředí použité v přihlašovacím údaji. Odebráním oprávnění k přihlašovacímu údaji neodeberete oprávnění k proměnným prostředí.

Odstranění přihlašovacího údaje

1. Přihlaste se k Power Automate a poté přejděte do části Přihlašovací údaje.
2. Ze seznamu vyberte přihlašovací údaj, který chcete odstranit, a potom zvolte Odstranit počítač na panelu příkazů.

Poznámka:

Odstraněním přihlašovacího údaje se neodstraní přidružené proměnné prostředí.

Exprt připojeních k desktopovému toku využívající přihlašovací údaj

Poznámka:

Nejprve byste si měli přečíst článek o ALM pro desktopové toky.

Cloudový tok můžete exportovat s připojením desktopového toku pomocí přihlašovacího údaje. Nejprve byste měli importovat řešení obsahující přihlašovací údaj a související proměnné prostředí a poté importovat řešení obsahující cloudový tok a desktopový tok.

Omezení

• V současné době je tato funkce k dispozici pouze připojení desktopových toků.
• Vybrané uživatelské jméno a tajný klíč v existujících přihlašovacích údajích nemůžete upravit. Pokud chcete změnit hodnotu uživatelského jména a hesla, musíte buď aktualizovat proměnné prostředí nebo tajný klíč Azure Key Vault.

Aktualizace tajného klíče (rotace hesel) – zastaralé

Poznámka:

Tato část je nyní zastaralá pro připojení desktopových toků. Připojení desktopových toků používající přihlašovací údaje nyní načítají tajné kódy během provádění toku. Pro aktualizaci připojení již není nutné vytvářet tento vlastní tok. Připojení pomocí přihlašovacích údajů vytvořených před dubnem 2024 by měla být aktualizována, aby bylo možné využít výhody automatické aktualizace.

Předpoklady pro aktualizaci tajného kódu (rotace hesel)

• Ujistěte se, že Event Grid je registrován jako poskytovatel prostředků v Azure. Další informace o poskytovatelích prostředků.
• Zajistěte, aby uživatelé, kteří používají spouštěč Event Grid v Power Automate, měli oprávnění přispěvatele Event Grid. Další informace

Poznámka:

Tato část vyžaduje specifická oprávnění, jako je systémový administrátor organizace, jinak budou aktualizována pouze vaše vlastní připojení desktopového toku.

Vytvoření cloudového toku pomocí triggeru Event Grid

Když upravujete tajné klíče ve vašem Azure Key Vault, chcete zajistit, aby přihlašovací údaje a připojení používající tyto tajné klíče byly vždy aktuální, aby nedošlo k narušení vašich automatizací. V Power Automate musíte vytvořit cloudový tok, který aktualizuje přihlašovací údaje při změně tajných kódů v Azure Key Vault.

Tento cloudový tok obsahuje jeden spouštěč a jednu akci:

1. Spouštěč: Když dojde k události zdroje (Event Grid)
   • Typ prostředku: Microsoft.KeyVault.vaults
   • Název prostředku: Zadejte název trezoru klíčů.
   • Předplatné: Zadejte název předplatného.
   • Typ události: Microsoft.KeyVault.SecretNewVersionCreated
2. Akce: Provést nevázanou akci (Dataverse)
   • Název akce: NotifyEnvironmentVariableSecretChange
   • KeyVaultUrl: Téma
   • Název tajného klíče: Předmět

Pokud používáte jeden Key Vault pro všechny své tajné klíče, potřebujete pouze jeden cloudový tok. Pokud máte několik trezorů klíčů, musíte duplikovat cloudový tok a aktualizovat název prostředku.

Abyste zajistili, že váš cloudový tok funguje správně s Azure Key Vault:

1. Přejděte do Key Vault.
2. Vyberte Události.
3. V Odběry událostí zkontrolujte, zda vidíte webhook LogicApps.