Partager via

Utiliser les variables d’environnement pour les secrets Azure Key Vault

  • Article

Les variables d’environnement permettent de référencer les clés secrètes stockées dans Azure Key Vault. Ces clés secrètes sont ensuite mises à disposition pour être utilisées avec les composants , tels que les flux Power Automate et les connecteurs personnalisés. Notez que les secrets ne sont pas disponibles pour une utilisation dans d’autres personnalisations ou généralement via l’API.

Les clés secrètes sont uniquement stockées dans Azure Key Vault et la variable d’environnement font simplement référence à l’emplacement de la clé secrète du coffre-fort de clés. L’utilisation de clés secrètes Azure Key Vault avec des variables d’environnement nécessite que vous configuriez Azure Key Vault afin que Power Platform puisse lire les clés secrètes spécifiques que vous souhaitez référencer.

Les variables environnement référençant des secrets ne sont actuellement pas disponibles à partir du sélecteur de contenu dynamique pour une utilisation dans les flux. Power Automate

Configurer Azure Key Vault

Pour utiliser les secrets Key Vault Azure avec Power Platform, l’abonnement Azure qui possède le coffre-fort doit avoir le PowerPlatform fournisseur de ressources enregistré et l’utilisateur qui crée la variable Sélectionner doit disposer des autorisations appropriées sur la ressource Key Vault Azure.

Important

  • Des modifications récentes ont été apportées au rôle de sécurité utilisé pour affirmer les autorisations d’accès dans le coffre-fort de clés Azure. Les instructions précédentes incluaient l’attribution du rôle Lecteur Key Vault. Si vous avez déjà configuré votre coffre-fort de clés avec le rôle Key Vault Lecteur, assurez-vous d’ajouter le rôle Utilisateur des secrets du coffre-fort de clés pour garantir que vos utilisateurs et Microsoft Dataverse disposent des autorisations suffisantes pour récupérer les secrets.
  • Nous reconnaissons que notre service utilise les API de contrôle d’accès en fonction du rôle Azure pour évaluer l’attribution rôle de sécurité même si votre coffre de clés est toujours configuré pour utiliser le modèle d’autorisation de la stratégie d’accès au coffre. Pour simplifier votre configuration, nous vous recommandons de basculer votre modèle d’autorisation de coffre vers le contrôle d’accès en fonction du rôle Azure. Vous pouvez le faire dans l’onglet Configuration d’accès .

  1. Enregistrez le fournisseur de ressources dans votre abonnement Azure. Microsoft.PowerPlatform Suivre ces étapes pour vérifier et configurer : Fournisseurs de ressources et types de ressources

    Enregistrez le fournisseur dans Azure Power Platform

  2. Créez un coffre-fort Azure Key Vault. Pensez à utiliser un coffre-fort distinct pour chaque environnement Power Platform afin de réduire le risque de violation. Envisagez de configurer votre coffre-fort de clés pour utiliser le contrôle d’accès basé sur les rôles Azure pour le modèle d’autorisation. Plus d’informations : Bonnes pratiques pour utiliser le coffre-fort de clés Azure, Démarrage rapide : créer un coffre-fort de clés Azure avec le portail Azure

  3. Les utilisateurs qui créent ou utilisent des variables d’environnement de type secret doivent être autorisés à récupérer le contenu des clés secrètes. Pour accorder à un nouvel utilisateur la possibilité d’utiliser le secret, accédez à la zone Contrôle d’accès (IAM) , cliquez sur Sélectionner Ajouter, puis cliquez sur Sélectionner Ajouter une attribution de rôle dans la liste déroulante. Plus d’informations : Fournissez l’accès aux clés, certificats et secrets de Key Vault avec un contrôle d’accès basé sur les rôles Azure

    Voir mon accès dans Azure

  4. Dans l’assistant Ajouter une attribution de rôle , laissez le type d’attribution par défaut sur Rôles de fonction de travail et continuez jusqu’à l’onglet Rôle . Recherchez le rôle Utilisateur de secrets Key Vault et Sélectionner-le. Continuez vers l’onglet membres et Sélectionner le lien Sélectionner membres et localisez l’utilisateur dans le panneau latéral. Lorsque l’utilisateur est sélectionné et affiché dans la section des membres, passez à l’onglet de révision et d’attribution et terminez l’assistant.

