Freigeben über

Umgebungsvariablen für Azure Key Vault-Geheimnisse verwenden

  • Artikel

Umgebungsvariablen lassen den Verweis auf im Azure Key Vault gespeicherte Geheimnisse zu. Diese Geheimnisse werden dann für die Verwendung in Power Automate-Flows und benutzerdefinierten Konnektoren zur Verfügung gestellt. Beachten Sie, dass die Geheimnisse nicht in anderen Anpassungen oder allgemein über die API verwendet werden können.

Die eigentlichen Geheimnisse werden nur in Azure Key Vault gespeichert und die Umgebungsvariable verweist auf den geheimen Speicherort des Schlüsseltresors. Die Verwendung von Azure Key Vault-Geheimnissen mit Umgebungsvariablen erfordert, dass Sie Azure Key Vault so konfigurieren, dass Power Platform die spezifischen Geheimnisse lesen kann, auf die Sie verweisen möchten.

Umgebung-Variablen, die auf Geheimnisse verweisen, sind derzeit im dynamischen Inhaltsselektor nicht zur Verwendung in Power Automate Flows verfügbar.

Azure Key Vault konfigurieren

Um Azure Key Vault-Geheimnisse mit Power Platform zu verwenden, muss das Azure-Abonnement, das den Tresor enthält, den PowerPlatform Ressourcenanbieter registriert haben und der Benutzer, der die Variable Umgebung erstellt, muss über die entsprechenden Berechtigungen für die Azure Key Vault-Ressource verfügen.

Wichtig

  • Es gab kürzlich Änderungen an Sicherheitsrolle, das zum Angeben von Zugriffsberechtigungen im Schlüsseltresor Azure verwendet wird. Zu den vorherigen Anweisungen gehörte das Zuweisen der Key Vault-Rolle „Leser“. Wenn Sie Ihren Schlüsseltresor zuvor mit der Key Vault-Rolle Leser eingerichtet haben, achten Sie darauf, die Rolle „Key Vault Secrets User“ hinzuzufügen, um sicherzustellen, dass Ihre Benutzer Microsoft Dataverse über ausreichende Berechtigungen zum Abrufen der Geheimnisse verfügen.
  • Uns ist bewusst, dass unser Dienst die rollenbasierten Zugriffssteuerungs-APIs von Azure verwendet, um die Sicherheitsrollezuweisung zu bewerten, selbst wenn Sie Ihren Key Vault noch für die Verwendung des Berechtigungsmodells der Vault-Zugriffsrichtlinien konfiguriert haben. Um Ihre Konfiguration zu vereinfachen, empfehlen wir Ihnen, Ihr Vault-Berechtigungsmodell auf die rollenbasierte Zugriffssteuerung von Azure umzustellen. Dies können Sie auf der Registerkarte Access-Konfiguration tun.

  1. Registrieren Sie den Microsoft.PowerPlatform Ressourcenanbieter in Ihrem Azure-Abonnement. Folgen diese Schritte zum Überprüfen und Konfigurieren: Ressourcenanbieter und Ressourcentypen

    Registrieren Sie den Power Platform Anbieter in Azure

  2. Erzeugen Sie einen Azure Key Vault-Datenspeicher. Ziehen Sie in Erwägung, für jede Power Platform-Umgebung einen eigenen Vault zu verwenden, um die Bedrohung im Falle eines Einbruchs zu minimieren. Erwägen Sie die Konfiguration Ihres Schlüsseltresors für die Verwendung der Azure rollenbasierten Zugriffskontrolle für das Berechtigungsmodell. Weitere Informationen: Bewährte Methoden für die Verwendung des Azure-Schlüsseltresors, Schnellstart: Erstellen eines Azure-Schlüsseltresors mit dem Azure-Portal

