Créer des informations d’identification Azure Key Vault
La page Informations d’identification dans Power Automate vous permet de créer, de modifier et de partager des informations d’identification de connexion à l’aide d’Azure Key Vault et de les utiliser dans les connexions de flux de bureau.
Vous pouvez également créer des informations d’identification avec CyberArk® (version préliminaire).
Important
- Actuellement, cette fonctionnalité n’est pas disponible pour les clouds US Government.
Prérequis
Les informations d’identification utilisent les secrets stockés dans Azure Key Vault. Pour créer des informations d’identification, votre administrateur doit d’abord configurer Azure Key Vault.
En bref, l’administrateur doit s’assurer que :
- Le fournisseur de ressources Microsoft Power Platform est enregistré dans l’abonnement Azure.
- Un Azure Key Vault contient les secrets à utiliser dans les informations d’identification.
- Le principal de service Dataverse dispose des autorisations nécessaires pour utiliser les secrets.
- Les utilisateurs qui créent la variable d’environnement disposent des autorisations appropriées sur la ressource Azure Key Vault.
- L’environnement Power Automate et l’abonnement Azure doivent être dans le même client.
Pour configurer Azure Key Vault, suivez les étapes décrites dans Configurer Azure Key Vault.
Authentification basée sur le certificat (version préliminaire)
L’authentification basée sur le certificat Microsoft Entra ID est une authentification à facteur unique qui vous permet de répondre aux exigences de l’authentification multifacteur (MFA). Au lieu d’utiliser l’authentification par mot de passe, utilisez l’authentification basée sur les certificats (CBA), qui vérifie votre identité sur la base de certificats numériques.
Pour utiliser CBA, suivez les étapes dans Configurer l’authentification basée sur le certificat. Sinon, commencez à créer des informations d’identification.
Créer des informations d’identification
Pour créer vos informations d’identification :
Accédez à la page Informations d’identification. Si vous ne voyez pas la page Informations d’identification, procédez comme suit :
- Sélectionnez Plus dans le volet de navigation de gauche, puis sélectionnez Découvrir tout.
- Sous Données, sélectionnez Informations d’identification. Vous pouvez épingler la page dans la navigation de gauche pour la rendre plus accessible.
Sur la page Informations d’identification, créez vos premières informations d’identification en sélectionnant Nouvelles informations d’identification.
Définir le nom des informations d’identification
Fournissez les informations suivantes pour créer vos informations d’identification :
- Nom des informations d’identification : entrez un nom pour les informations d’identification
- Description (facultatif)
Sélectionner le magasin d’informations d’identification
- Une fois que vous avez sélectionné Suivant, sélectionnez Azure Key Vault comme magasin d’informations d’identification.
- Sélectionnez Connexion comme emplacement d’utilisation des informations d’identification. L’utilisation des informations d’identification dans le flux de bureau n’est pas encore prise en charge avec Azure Key Vault.
- Sélectionnez Azure Key Vault comme type de magasin d’informations d’identification, puis sélectionnez Suivant.
Sélectionner les valeurs des informations d’identification
Dans la dernière étape de l’assistant, sélectionnez les valeurs des informations d’identification. Avec Azure Key Vault, il existe deux types d’authentifications prises en charge :
- Nom d’utilisateur et mot de passe : le secret stocké dans le coffre est un mot de passe.
- Authentification basée sur le certificat : le secret stocké dans le coffre est un certificat.
- Nom d’utilisateur : pour sélectionner un nom d’utilisateur, vous pouvez utiliser le menu déroulant. Si vous n’avez aucune variable d’environnement, sélectionnez Nouveau :
Nom complet. Entrez un nom pour la variable d’environnement.
Nom. Le nom unique est généré automatiquement à partir du Nom d’affichage, mais vous pouvez le changer.
Valeur. Remplissez le nom de l’utilisateur. Pour les utilisateurs locaux, fournissez le nom d’utilisateur. Pour les utilisateurs du domaine, fournissez
<DOMAIN\username>
ou<username@domain.com>
.