  5. Azure Key Vault doit avoir le rôle Utilisateur des secrets de Key Vault accordé au Dataverse principal du service. Si elle n’existe pas pour ce coffre, ajoutez une nouvelle stratégie d’accès en utilisant la même méthode que vous avez précédemment utilisée pour l’autorisation de l’utilisateur final, en utilisant uniquement l’identité d’application Dataverse au lieu de l’utilisateur. Si vous avez plusieurs principaux de service Dataverse dans votre client, nous vous recommandons de les sélectionner tous et d’enregistrer l’attribution de rôle. Une fois le rôle attribué, passez en revue chaque élément Dataverse répertorié dans la liste des attributions de rôle et sélectionnez le nom Dataverse pour afficher les détails. Si l’ID d’application n’est pas 00000007-0000-0000-c000-000000000000**, alors Sélectionner l’identité, puis Sélectionner Supprimer pour la supprimer de la liste.

  6. Si vous avez activé Azure Key Vault Firewall, vous devez autoriser Power Platform les adresses IP à accéder à votre coffre-fort de clés. Power Platform n’est pas inclus dans l’option Services de confiance uniquement. Accédez à Power Platform URL et plages d’adresses IP pour connaître les adresses IP actuelles utilisées dans le service.

  7. Si vous ne l’avez pas déjà fait, ajoutez une clé secrète à votre nouveau coffre-fort. Plus d’informations : Azure Démarrage rapide - Définir et récupérer un secret à partir de Key Vault à l’aide du portail Azure

Créer une variable d’environnement pour la clé secrète Key Vault

Une fois Azure Key Vault configuré et une clé secrète enregistrée dans votre coffre-fort, vous pouvez désormais le référencer dans Power Apps en utilisant une variable d’environnement.

Note

  • La validation de l’accès utilisateur pour la clé secrète s’effectue en arrière-plan. Si l’utilisateur n’a pas au moins l’autorisation de lecture, cette erreur de validation s’affiche : Cette variable n’a pas été enregistrée correctement. L’utilisateur n’est pas autorisé à lire les clés secrètes à partir du « chemin d’accès Azure Key Vault ». L’utilisateur n’est pas autorisé à lire les secrets du Chemin Azure Key Vault.
  • Actuellement, Azure Key Vault est le seul magasin de clés secrètes pris en charge avec les variables d’environnement.
  • Le coffre-fort Azure doit être dans le même client que votre abonnement Power Platform.

  1. Connectez-vous à Power Apps et dans la zone Solutions , ouvrez la solution non gérée que vous utilisez pour le développement.

  2. Sélectionner Nouveau>Plus>Variable environnement.

  3. Saisissez un nom complet et éventuellement, une Description pour la variable environnement.

  4. Sélectionner le Type de données comme Secret et Secret Store as Azure Key Vault.

  5. Sélectionnez l’une des options suivantes :

    • Sélectionner New Azure Référence de la valeur de Key Vault. Une fois les informations ajoutées dans le prochain étape et enregistrées, un enregistrement de variable valeur environnement est créé.
    • Développez Afficher la valeur par défaut pour afficher les champs permettant de créer un secret Key Vault Azure par défaut. Une fois les informations ajoutées dans le prochain étape et enregistrées, la démarcation de valeur par défaut est ajoutée à l’enregistrement de définition de variable environnement .

  6. Saisissez les informations suivantes :

    • ID d’abonnement Azure : ID d’abonnement Azure associé au coffre de clés.

    • Nom du groupe de ressources : Le groupe de ressources Azure dans lequel se trouve le coffre de clés contenant le secret.

    • Azure Nom du coffre de clés : le nom du coffre de clés qui contient le secret.

    • Nom du secret : Le nom du secret situé dans le coffre-fort de clés Azure.

      Astuce

      L’ID d’abonnement, le nom du groupe de ressources et le nom du coffre de clés sont disponibles sur la page Présentation du coffre de clés sur le portail Azure. Le nom de la clé secrète est disponible sur la page du coffre de clés dans le portail Azure en sélectionnant Clés secrètes sous Paramètres.