  3. Benutzende, die Umgebungsvariablen des Typs Geheimnis erstellen oder verwenden, müssen über die Berechtigung verfügen, den geheimen Inhalt abzurufen. Um einem neuen Benutzer die Berechtigung zur Verwendung des Geheimnisses zu erteilen, Auswählen Sie den Bereich Zugriffskontrolle (IAM) , Auswählen Hinzufügen und dann Auswählen Rollenzuweisung hinzufügen aus der Dropdown-Liste. Weitere Informationen: Ermöglichen Sie den Zugriff auf Key Vault-Schlüssel, -Zertifikate und -Geheimnisse mit einer rollenbasierten Zugriffskontrolle Azure

    Meinen Zugriff in Azure anzeigen

  4. Belassen Sie im Assistenten Rollenzuweisung hinzufügen den Standardzuweisungstyp als Jobfunktionsrollen und fahren Sie mit der Registerkarte Rolle fort. Suchen Sie die Rolle Key Vault Secrets-Benutzer und Auswählen sie. Fahren Sie mit der Registerkarte „Mitglieder“ fort und Auswählen die Auswählen-Mitglieder verknüpfen und suchen Sie den Benutzer in der Seitenleiste. Wenn Sie den Benutzenden ausgewählt und im Mitgliederbereich angezeigt haben, fahren Sie mit der Registerkarte „Überprüfen und zuweisen“ fort und schließen Sie den Assistenten ab.

  5. Azure Key Vault muss über die Rolle Key Vault Secrets User verfügen, die dem Dataverse Dienstprinzipal zugewiesen ist. Wenn sie für diesen Tresor nicht vorhanden ist, fügen Sie eine neue Zugriffsrichtlinie mit der gleichen Methode hinzu, die Sie zuvor für die Endbenutzerberechtigung verwendet haben, und verwenden Sie nur die Dataverse Anwendungsidentität anstelle des Benutzenden. Wenn Sie mehrere Dataverse Dienstprinzipale in Ihrem Mandanten haben, empfehlen wir, dass Sie sie alle auswählen und die Rollenzuweisung speichern. Nachdem die Rolle zugewiesen wurde, überprüfen Sie jedes Dataverse Element, das in der Rollenzuweisungsliste aufgeführt ist, und wählen Sie den Dataverse Namen aus, um die Details anzuzeigen. Wenn die Anwendungs-ID nicht 00000007-0000-0000-c000-000000000000** ist, Auswählen Sie die Identität und anschließend Auswählen Entfernen , um sie aus der Liste zu entfernen.

  6. Wenn Sie die Azure Key Vault Firewall aktiviert haben, müssen Sie Power Platform IP-Adressen den Zugriff auf Ihren Schlüsseltresor erlauben. Power Platform ist nicht in der Option „Nur vertrauenswürdige Dienste“ enthalten. Gehen Sie zu Power Platform URLs und IP-Adressbereiche , um die aktuellen im Dienst verwendeten IP-Adressen anzuzeigen.

  7. Wenn Sie es noch nicht getan haben, fügen Sie Ihrem neuen Vault ein Geheimnis hinzu. Weitere Informationen: Azure Schnellstart: Festlegen und Abrufen eines Geheimnisses aus Key Vault mithilfe des Azure-Portals

Erstellen Sie eine neue Umgebungsvariable für das Key Vault Geheimnis

Sobald Azure Key Vault konfiguriert ist und Sie ein Geheimnis in Ihrem Vault registriert haben, können Sie es nun innerhalb von Power Apps über eine Umgebungsvariable referenzieren.

Anmerkung

  • Die Validierung des Zugriffs des Benutzers auf das Geheimnis wird im Hintergrund durchgeführt. Wenn Benutzende nicht mindestens über eine Leseberechtigung verfügen, wird dieser Überprüfungsfehler angezeigt: „Diese Variable wurde nicht richtig gespeichert. Der Benutzer ist nicht berechtigt, Geheimnisse aus dem ‚Azure Key Vault Pfad‘ zu lesen.“
  • Derzeit ist Azure Key Vault der einzige Secret Store, der Umgebungsvariablen unterstützt.
  • Der Azure Key Vault muss sich derselben Umgebung wie Ihr Power Platform-Abonnement befinden.

  1. Melden Sie sich bei Power Apps an und öffnen Sie im Bereich Lösungen die nicht verwaltete Lösung, die Sie für die Entwicklung verwenden.