Note
Le nom d’utilisateur des informations d’identification est une variable d’environnement de texte. Vous pouvez également créer une variable de texte à partir de la page des solutions et la sélectionner comme nom d’utilisateur.
- Mot de passe : pour sélectionner un mot de passe, vous pouvez utiliser le menu déroulant. Si vous n’avez aucune variable d’environnement de secret, sélectionnez Nouveau :
- Nom complet. Entrez un nom pour la variable d’environnement.
- Nom. Le nom unique est généré automatiquement à partir du Nom d’affichage, mais vous pouvez le changer.
- ID d’abonnement. ID d’abonnement Azure associé au coffre de clés.
- Nom du groupe de ressources. Groupe de ressources Azure dans lequel se trouve le coffre de clés contenant le secret.
- Nom Azure Key Vault. Nom du coffre de clés contenant le secret.
- Nom du secret. Nom du secret situé dans Azure Key Vault.
Note
L’ID d’abonnement, le nom du groupe de ressources et le nom du coffre de clés sont disponibles sur la page Présentation du coffre de clés sur le portail Azure. Le nom de la clé secrète est disponible sur la page du coffre de clés dans le portail Azure en sélectionnant Clés secrètes sous Paramètres. La validation de l’accès utilisateur pour la clé secrète s’effectue en arrière-plan. Si l’utilisateur n’a pas au moins l’autorisation de lecture, cette erreur de validation s’affiche : Cette variable n’a pas été enregistrée correctement. L’utilisateur n’est pas autorisé à lire les clés secrètes à partir du « chemin d’accès Azure Key Vault ». L’utilisateur n’est pas autorisé à lire les secrets à partir du « chemin Azure Key Vault ». Les mots de passe utilisent des variables d’environnement de secret. Vous pouvez également créer une variable de secret à partir de la page des solutions et la sélectionner comme mot de passe.
Créer des connexions de flux de bureau en utilisant des informations d’identification
Remarque : pour le moment, les informations d’identification ne sont prises en charge que dans les connexions de flux de bureau.
Vous pouvez désormais utiliser vos informations d’identification dans des connexions de flux de bureau
Voir où les secrets sont utilisés
Dans la page Solutions, vous pouvez récupérer toutes les dépendances des variables d’environnement de secret. Cela vous aide à comprendre où vos secrets Azure Key Vault sont utilisés avant de les modifier.
- Sélectionnez une variable d’environnement.
- Sélectionnez l’option Avancée et sélectionnez Afficher les dépendances.
- Vous pouvez voir :
- Les informations d’identification qui utilisent cette variable d’environnement.
- Les connexions qui utilisent cette variable d’environnement.
Partager des informations d’identification
Vous pouvez partager les informations d’identification dont vous êtes propriétaire avec d’autres utilisateurs de votre organisation et accorder à ces utilisateurs des autorisations spécifiques pour y accéder.
- Connectez-vous à Power Automate, puis accédez à Informations d’identification.
- Sélectionnez vos informations d’identification dans la liste des informations d’identification.
- Dans la barre de commandes, sélectionnez Partager.
- Sélectionnez Ajouter des personnes, saisissez le nom de la personne dans votre organisation avec laquelle vous souhaitez partager les informations d’identification, puis sélectionnez le rôle que vous souhaitez accorder à cet utilisateur :
- Copropriétaire (peut modifier). Ce niveau d’accès donne une autorisation complète sur ces informations d’identification. Les copropriétaires peuvent utiliser les informations d’identification, les partager avec d’autres, modifier ses détails et les supprimer.
- Utilisateur (peut voir uniquement). Ce niveau d’accès donne uniquement l’autorisation d’utiliser les informations d’identification. Aucune autorisation de modification, de partage ou de suppression n’est possible avec cet accès.
- Utilisateur (peut voir et partager). Ce niveau d’accès est le même que l’option d’affichage seule, mais il donne l’autorisation de partager.
- Sélectionnez Enregistrer.