  7. Sélectionnez Enregistrer.

Créer un flux Power Automate pour tester la clé secrète de la variable d’environnement

Un scénario simple pour montrer comment utiliser une clé secrète obtenue à partir d’Azure Key Vault consiste à créer un flux Power Automate pour utiliser la clé secrète afin de s’authentifier pour un service Web.

Note

L’URL du service web utilisé de cet exemple n’est pas un service web fonctionnel.

  1. connectez-vous à Power Apps, Sélectionner Solutions, puis ouvrez la solution non gérée souhaitée. Si l’élément ne se trouve pas dans le volet latéral, sélectionnez …Plus, puis sélectionnez l’élément souhaité.

  2. Sélectionnez Nouveau>Automatisation>Flux de cloud>Instantané.

  3. Saisissez un nom pour le flux, Sélectionner Manually Gâchette un flux, puis Sélectionner Créer.

  4. Sélectionner New étape, Sélectionner le Microsoft Dataverse connecteur, puis sur l’onglet Actions Sélectionner Effectuer une action non liée.

  5. Sélectionner l’action nommée RetrieveEnvironmentVariableSecretValue dans la liste déroulante.

  6. Fournissez le nom unique de la variable environnement (pas le nom complet) ajouté dans la section précédente, pour cet exemple new_TestSecret est utilisé.

  7. Sélectionner ...>Renommer pour renommer l’action afin qu’elle puisse être plus facilement référencée dans l’action suivante. Dans cette capture d’écran, il est renommé en GetSecret.

    Configuration de flux instantané pour tester un secret de variable environnement

  8. Sélectionner ...>Paramètres pour afficher les paramètres d’action GetSecret .

  9. Activez l’option Sorties sécurisées dans les paramètres, puis Sélectionner Terminé. Cela permet d’éviter que la sortie de l’action ne soit exposée dans l’historique des exécutions de flux.

    Activer le paramètre de sorties sécurisées pour l’action

  10. Sélectionner New étape, recherche et Sélectionner le HTTP connecteur.

  11. Sélectionner la méthode comme GET et entrez l’ URI pour le service Web. Dans cet exemple, le service Web fictif httpbin.org est utilisé.

  12. Sélectionner Afficher les options avancées, Sélectionner l’ Authentification comme De base, puis entrez le Nom d’utilisateur.

  13. Sélectionner le champ Mot de passe , puis dans l’onglet Contenu dynamique sous le nom du flux étape ci-dessus (GetSecret dans cet exemple) Sélectionner RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, qui est ensuite ajouté en tant qu’expression outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] ou body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Créez un nouveau étape en utilisant le connecteur HTTP

  14. Sélectionner ...>Paramètres pour afficher les paramètres d’action HTTP .

  15. Activez les options Entrées sécurisées et Sorties sécurisées dans les paramètres, puis Sélectionner Terminé. Activer ces options évite que l’entrée et la sortie de l’action ne soit exposée dans l’historique des exécutions de flux.

  16. Sélectionner Enregistrez pour créer le flux.

  17. Exécutez manuellement le flux pour le tester.

    En utilisant l’historique des exécutions de flux, les sorties peuvent être vérifiées.

    Débit de sortie

Utilisez les secrets de la variable environnement dans Microsoft Copilot Studio

Les secrets des variables environnement Microsoft Copilot Studio fonctionnent un peu différemment. Vous devez suivre les étapes décrites dans les sections de Configurer le coffre-fort de clés Azure et Créer une nouvelle variable environnement pour le secret du coffre-fort de clés pour utiliser les secrets avec les variables environnement.

Donnez Copilot Studio accès au coffre-fort de clés Azure

Procédez comme suit :

  1. Retour dans votre coffre-fort de clés Azure.

  2. Copilot Studio a besoin d’accéder au coffre-fort à clés. Pour accorder Copilot Studio la possibilité d’utiliser le secret, Sélectionner Contrôle d’accès (IAM) dans la navigation de gauche, Sélectionner Ajouter, puis Sélectionner Ajouter une attribution de rôle.

    Voir mon accès dans Azure

  3. Sélectionner le rôle Utilisateur de Key Vault Secrets , puis Sélectionner Suivant.

  4. Sélectionner Membres Sélectionner, recherchez Power Virtual Agents Service, Sélectionner-le, puis choisissez Sélectionner.