  2. Auswählen Neu>Mehr>Umgebung Variable.

  3. Geben Sie eine Anzeigename und optional eine Beschreibung für die Variable Umgebung ein.

  4. Auswählen der Datentyp als Secret und Secret Store as Azure Key Vault.

  5. Wählen Sie aus den folgenden Optionen:

    • Auswählen New Azure Key Vault-Wertreferenz. Nachdem die Informationen im nächsten Schritt hinzugefügt und gespeichert wurden, wird ein Umgebung-Variablen Wert Datensatz erstellt.
    • Erweitern Sie Standardwert anzeigen, um die Felder zum Erstellen eines Standard-Azure-Key Vault-Geheimnisses anzuzeigen. Nachdem die Informationen im nächsten Schritt hinzugefügt und gespeichert wurden, wird die Standardwertabgrenzung zum Variablen Definition Datensatz Umgebung hinzugefügt.

  6. Geben Sie die folgenden Informationen ein:

    • Azure-Abonnement-ID: Die mit dem Schlüsseltresor verknüpfte Azure-Abonnement-ID.

    • Name der Ressourcengruppe: Die Ressourcengruppe Azure, in der sich der Schlüsseltresor mit dem Geheimnis befindet.

    • Azure Schlüsseltresorname: Der Name des Schlüsseltresors, der das Geheimnis enthält.

    • Geheimer Name: Der Name des Geheimnisses im Schlüsseltresor Azure.

      Trinkgeld

      Die ID des Abonnements, den Namen der Ressourcengruppe und den Namen des Key Vault finden Sie auf der Seite Übersicht des Azure Portals zum Key Vault. Den Namen des Geheimnisses finden Sie auf der Seite Key Vault im Azure-Portal, indem Sie Geheimnisse unter Einstellungen auswählen.

  7. Wählen Sie Speichern.

Einen Power Automate-Flow erstellen, um die Umgebungsvariable secret zu testen

Ein einfaches Szenario zur Demonstration der Verwendung eines von Azure Key Vault erhaltenen Geheimnisses ist das Erstellen eines Power Automate-Flows, um das Geheimnis zur Authentifizierung gegenüber einem Webdienst zu verwenden.

Anmerkung

Der URI für den Webdienst in diesem Beispiel ist kein funktionierender Webdienst.

  1. Melden Sie sich bei Power Apps, Auswählen Solutions an und öffnen Sie dann die gewünschte nicht verwaltete Lösung. Wenn sich das Element nicht im linken Seitenbereich befindet, wählen Sie …Mehr und dann das gewünschte Element aus.

  2. Wählen Sie Neu>Automation>Cloud-Flow>Direkt.

  3. Geben Sie einen Namen für den Flow ein, Auswählen Manually Trigger einen Flow, und dann Auswählen Erstellen.

  4. Auswählen New Schritt, Auswählen den Microsoft Dataverse Konnektor und dann auf der Registerkarte Aktionen Auswählen Eine ungebundene Aktion ausführen.

  5. Auswählen die Aktion mit dem Namen RetrieveEnvironmentVariableSecretValue aus der Dropdown-Liste.

  6. Geben Sie den eindeutigen Namen der Variablen Umgebung an (nicht Anzeigename), der im vorherigen Abschnitt hinzugefügt wurde. Für dieses Beispiel wird new_TestSecret verwendet.

  7. Auswählen >Umbenennen , um die Aktion umzubenennen, damit sie in der nächsten Aktion leichter referenziert werden kann. In diesem Screenshot wurde es in GetSecret umbenannt.

    Sofortige Flow-Konfiguration zum Testen eines Umgebung-Variablengeheimnisses

  8. Auswählen >Einstellungen um die Aktionseinstellungen GetSecret anzuzeigen.

  9. Aktivieren Sie in den Einstellungen die Option Sichere Ausgaben und dann Auswählen Fertig. Damit verhindern Sie, dass die Ausgabe der Aktion in der Ausführungshistorie des Flows angezeigt wird.