Note
En partageant vos informations d’identification, toutes les variables d’environnement utilisées dans les informations d’identification sont également partagées. La suppression des autorisations sur des informations d’identification ne supprime pas les autorisations sur les variables d’environnement.
Supprimer des informations d’identification
- Connectez-vous à Power Automate, puis accédez à Informations d’identification.
- Dans la liste, sélectionnez les informations d’identification que vous souhaitez supprimer, puis sélectionnez Supprimer la machine dans la barre de commandes.
Note
La suppression des informations d’identification ne supprime pas les variables d’environnement associées.
Exporter une connexion de flux de bureau en utilisant des informations d’identification
Note
Vous devez d’abord lire l’article sur ALM pour les flux de bureau.
Vous pouvez exporter un flux de cloud avec une connexion de flux de bureau en utilisant des informations d’identification. Vous devez d’abord importer la solution contenant les informations d’identification et les variables d’environnement associées, puis importer celle contenant le flux de cloud et le flux de bureau.
Limitations
- Actuellement, cette fonctionnalité n’est disponible que pour les connexions de flux de bureau.
- Vous ne pouvez pas modifier le nom d’utilisateur et le secret sélectionnés dans une information d’identification existante. Si vous souhaitez modifier la valeur du nom d’utilisateur et du mot de passe, vous devez mettre à jour les variables d’environnement ou le secret Azure Key Vault.
Mettre à jour un secret (rotation des mots de passe) - Obsolète
Note
Cette section est désormais obsolète pour les connexions de flux de travail. Les connexions de flux de bureau utilisant des informations d’identification récupèrent désormais les secrets au moment de l’exécution du flux. Il n’est plus nécessaire de créer ce flux personnalisé pour mettre à jour les connexions. Les connexions utilisant des informations d’identification créées avant avril 2024 doivent être mises à jour pour bénéficier de la mise à jour automatique.
Conditions préalables pour mettre à jour un secret (rotation des mots de passe)
- Assurez-vous qu’Event Grid est enregistré en tant que fournisseur de ressources dans Azure. En savoir plus sur les fournisseurs de ressources.
- Assurez-vous que les utilisateurs qui utilisent le déclencheur Event Grid dans Power Automate disposent des autorisations Contributeur Event Grid. En savoir plus
Note
Cette section nécessite des autorisations spécifiques telles que l’administrateur système de l’organisation ; sinon, seules vos propres connexions de flux de bureau seront mises à jour.
Créer un flux de cloud en utilisant le déclencheur Event Grid
Lorsque vous modifiez des secrets dans votre Azure Key Vault, vous souhaitez vous assurer que les informations d’identification et les connexions utilisant ces secrets sont toujours à jour pour éviter d’interrompre vos automatisations. Dans Power Automate, vous devez créer un flux de cloud qui met à jour les informations d’identification lorsque les secrets sont modifiés dans Azure Key Vault.
Ce flux de cloud contient un déclencheur et une action :
- Déclencheur : quand un événement de ressource se produit (Event Grid)
- Type de ressource : Microsoft.KeyVault.vaults
- Nom de la ressource : indiquez le nom du coffre de clés.
- Abonnement : indiquez le nom de l’abonnement.
- Type d’événement : Microsoft.KeyVault.SecretNewVersionCreated
- Action : exécutez une action non liée (Dataverse)
- Nom de l’action : NotifyEnvironmentVariableSecretChange
- KeyVaultUrl : Rubrique
- Nom du secret : Objet
Si vous utilisez un seul Key Vault pour tous vos secrets, vous n’avez besoin que d’un seul flux de cloud. Si vous disposez de plusieurs Key Vault, vous devez dupliquer le flux de cloud et mettre à jour le nom de la ressource.
Pour vous assurer que votre flux de cloud fonctionne correctement avec Azure Key Vault :
- Accédez à votre Key Vault.
- Sélectionnez Événements.
- Dans Abonnements aux événements, vérifiez si vous pouvez voir un webhook LogicApps.