Uźywanie zmiennych środowiskowych dla wpisów tajnych Azure Key Vault

Zmienne środowiskowe umożliwiają odwoływanie się do wpisów tajnych przechowywanych w magazynie Azure Key Vault. Te wpisy tajne są następnie dostępne do użytku z przepływami usługi Power Automate i łącznikami niestandardowymi. Należy zauważyć, że wpisy tajne nie są dostępne do użycia w innych dostosowaniach ani ogólnie za pośrednictwem interfejsu API.

Rzeczywiste klucze tajne są przechowywane w Azure Key Vault, a zmienna środowiskowa odwołuje się do lokalizacji klucza tajnego magazynu kluczy. Używanie wpisów tajnych magazynu Azure Key Vault ze zmiennymi środowiskowymi wymaga skonfigurowania magazynu Azure Key Vault tak, aby usługa Power Platform mogła odczytywać konkretne wpisy tajne, do których chcesz się odwołać.

Zmienne środowiskowe odwołujące się do wpisów tajnych nie są obecnie dostępne w selektorze zawartości dynamicznej do użycia w Power Automate przepływach.

Konfigurowanie usługi Azure Key Vault

Aby używać Azure wpisów tajnych Power Platform Key Vault, subskrypcja Azure, która ma magazyn, musi mieć PowerPlatform zarejestrowanego dostawcę zasobów, a użytkownik, który tworzy zmienną środowiskową, musi mieć odpowiednie uprawnienia do Azure zasobu Key Vault.

Ważne

• Istnieją ostatnie zmiany w rola zabezpieczeń używanej do potwierdzania uprawnień dostępu w Azure Key Vault. Poprzednie instrukcje obejmowały przypisanie roli osoba mogąca uzyskiwać dostęp do Key Vault. Jeśli magazyn kluczy został wcześniej skonfigurowany przy użyciu roli Czytelnik Key Vault, upewnij się, że dodasz rolę użytkownika Key Vault Secrets, aby upewnić się, że użytkownicy i Microsoft Dataverse mają wystarczające uprawnienia do pobierania wpisów tajnych.
• Uznajemy, że nasza usługa używa interfejsów API kontroli dostępu opartych na rolach Azure do oceny przypisania roli bezpieczeństwa, nawet jeśli nadal masz swój magazyn kluczy skonfigurowany do korzystania z modelu uprawnień polityki dostępu do niego. Aby uprościć konfigurację, zaleciliśmy przełączenie modelu uprawnień skarbca na kontrolę dostępu opartą na rolach Azure. Możesz to zrobić na karcie Konfiguracja dostępu.

1. Zarejestruj Microsoft.PowerPlatform dostawcę zasobów w subskrypcji Azure. Wykonaj następujące kroki, aby zweryfikować i skonfigurować: Dostawcy zasobów i typy zasobów

   

2. Utwórz magazyn Azure Key Vault. Warto rozważyć zastosowanie oddzielnego magazynu dla każdego środowiska usługi Power Platform w celu zminimalizowania zagrożeń w przypadku naruszeń bezpieczeństwa. Rozważ skonfigurowanie magazynu kluczy do używania Azure kontroli dostępu opartej na rolach dla modelu uprawnień. Więcej informacji: Najlepsze rozwiązania dotyczące korzystania z Azure Key Vault,Szybki start — tworzenie Azure Key Vault za pomocą portalu Azure

3. Użytkownicy, którzy tworzą lub używają zmiennych środowiskowych typu Wpis tajny, muszą mieć uprawnienia do pobierania tego typu treści. Aby przyznać nowemu użytkownikowi możliwość korzystania z wpisu tajnego, wybierz obszar Kontrola dostępu (IAM), wybierz pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli z listy rozwijanej. Więcej informacji: Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych Key Vault za pomocą Azure kontroli dostępu opartej na rolach

   

4. W kreatorze Dodawanie przypisania roli pozostaw domyślny typ przypisania jako Role funkcji zadania i przejdź do karty Rola . Znajdź rolę użytkownika Wpisy tajne Key Vault i wybierz ją. Przejdź do zakładki członkowie i wybierz połączenie Wybierz członków i znajdź użytkownika w panelu bocznym. Po wybraniu użytkownika i pokazaniu go w sekcji członków, przejdź do zakładki Przegląd i przydzielanie i zakończ pracę kreatora.

5. Azure Key Vault musi mieć rolę użytkownika Key Vault Secrets przyznaną Dataverse jednostce usługi. Jeśli nie istnieje dla tego skarbca, dodaj nową politykę dostępu używając tej samej metody, której użyłeś wcześniej dla uprawnienia użytkownika końcowego, tylko używając tożsamości aplikacji Dataverse zamiast użytkownika. Jeśli w dzierżawie znajduje się wiele podmiotów usługi Dataverse, zalecamy wybranie ich wszystkich i zapisanie przypisania roli. Po przypisaniu roli przejrzyj każdą pozycję Dataverse wymienioną na liście przypisań roli i wybierz nazwę Dataverse, aby zobaczyć szczegóły. Jeśli identyfikator aplikacji nie 00000007-0000-0000-c000-000000000000** jest równy, wybierz tożsamość, a następnie wybierz pozycję Usuń , aby usunąć ją z listy.

