Azure Key Vault-Anmeldeinformationen erstellen

Auf der Seite Anmeldeinformationen erlaubt Ihnen Power Automate, mit Azure Key Vault Anmeldeinformationen zu erstellen, zu bearbeiten und freizugeben und diese in Desktop-Flow-Verbindungen zu verwenden.

Sie können auch Anmeldeinformationen mit CyberArk® erstellen (Vorschauversion).

Wichtig

• Derzeit ist dieses Feature für US Government Clouds nicht verfügbar.

Anforderungen

Anmeldeinformationen verwenden Geheimnisse, die in Azure Key Vault gespeichert sind. Um Anmeldeinformationen zu erstellen, muss Ihr Administrator zunächst Azure Key Vault einrichten.

Kurz gesagt, der Administrator muss Folgendes sicherstellen:

1. Der Microsoft Power Platform-Ressourcenanbieter im Azure-Abonnement registriert ist.
2. Es gibt einen Azure Key Vault, der die in den Anmeldeinformationen zu verwendenden Geheimnisse enthält.
3. Der Dataverse-Dienstprinzipal über Berechtigungen zur Verwendung der Geheimnisse verfügt.
4. Benutzende, die die Umgebungsvariable erstellen, über entsprechende Berechtigungen für die Ressource des Azure Key Vault verfügen.
5. Sich die Power Automate-Umgebung und das Azure-Abonnement auf demselben Mandanten befinden.

Um Azure Key Vault zu konfigurieren, gehen Sie wie unter Azure Key Vault konfigurieren beschrieben vor.

Zertifikatbasierte Authentifizierung (Vorschauversion)

Microsoft Entra ID-zertifikatbasierte Authentifizierung ist eine Ein-Faktor-Authentifizierung, mit der Sie die Anforderungen der Multifaktorauthentifizierung (MFA) erfüllen können. Verwenden Sie anstelle der kennwortbasierten Authentifizierung die zertifikatbasierte Authentifizierung (CBA), die Ihre Identität anhand digitaler Zertifikate überprüft.

Um CBA zu verwenden, befolgen Sie die Schritte unter Konfigurieren der zertifikatbasierten Authentifizierung. Beginnen Sie andernfalls mit der Erstellung einer Anmeldeinformation.

Anmeldeinformation erstellen

Gehen Sie wie folgt vor, um Ihre Anmeldeinformationen zu erstellen:

1. Wechseln Sie zur Seite Anmeldeinformationen. Wenn die Seite Anmeldeinformationen nicht angezeigt wird, führen Sie die folgenden Schritte aus:

   1. Wählen Sie im linken Navigationsbereich Mehr und dann Alle entdecken aus.
   2. Wählen Sie unter Daten die Option Anmeldeinformationen aus. Sie können die Seite in der linken Navigationsleiste anheften, um sie zugänglicher zu machen.

2. Erstellen Sie auf der Seite Anmeldeinformationen Ihre erste Anmeldeinformation, indem Sie Neue Anmeldeinformation auswählen.

Anmeldeinformationennamen definieren

Geben Sie die folgenden Informationen ein, um Ihre Anmeldeinformation zu erstellen:

• Name der Anmeldeinformation: Geben Sie einen Namen für die Anmeldeinformation ein
• Beschreibung (optional)

Anmeldeinformationenspeicher auswählen

1. Nachdem Sie Weiter ausgewählt haben, wählen Sie Azure Key Vault als Anmeldeinformationsspeicher aus .
2. Wählen Sie Verbindung als Speicherort für die Verwendung der Anmeldeinformationen aus. Die Verwendung von Anmeldeinformationen im Desktop-Flow wird mit Azure Key Vault noch nicht unterstützt.
3. Wählen Sie Azure Key Vault als Typ des Anmeldeinformationsspeichers auswählen und dann auf Weiter klicken.

Anmeldeinformationenwerte auswählen

Wählen Sie im letzten Schritt des Assistenten Werte für Anmeldeinformationen aus. Bei Azure Key Vault werden zwei Arten von Authentifizierungen unterstützt:

1. Benutzername und Kennwort: Das im Tresor gespeicherte Geheimnis ist ein Kennwort.
2. Zertifikatbasierte Authentifizierung: Das im Key Vault gespeicherte Geheimnis ist ein Zertifikat.

• Benutzername: Um einen Benutzernamen auszuwählen, können Sie das Dropdown-Menü verwenden. Wenn Sie keine Umgebungsvariablen haben, wählen Sie neu:

  • Anzeigename. Geben Sie einen Namen für die Umgebungsvariable ein.

  • Name Der eindeutige Name wird automatisch aus Anzeigename generiert, aber Sie können ihn ändern.

  • Wert. Geben Sie den Namen des Benutzenden ein. Geben Sie für lokale Benutzer den Benutzernamen an. Geben Sie für Domänenbenutzer <DOMAIN\username> oder <username@domain.com> an.

