Crea credenziali di Azure Key Vault

La pagina Credenziali in Power Automate consente di creare, modificare e condividere credenziali di accesso utilizzando Azure Key Vault e usarle nelle connessioni a flussi desktop.

Puoi anche creare credenziali con CyberArk® (anteprima).

Importante

• Al momento, questa funzionalità non è disponibile per i cloud governativi statunitensi.

Prerequisiti

Le credenziali usano i segreti archiviati in Azure Key Vault. Per creare le credenziali, l'amministratore deve prima configurare Azure Key Vault.

In breve, l'amministratore deve garantire:

1. Il provider delle risorse di Microsoft Power Platform è registrato nella sottoscrizione di Azure.
2. È presente un Azure Key Vault che contiene i segreti da usare nelle credenziali.
3. L'entità servizio Dataverse dispone delle autorizzazioni per utilizzare i segreti.
4. Gli utenti che creano la variabile di ambiente dispongono delle autorizzazioni appropriate per la risorsa Azure Key Vault.
5. L'ambiente Power Automate e la sottoscrizione di Azure devono trovarsi nello stesso tenant.

Per configurare Azure Key Vault, segui i passaggi descritti in Configurare Azure Key Vault.

Autenticazione basata su certificato (anteprima)

L'autenticazione basata su certificato di Microsoft Entra ID è un'autenticazione a singolo fattore che consente di soddisfare i requisiti di autenticazione a più fattori (MFA). Invece di utilizzare l'autenticazione basata su password, utilizza l'autenticazione basata su certificato (CBA), che verifica la tua identità tramite certificati digitali.

Per utilizzare CBA, seguire i passaggi descritti in Configurare l'autenticazione basata su certificato. Altrimenti, inizia a creare una credenziale.

Crea le credenziali

Per creare le credenziali:

1. Vai alla pagina Credenziali. Se non vedi la pagina Credenziali , segui questi passaggi:

   1. Seleziona Altro nel menu di spostamento a sinistra, quindi seleziona Scopri tutto.
   2. In Dati, seleziona Credenziali. Puoi fissare la pagina al menu di spostamento a sinistra per renderla più accessibile.

2. Nella pagina Credenziali, crea le tue prime credenziali selezionando Nuove credenziali.

Definisci nome credenziali

Specifica le informazioni seguenti per creare le tue credenziali:

• Nome credenziali: immetti un nome per le credenziali
• Descrizione (facoltativa)

Seleziona Credential Store

1. Dopo aver selezionato Avanti, devi selezionare Azure Key Vault come archivio di credenziali.
2. Seleziona Connessione come posizione in cui utilizzare le credenziali. L'utilizzo delle credenziali nel flusso desktop non è ancora supportato con Azure Key Vault.
3. Seleziona Azure Key Vault come tipo di Credential Store, quindi seleziona Avanti.

Selezione valori credenziali

Nell'ultimo passaggio della procedura guidata, seleziona i valori delle credenziali. Con Azure Key Vault sono supportati due tipi di autenticazioni:

1. Nome utente e password: il segreto custodito nel vault è una password.
2. Autenticazione basata su certificato: il segreto archiviato nel vault è un certificato.

• Nome utente: per selezionare un nome utente, puoi utilizzare il menu a discesa. Se non disponi di variabili di ambiente, seleziona Nuovo:

  • Nome visualizzato. Immetti un nome per la variabile di ambiente.

  • Nome. Il nome univoco viene generato automaticamente da Nome visualizzato, ma puoi cambiarlo.

  • Valore. Popola il nome visualizzato dell'utente. Per gli utenti locali, fornisci il nome utente. Per gli utenti del dominio, fornisci <DOMAIN\username> oppure <username@domain.com>.

    

Nota

Il nome utente delle credenziali è una variabile di ambiente di testo. Puoi anche creare una variabile di testo dalla pagina delle soluzioni e selezionarla come nome utente.

• Password: per selezionare una password, puoi utilizzare il menu a discesa. Se non disponi di variabili di ambiente per i segreti, seleziona Nuovo:
  • Nome visualizzato. Immetti un nome per la variabile di ambiente.
  • Nome. Il nome univoco viene generato automaticamente da Nome visualizzato, ma puoi cambiarlo.
  • ID sottoscrizione di Azure: ID della sottoscrizione di Azure associato all'insieme di credenziali delle chiavi.
  • Nome gruppo di risorse. Gruppo di risorse di Azure in cui si trova l'insieme di credenziali delle chiavi che contiene il segreto.
  • Nome Azure Key Vault. Nome dell'insieme di credenziali delle chiavi che contiene il segreto.
  • Nome segreto. Nome del segreto presente in Azure Key Vault.

Nota

L'ID sottoscrizione, il nome del gruppo di risorse e il nome dell'insieme di credenziali delle chiavi sono disponibili nella pagina Panoramica dell'insieme di credenziali delle chiavi del portale di Azure. Il nome del segreto può essere trovato nella pagina dell'insieme di credenziali delle chiavi nel portale di Azure selezionando Segreti in Impostazioni. La convalida dell'accesso utente per il segreto viene eseguita in background. Se l'utente non dispone almeno dell'autorizzazione di lettura, viene visualizzato questo errore di convalida: "Questa variabile non è stata salvata correttamente. L'utente non è autorizzato a leggere i segreti dal "percorso Azure Key Vault". "Le password utilizzano variabili di ambiente dei segreti. Puoi anche creare una variabile per i segreti dalla pagina delle soluzioni e selezionarla come password.

Creare connessioni a flussi desktop usando credenziali

Nota: per il momento le credenziali sono supportate solo nelle connessioni a un flusso desktop.