6. Jeśli włączono zaporę Azure Key Vault, musisz zezwolić Power Platform adresom IP na dostęp do magazynu kluczy. Power Platform nie jest uwzględniona w opcji „Tylko zaufane usługi”. Przejdź do Power Platform adresów URL i zakresów adresów IP dla bieżących adresów IP używanych w usłudze.

7. Jeśli nie zostało to jeszcze zrobione, dodaj do nowego magazynu wpis tajny. Więcej informacji: Azure Szybki start — ustawianie i pobieranie wpisu tajnego z Key Vault przy użyciu portalu Azure

Tworzenie nowej zmiennej środowiskowej dla wpisu tajnego magazynu Key Vault

Po skonfigurowaniu magazynu Azure Key Vault i zarejestrowaniu wpisu tajnego w magazynie można odwoływać się go niego w aplikacji Power Apps za pomocą zmiennej środowiskowej.

Notatka

• Sprawdzanie poprawności dostępu użytkownika dla wpisu tajnego jest wykonywane w tle. Jeśli użytkownik nie ma uprawnień przynajmniej do odczytu, zostanie wyświetlony następujący błąd sprawdzania poprawności: „Ta zmienna nie została poprawnie zapisana. Użytkownik nie ma uprawnień do odczytu wpisów tajnych ze „ścieżki Azure Key Vault”.”
• Obecnie usługa Azure Key Vault jest jedynym magazynem wpisów tajnych, który jest obsługiwany w zmiennych środowiskowych.
• Azure Key Vault musi być w tej samej dzierżawie, co subskrypcja Power Platform.

1. Zaloguj się Power Apps, a następnie w obszarze Rozwiązania otwórz rozwiązanie niezarządzane, którego używasz do programowania.

2. Wybierz pozycję Nowa>zmienna środowiskowa Więcej>.

3. WprowadźWyświetlana nazwai opcjonalnie Opis zmiennej środowiskowej.

4. Wybierz typ danych jako Wpis tajny i Magazyn wpisów tajnych jako Azure Key Vault.

5. Wybierz jedną z następujących opcji:

   • Wybierz pozycję Nowe Azure odwołanie do wartości Key Vault. Po dodaniu informacji w następnym kroku i zapisaniu go tworzony jest rekord wartości zmiennej środowiskowej.
   • Rozwiń węzeł Pokaż wartość domyślną, aby wyświetlić pola w celu utworzenia domyślnego wpisu tajnego Azure Key Vault. Po dodaniu informacji w następnym kroku i zapisaniu do rekordu definicji zmiennej środowiskowej dodawane jest rozgraniczenie wartości domyślnej.

6. Wprowadź następujące informacje:

   • Azure Identyfikator subskrypcji: identyfikator subskrypcji Azure skojarzony z magazynem kluczy.

   • Nazwa grupy zasobów: Azure grupa zasobów, w której znajduje się magazyn kluczy zawierający wpis tajny.

   • Azure Nazwa magazynu kluczy: nazwa magazynu kluczy, który zawiera wpis tajny.

   • Nazwa wpisu tajnego: nazwa wpisu tajnego znajdującego się w Azure Key Vault.

     Porada

     Identyfikator subskrypcji, nazwa grupy zasobów i nazwa magazynu kluczy można znaleźć na stronie Omówienie portalu Azure w magazynie kluczy. Nazwę wpisu tajnego można znaleźć na stronie magazynu kluczy w portalu Azure, wybierając pozycję Wpisy tajne w obszarze Ustawienia.

7. Wybierz pozycję Zapisz.

Tworzenie przepływu Power Automate w celu testowania wpisu tajnego zmiennej środowiskowej

Prosty scenariusz do zademonstrowania użycia wpisu tajnego uzyskanego z magazynu Azure Key Vault to utworzenie przepływu Power Automate, który będzie używać wpisu tajnego w celu uwierzytelnienia w usłudze sieci Web.

Notatka

Identyfikator URI usługi w sieci Web w tym przykładzie nie jest aktywną usługą sieci Web.

1. Zaloguj się Power Apps, wybierz pozycję Rozwiązania, a następnie otwórz żądane rozwiązanie niezarządzane. Jeśli elementu nie ma w okienku panelu bocznego, wybierz …Więcej, a następnie wybierz żądany element.