    

Anmerkung

Der Anmeldebenutzername ist eine Textumgebungsvariable. Sie können auch eine Textvariable auf der Lösungsseite erstellen und sie als Benutzernamen auswählen.

• Passwort: Um ein Passwort auszuwählen, können Sie das Dropdown-Menü verwenden. Wenn Sie keine geheimen Umgebungsvariablen haben, wählen Sie neu:
  • Anzeigename. Geben Sie einen Namen für die Umgebungsvariable ein.
  • Name Der eindeutige Name wird automatisch aus Anzeigename generiert, aber Sie können ihn ändern.
  • Abonnement-ID: Die mit dem Key Vault verbundene Azure Abonnement ID.
  • Ressourcengruppenname. Die Azure-Ressourcengruppe, in der sich der Schlüsseltresor mit dem Geheimnis befindet.
  • Name des Azure Key Vault. Der Name des Schlüsseltresors, der das Geheimnis enthält.
  • Geheimnisname. Der Name des Geheimnisses in Azure Key Vault.

Anmerkung

Die ID des Abonnements, den Namen der Ressourcengruppe und den Namen des Key Vault finden Sie auf der Seite Übersicht des Azure Portals zum Key Vault. Den Namen des Geheimnisses finden Sie auf der Seite Key Vault im Azure-Portal, indem Sie Geheimnisse unter Einstellungen auswählen. Die Validierung des Zugriffs des Benutzers auf das Geheimnis wird im Hintergrund durchgeführt. Wenn Benutzende nicht mindestens über eine Leseberechtigung verfügen, wird dieser Überprüfungsfehler angezeigt: „Diese Variable wurde nicht richtig gespeichert. Der Benutzende ist nicht berechtigt, Geheimnisse aus dem ‚Azure Key Vault-Pfad‘ zu lesen.“ Kennwörter verwendengeheime Umgebungsvariablen. Sie können auch eine geheime Variable auf der Lösungsseite erstellen und sie als Passwort auswählen.

Desktop-Flow-Verbindungen mithilfe von Anmeldeinformationen erstellen

Hinweis: Anmeldeinformationen werden derzeit nur in Desktop-Flow-Verbindungen unterstützt.

Sie können Ihre Anmeldeinformationen jetzt in einer Desktop-Flow-Verbindung verwenden.

Sehen, wo Geheimnisse verwendet werden

Auf der Seite „Lösungen“ können Sie alle Abhängigkeiten geheimer Umgebungsvariablen abrufen. So können Sie besser verstehen, wo die Geheimnisse Ihres Azure Key Vaults verwendet werden, bevor Sie sie bearbeiten.

• Wählen Sie eine Umgebungsvariable aus.
• Wählen Sie die Option Erweitert und wählen Sie Abhängigkeiten anzeigen.
• Sie sehen:
  • Die Anmeldeinformationen, die diese Umgebungsvariable verwenden.
  • Die Verbindung, die diese Umgebungsvariable verwenden.

Anmeldeinformationen freigeben

Sie können Anmeldeinformationen, die Ihnen gehören, an andere Benutzende in Ihrer Organisation freigeben und ihnen bestimmte Berechtigungen für den Zugriff auf sie geben.

1. Melden Sie sich bei Power Automate an und gehen Sie dann zu Anmeldeinformationen.
2. Wählen Sie Ihre Anmeldeinformationen aus der Liste der Anmeldeinformationen aus.
3. Wählen Sie auf der Befehlsleiste Freigeben aus.
4. Wählen Sie Personen hinzufügen und geben Sie den Namen der Person in Ihrer Organisation ein, für die Sie die Anmeldeinformationen freigeben möchten, und wählen Sie dann die Rolle aus, die Sie diesem Benutzenden zuweisen möchten:
   • Mitbesitzender (kann bearbeiten). Diese Zugriffsebene gibt die volle Berechtigung zu diesen Anmeldeinformationen. Mitbesitzende können Anmeldeinformationen verwenden, sie für andere freigeben, ihre Details bearbeiten und sie löschen.
   • Benutzender (kann nur anzeigen). Diese Zugriffsebene gibt nur die Berechtigung zur Verwendung der Anmeldeinformationen. Mit diesem Zugriff sind keine Berechtigungen zum Bearbeiten, Freigeben oder Löschen möglich.
   • Benutzender (kann anzeigen und freigeben). Diese Zugriffsebene entspricht der Option „Nur anzeigen“, erteilt jedoch die Berechtigung zum Teilen.
5. Wählen Sie Speichern.

Anmerkung

Durch die Freigabe Ihrer Anmeldeinformationen werden auch alle in den Anmeldeinformationen verwendeten Umgebungsvariablen freigegeben. Die Berechtigungen für die Umgebungsvariablen werden durch das Entfernen von Berechtigungen für Anmeldeinformationen nicht entfernt.