Puoi ora usare le credenziali in Connessioni a flussi desktop

Visualizza dove vengono utilizzati i segreti

Dalla pagina Soluzioni è possibile recuperare tutte le dipendenze delle variabili di ambiente segrete. Ciò consente di comprendere dove vengono usati i segreti di Azure Key Vault prima di modificarli.

• Seleziona una variabile ambiente.
• Seleziona l'opzione avanzata e seleziona Mostra dipendenze.
• Puoi vedere:
  • Le credenziali che utilizzano questa variabile di ambiente.
  • Le connessioni utilizzano questa variabile di ambiente.

Condividi una credenziale

Puoi condividere le credenziali in tuo possesso con altri utenti della tua organizzazione e concedere a tali utenti autorizzazioni specifiche per l'accesso.

1. Accedi a Power Automate, quindi vai a Credenziali.
2. Seleziona le credenziali dall'elenco di credenziali.
3. Dalla barra dei comandi, seleziona Condividi.
4. Seleziona Aggiungi utenti, immetti il nome della persona nella tua organizzazione con cui desideri condividere le credenziali e seleziona il ruolo che desideri concedere a questo utente:
   • Comproprietario (può modificare). Questo livello di accesso fornisce autorizzazioni complete a tali credenziali. I comproprietari possono usare le credenziali, condividerle con altri utenti, modificarne i dettagli ed eliminarle.
   • Utente (può solo visualizzare). Questo livello di accesso fornisce solo le autorizzazioni per utilizzare tali credenziali. Con questo accesso non sono possibili autorizzazioni di modifica, condivisione o eliminazione.
   • Utente (può visualizzare e condividere). Questo livello di accesso è lo stesso dell'opzione di sola visualizzazione, ma dà l'autorizzazione a Condividi.
5. Seleziona Salva.

Nota

Condividendo la credenziale, vengono condivise anche tutte le variabili di ambiente utilizzate nella credenziale. La rimozione delle autorizzazioni su alcune credenziali non rimuove le autorizzazioni sulle variabili di ambiente.

Eliminare credenziali

1. Accedi a Power Automate, quindi vai a Credenziali.
2. Dall'elenco, seleziona le credenziali che desideri eliminare, quindi seleziona Elimina computer sulla barra dei comandi.

Nota

L'eliminazione di credenziali non elimina le variabili di ambiente associate.

Esportare una connessione a flussi desktop usando credenziali

Nota

Dovresti prima leggere l'articolo su ALM per i flussi desktop.

Puoi esportare un flusso cloud con una connessione al flusso desktop utilizzando le credenziali. È necessario importare prima la soluzione contenente le credenziali e le relative variabili di ambiente, quindi importare quella contenente il flusso cloud e il flusso desktop.

Limiti

• Attualmente, questa funzionalità è disponibile solo per le connessioni del flusso desktop.
• Non è possibile modificare il nome utente e il segreto selezionati in una credenziale esistente. Se si vuole modificare il valore del nome utente e della password, è necessario aggiornare le variabili di ambiente o il segreto di Azure Key Vault.

Aggiorna un segreto (rotazione della password): deprecato

Nota

Questa sezione è ora deprecata per le connessioni di flusso desktop. Le connessioni del flusso desktop che utilizzano le credenziali ora recuperano i segreti durante l'esecuzione del flusso. Non è più necessario creare questo flusso personalizzato per aggiornare le connessioni. Le connessioni che utilizzano credenziali create prima di aprile 2024 devono essere aggiornate per beneficiare dell'aggiornamento automatico.

Prerequisiti per l'aggiornamento di un segreto (rotazione delle password)

• Assicurarsi che Griglia di eventi sia registrata come provider di risorse in Azure. Altre informazioni sui provider delle risorse.
• Garantire agli utenti che utilizzano il trigger Griglia di eventi in Power Automate di disporre delle autorizzazioni contributore per la griglia di eventi. Ulteriori informazioni

Nota

Questa sezione richiede autorizzazioni specifiche come quelle di amministratore di sistema dell'organizzazione, altrimenti verranno aggiornate solo le connessioni al flusso desktop.

Crea un flusso cloud utilizzando il trigger Griglia di eventi

Quando si modificano i segreti in Azure Key Vault, è necessario assicurarsi che le credenziali e le connessioni che usano questi segreti siano sempre aggiornate per evitare di interrompere le automazioni. In Power Automate è necessario creare un flusso cloud che aggiorni le credenziali quando i segreti vengono modificati in Azure Key Vault.

Questo flusso cloud contiene un trigger e un'azione:

1. Trigger: quando si verifica un evento relativo alla risorsa (griglia di eventi)
   • Tipo di risorsa: Microsoft.KeyVault.vaults
   • Nome risorsa: fornire il nome dell'insieme di credenziali delle chiavi.
   • Sottoscrizione: fornire il nome della sottoscrizione.
   • Tipo di evento: Microsoft.KeyVault.SecretNewVersionCreated
2. Azione: eseguire un'azione non associata (Dataverse)
   • Nome dell'azione: NotifyEnvironmentVariableSecretChange
   • KeyVaultUrl: Argomento
   • Nome segreto: Oggetto

Se usi un Key Vault per tutti i segreti, è necessario un solo flusso cloud. Se disponi di più Key Vault, è necessario duplicare il flusso cloud e aggiornare il nome della risorsa.

Per garantire che il flusso cloud funzioni correttamente con Azure Key Vault:

1. Vai al Key Vault.
2. Seleziona Eventi.
3. In Sottoscrizioni eventi, controlla se puoi vedere un webhook LogicApps.