  5. Sélectionner Réviser + attribuer en bas de l’écran. Vérifiez les informations et Sélectionner Révisez + attribuez à nouveau si tout est correct.

Ajoutez une balise pour permettre à un copilote d’accéder au secret dans le coffre-fort de clés Azure

En complétant les étapes précédentes de cette section, Copilot Studio vous avez désormais accès au coffre-fort de clés Azure, mais vous ne pouvez pas encore l’utiliser. Pour compléter le tâche, suivre, suivez ces étapes :

  1. Accédez à Microsoft Copilot Studio et ouvrez le agent que vous souhaitez utiliser pour la variable secrète environnement ou créez-en un nouveau.

  2. Ouvrez un agent rubrique ou créez-en un nouveau.

  3. Sélectionner l’ + icône pour ajouter un nœud, puis Sélectionner Envoyer un message.

  4. Sélectionner l’option Insérer une variable {x} dans le nœud Envoyer un message .

  5. Sélectionner la environnement tab. Sélectionner la variable environnement secrète que vous avez créée dans le Créez une nouvelle variable environnement pour le secret Key Vault étape.

  6. Cliquez sur Enregistrer pour enregistrer votre rubrique.

  7. Dans le volet de test, testez votre rubrique en utilisant l’une des phrases de départ du rubrique où vous venez d’ajouter le nœud Envoyer un message avec la variable environnement secret. Vous devriez rencontrer une erreur qui ressemble à ceci :

    Message d’erreur : le bot n’est pas autorisé à utiliser la variable environnement. Pour ajouter le bot à la liste autorisée, ajoutez une balise

    Cela signifie que vous devez accéder à Retour Key Vault et modifier le secret. Laissez Copilot Studio ouvert, car vous reviendrez ici plus tard.

  8. Accédez au coffre-fort à clés Azure. Dans la navigation de gauche, Sélectionner Secrets sous Objets. Sélectionner le secret que vous souhaitez rendre disponible en Copilot Studio sélectionnant le nom.

  9. Sélectionner la version du secret.

  10. Sélectionner 0 balise à côté de Tags. Ajoutez un nom de balise et une valeur de balise. Le message d’erreur dans Copilot Studio devrait vous donner les valeurs exactes de ces deux propriétés. Sous Nom de balise vous devez ajouter AllowedBots et dans Valeur de balise vous devez ajouter la valeur affichée dans le message d’erreur. Cette valeur est formatée comme {envId}/{schemaName}. S’il y a plusieurs copilotes qui doivent être autorisés, séparez les valeurs par une virgule. Une fois cette opération effectuée, sélectionnez OK.

  11. Sélectionner Appliquer pour appliquer la balise au secret.

  12. Retour à Copilot Studio. Sélectionner Actualisez dans le volet Tester votre copilote .

  13. Dans le volet de test, testez à nouveau votre rubrique en utilisant l’une des phrases de départ du rubrique.

La valeur de votre secret doit être affichée dans le panneau de test.

Ajoutez une balise pour permettre à tous les copilotes d’un environnement d’accéder au secret du coffre-fort de clés Azure

Alternativement, vous pouvez autoriser tous les copilotes d’un environnement à accéder au secret du coffre-fort de clés Azure. Pour compléter le tâche, suivre, suivez ces étapes :

  1. Accédez au coffre-fort à clés Azure. Dans la navigation de gauche, Sélectionner Secrets sous Objets. Sélectionner le secret que vous souhaitez rendre disponible en Copilot Studio sélectionnant le nom.
  2. Sélectionner la version du secret.
  3. Sélectionner 0 balise à côté de Tags. Ajoutez un nom de balise et une valeur de balise. Sous Nom de balise ajoutez Environs autorisés et dans Valeur de balise ajoutez l’ID environnement du environnement que vous souhaitez autoriser. Quand Terminé, Sélectionner OK
  4. Sélectionner Appliquer pour appliquer la balise au secret.

Limitation

Les variables environnement référençant les secrets Key Vault Azure sont actuellement limitées à une utilisation avec les Power Automate flux, Copilot Studio les agents et les connecteurs personnalisés.

Voir aussi

Utiliser des variables d’environnement de source de données dans les applications canevas
Utiliser les variables d’environnement dans les flux de cloud de la solution Power Automate
Présentation des variables environnement.