Anmeldeinformationen löschen

1. Melden Sie sich bei Power Automate an und gehen Sie dann zu Anmeldeinformationen.
2. Wählen Sie in der Liste die Anmeldeinformation, die Sie löschen möchten, und dann Computer löschen in der Befehlsleiste aus.

Anmerkung

Die zugehörigen Umgebungsvariablen werden durch das Löschen einer Anmeldeinformation nicht gelöscht.

Eine Desktop-Flow-Verbindung mithilfe von Anmeldeinformationen exportieren

Anmerkung

Sie sollten zunächst den Artikel über ALM für Desktop-Flows lesen.

Sie können einen Cloud-Flow mit einer Desktop-Flow-Verbindung mithilfe von Anmeldeinformationen exportieren. Sie sollten zuerst die Lösung importieren, die die Anmeldeinformationen und die dazugehörigen Umgebungsvariablen enthält, und dann die Lösung importieren, die den Cloud-Flow und den Desktop-Flow enthält.

Einschränkungen

• Derzeit ist dieses Feature nur für Deskflow-Verbindungen verfügbar.
• Sie können den ausgewählten Benutzernamen und das Geheimnis in einer vorhandenen Anmeldeinformation nicht bearbeiten. Wenn Sie die Werte von Benutzername und Kennwort ändern möchten, müssen Sie entweder die Umgebungsvariablen oder das Azure Key Vault-Geheimnis aktualisieren.

Ein Geheimnis aktualisieren (Kennwortrotation) – veraltet

Anmerkung

Dieser Abschnitt ist jetzt für Desktop-Flow-Verbindungen veraltet. Desktop-Flow-Verbindungen, die Anmeldeinformationen verwenden, rufen jetzt Geheimnisse während der Flow-Ausführung ab. Es ist nicht mehr erforderlich, diesen benutzerdefinierten Flow zu erstellen, um die Verbindungen zu aktualisieren. Die Verbindungen mit Anmeldeinformationen, die vor April 2024 erstellt wurden, sollten aktualisiert werden, um von der automatischen Aktualisierung zu profitieren.

Voraussetzungen für die Aktualisierung eines Geheimnisses (Kennwortrotation)

• Stellen Sie sicher, dass Event Grid als Ressourcenanbieter in Azure registriert ist. Weitere Informationen zu Ressourcenanbietern.
• Stellen Sie sicher, dass Benutzende, die den Event Grid-Trigger in Power Automate verwenden, Mitwirkenden-Berechtigungen für Event Grid haben. Weitere Informationen

Anmerkung

Für diesen Abschnitt sind bestimmte Berechtigungen erforderlich, beispielsweise als Systemadministrierender der Organisation. Andernfalls werden nur Ihre eigenen Desktop-Flow-Verbindungen aktualisiert.

Erstellen eines Cloud-Flows mit Event Grid-Trigger

Wenn Sie Geheimnisse in Ihrem Azure Key Vault bearbeiten, sollten Sie unbedingt sicherstellen, dass die Anmeldeinformationen und Verbindungen, die diese Geheimnisse verwenden, immer aktuell sind, damit es zu keinen Unterbrechungen Ihrer Automatisierungen kommt. In Power Automate müssen Sie einen Cloud-Flow erstellen, der die Anmeldeinformationen aktualisiert, wenn Geheimnisse in Azure Key Vault geändert werden.

Dieser Cloud-Flow enthält einen Trigger und eine Aktion:

1. Trigger: Wenn ein Ressourcenereignis auftritt (Event Grid)
   • Ressourcentyp: Microsoft.KeyVault.vaults
   • Ressourcenname: Geben Sie den Namen des Key Vaults an.
   • Abonnement: Geben Sie den Namen des Abonnements an.
   • Ereignistyp: Microsoft.KeyVault.SecretNewVersionCreated
2. Aktion: Führen Sie eine ungebundene Aktion durch (Dataverse)
   • Aktionsname: NotifyEnvironmentVariableSecretChange
   • KeyVaultUrl: Thema
   • Geheimnisname: Betreff

Wenn Sie einen Key Vault für alle Ihre Geheimnisse verwenden, benötigen Sie nur einen Cloud-Flow. Wenn Sie über mehrere Key Vaults verfügen, müssen Sie den Cloud-Flow duplizieren und den Ressourcennamen aktualisieren.

So stellen Sie sicher, dass Ihr Cloud-Flow ordnungsgemäß mit Azure Key Vault funktioniert:

1. Gehen Sie zu Ihrem Key Vault.
2. Wählen Sie Ereignisse aus.
3. Überprüfen Sie in Ereignisabonnements, ob Sie einen LogicApps-Webhook sehen.