    Aktivieren Sie die Einstellung für sichere Ausgaben für die Aktion

  10. Auswählen New Schritt, Suche und Auswählen der HTTP Connector.

  11. Auswählen die Methode als GET und geben Sie die URI für den Webdienst ein. In diesem Beispiel wird der fiktive Webdienst httpbin.org verwendet.

  12. Auswählen Erweiterte Optionen anzeigen, Auswählen die Authentifizierung als Einfach festlegen und dann den Benutzernamen eingeben.

  13. Auswählen das Feld Passwort und dann auf der Registerkarte Dynamischer Inhalt unter dem Flow-Namen Schritt oben (in diesem Beispiel GetSecret ) Auswählen RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, das dann als Ausdruck outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] oder body('GetSecretTest')['EnvironmentVariableSecretValue'] hinzugefügt wird.

    Erstellen Sie ein neues Schritt mithilfe des HTTP-Connectors

  14. Auswählen >Einstellungen um die HTTP Aktionseinstellungen anzuzeigen.

  15. Aktivieren Sie in den Einstellungen die Optionen Sichere Eingaben und Sichere Ausgaben und dann Auswählen Fertig. Das Aktivieren dieser Optionen verhindert, dass die Eingabe und Ausgaben der Aktion in der Ausführungshistorie des Flows angezeigt werden.

  16. Auswählen Speichern , um den Flow zu erstellen.

  17. Führen Sie den Flow manuell aus, um ihn zu testen.

    Anhand der Ausführungshistorie des Flows können die Ausgaben überprüft werden.

    Durchflussleistung

Verwenden Sie Umgebung Variable Geheimnisse in Microsoft Copilot Studio

Umgebung-Variablengeheimnisse funktionieren etwas anders. Microsoft Copilot Studio Sie müssen die Schritte in den Abschnitten unter Azure Key Vault konfigurieren und Neue Umgebung-Variable für das Key Vault-Geheimnis erstellen ausführen, um Geheimnisse mit Umgebung-Variablen zu verwenden.

Gewähren Sie Copilot Studio Zugriff auf den Schlüsseltresor Azure

Führen Sie diese Schritte aus:

  1. Zurück zu Ihrem Azure-Schlüsseltresor.

  2. Copilot Studio benötigt Zugriff auf den Schlüsseltresor. Um die Berechtigung zur Verwendung des Geheimnisses zu erteilen, Auswählen Copilot Studio Zugriffskontrolle (IAM) klicken Sie in der linken Navigation auf Auswählen Hinzufügen und dann auf AuswählenRollenzuweisung hinzufügen .

    Meinen Zugriff in Azure anzeigen

  3. Auswählen die Rolle Key Vault Secrets User und dann Auswählen Weiter.

  4. Auswählen Auswählen-Mitglieder, suchen Sie nach Power Virtual Agents Service, Auswählen ihn und wählen Sie dann Auswählen.

  5. Auswählen Überprüfen + zuweisen unten auf dem Bildschirm. Überprüfen Sie die Informationen und Auswählen Überprüfen + zuweisen erneut, wenn alles korrekt ist.

Fügen Sie ein Tag hinzu, um einem Copilot den Zugriff auf das Geheimnis im Azure-Schlüsseltresor zu ermöglichen.

Durch Abschluss der vorherigen Schritte in diesem Abschnitt haben Sie Copilot Studio jetzt Zugriff auf den Schlüsseltresor Azure, können ihn jedoch noch nicht verwenden. So schließen Sie Aufgabe, folgen ab:

  1. Gehen Sie zu Microsoft Copilot Studio und öffnen Sie das Agent, das Sie für das Variablengeheimnis Umgebung verwenden möchten, oder erstellen Sie ein neues.

  2. Öffnen Sie ein Agent Thema oder erstellen Sie ein neues.

  3. Auswählen das + Symbol, um einen Knoten hinzuzufügen, und dann Auswählen Nachricht senden.

  4. Auswählen die Option Variable einfügen {x} im Knoten Nachricht senden .

  5. Auswählen das Umgebung Tab. Auswählen das Umgebung-Variablengeheimnis, das Sie im Erstellen einer neuen Umgebung-Variable für das Key Vault-Geheimnis Schritt erstellt haben.

  6. Wählen Sie Speichern aus, um ihr Thema zu speichern.

  7. Testen Sie im Testbereich Ihr Thema, indem Sie eine der Startphrasen von Thema verwenden, wo Sie gerade den Knoten Senden Sie eine Nachricht mit dem Variablengeheimnis Umgebung hinzugefügt haben. Sie sollten auf einen Fehler stoßen, der wie folgt aussieht:

    Fehlermeldung: Bot darf die Variable Umgebung nicht verwenden. Um Bot zur Liste der zulässigen Variablen hinzuzufügen, fügen Sie ein Tag „AllowedBots“ mit einem Wert hinzu.

    Dies bedeutet, dass Sie Zurück zu Azure Key Vault hinzufügen und das Geheimnis bearbeiten müssen. Lassen Sie Copilot Studio offen, da Sie später hierher zurückkommen.

  8. Gehen Sie zum Schlüsseltresor Azure. In der linken Navigation, Auswählen Geheimnisse unter Objekte. Auswählen das Geheimnis, das Sie verfügbar machen möchten, in Copilot Studio , indem Sie den Namen auswählen.

  9. Auswählen die Version des Geheimnisses.

  10. Auswählen 0 Tags neben Tags. Fügen Sie einen Tag-Namen und einen Tag-Wert hinzu. Die Fehlermeldung in Copilot Studio sollte Ihnen die genauen Werte dieser beiden Eigenschaften nennen. Unter Tag-Name müssen Sie AllowedBots hinzufügen und bei Tag-Wert müssen Sie den Wert hinzufügen, der in der Fehlermeldung angezeigt wurde. Dieser Wert hat das Format {envId}/{schemaName}. Wenn mehrere Copiloten zugelassen werden müssen, trennen Sie die Werte durch Kommas. Wählen Sie dann OK.

  11. Auswählen Anwenden , um das Tag auf das Geheimnis anzuwenden.

  12. Zurück an Copilot Studio. Auswählen Aktualisieren im Bereich Testen Sie Ihr Copilot .

  13. Testen Sie im Testbereich Ihr Thema erneut, indem Sie eine der Startphrasen von Thema verwenden.

Der Wert Ihres Geheimnisses sollte im Testfenster angezeigt werden.

Fügen Sie ein Tag hinzu, um allen Copiloten in einem Umgebung Zugriff auf das Geheimnis im Azure-Schlüsseltresor zu gewähren.

Alternativ können Sie allen Copiloten in einem Umgebung Zugriff auf das Geheimnis im Azure-Schlüsseltresor gewähren. So schließen Sie Aufgabe, folgen ab:

  1. Gehen Sie zum Schlüsseltresor Azure. In der linken Navigation, Auswählen Geheimnisse unter Objekte. Auswählen das Geheimnis, das Sie verfügbar machen möchten, in Copilot Studio , indem Sie den Namen auswählen.
  2. Auswählen die Version des Geheimnisses.
  3. Auswählen 0 Tags neben Tags. Fügen Sie einen Tag-Namen und einen Tag-Wert hinzu. Fügen Sie unter Tag-Name AllowedEnvironments hinzu und in Tag-Wert die Umgebung-ID des Umgebung, das Sie zulassen möchten. Wenn Fertig, Auswählen OK
  4. Auswählen Anwenden , um das Tag auf das Geheimnis anzuwenden.

Einschränkung

Umgebung-Variablen, die auf Azure verweisen. Die Verwendung von Key Vault-Geheimnissen ist derzeit auf die Verwendung mit Power Automate Flows, Copilot Studio Agenten und benutzerdefinierten Konnektoren beschränkt.

Siehe auch

Datenquellen-Umgebungsvariablen in Canvas-Apps verwenden
Umgebungsvariablen in Power Automate-Lösungs-Cloud-Flows verwenden
Umgebung Variablenübersicht.