2. Wybierz Nowe>Automatyzacja>Przepływ w chmurze>Błyskawiczne.

3. Wprowadź nazwę przepływu, wybierz pozycję Ręcznie wyzwól przepływ, a następnie wybierz pozycję Utwórz.

4. Wybierz pozycję Nowy krok, wybierz łącznik, a Microsoft Dataverse następnie na karcie Akcje wybierz pozycję Wykonaj akcję niepowiązaną.

5. Wybierz akcję o nazwie RetrieveEnvironmentVariableSecretValue z listy rozwijanej.

6. Podaj unikatową nazwę zmiennej środowiskowej (nie wyświetlana nazwa) dodaną w poprzedniej sekcji, w tym przykładzie jest używana new_TestSecret .

7. Wybierz ...>Zmień nazwę , aby zmienić nazwę akcji, tak aby można było łatwiej odwoływać się do niej w następnej akcji. Na tym zrzucie ekranu nazwa została zmieniona na GetSecret.

   

8. Wybierz ...>Ustawienia , aby wyświetlić ustawienia akcji GetSecret .

9. Włącz opcję Bezpieczne wyjścia w ustawieniach , a następnie wybierz pozycję Gotowe. Ma to zapobiec poznaniu wyniku akcji w historii uruchomienia przepływu.

   

10. Wybierz pozycję Nowy krok, wyszukaj i wybierz łącznik HTTP .

11. Wybierz metodę jako GET i wprowadź identyfikator URI usługi internetowej. W tym przykładzie używana jest fikcyjna usługa internetowahttpbin.org .

12. Wybierz pozycję Pokaż opcje zaawansowane, wybierz uwierzytelnianie jako podstawowe, a następnie wprowadź nazwę użytkownika.

13. Wybierz pole Hasło , a następnie na karcie Zawartość dynamiczna pod nazwą kroku przepływu powyżej (GetSecret w tym przykładzie) wybierz pozycję RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, która jest następnie dodawana jako wyrażenie outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] lub body('GetSecretTest')['EnvironmentVariableSecretValue'].

    

14. Wybierz ...>Ustawienia , aby wyświetlić ustawienia akcji HTTP .

15. Włącz opcje Bezpieczne wejścia i Bezpieczne wyjścia w ustawieniach, a następnie wybierz pozycję Gotowe. Włączenie tych opcji zapobiega ujawnieniu danych wejściowych i wyjściowych akcji w historii uruchomienia przepływu.

16. Wybierz pozycję Zapisz , aby utworzyć przepływ.

17. Ręcznie uruchom przepływ, aby go przetestować.

    Korzystając z historii uruchamiania przepływu można sprawdzić wyniki pracy.

    

Używanie wpisów tajnych zmiennych środowiskowych w Microsoft Copilot Studio

Wpisy tajne zmiennych środowiskowych działają Microsoft Copilot Studio nieco inaczej. Musisz wykonać kroki opisane w sekcjach Konfigurowanie Azure Key Vault i Tworzenie nowej zmiennej środowiskowej dla wpisu tajnego Key Vault, aby używać wpisów tajnych ze zmiennymi środowiskowymi.

Udzielanie Copilot Studio dostępu do Azure Key Vault

Wykonaj te kroki:

1. Wróć do Azure Key Vault.

2. Copilot Studio Wymaga dostępu do magazynu kluczy. Aby przyznać Copilot Studio możliwość korzystania z wpisu tajnego, wybierz pozycję Kontrola dostępu (IAM) w obszarze nawigacji po lewej stronie, wybierz pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.

   

3. Wybierz rolę użytkownika Wpisy tajne Key Vault, a następnie wybierz przycisk Dalej.

4. Wybierz pozycję Wybierz członków, wyszukaj pozycję Power Virtual Agents Usługa, wybierz ją, a następnie wybierz pozycję Wybierz.

5. Wybierz pozycję Przegląd + przypisanie w dolnej części ekranu. Przejrzyj informacje i wybierz pozycję Przegląd + przypisz ponownie, jeśli wszystko jest poprawne.

Dodawanie tagu, aby zezwolić pomocnik na dostęp do wpisu tajnego w Azure Key Vault

Wykonując poprzednie kroki w tej sekcji, Copilot Studio ma teraz dostęp do Azure Key Vault, ale nie możesz jeszcze z niego korzystać. Aby wykonać zadanie, wykonaj następujące kroki:

1. Przejdź do Microsoft Copilot Studio agent, którego chcesz użyć dla zmiennej środowiskowej tajnej, i otwórz ją, lub utwórz nową.

2. Otwórz agent temat lub utwórz nowy.

3. Wybierz ikonę + , aby dodać węzeł, a następnie wybierz pozycję Wyślij wiadomość.

4. Wybierz opcję Wstaw zmienną {x} w węźle Wyślij wiadomość .

5. Wybierz kartę Środowisko . Wybierz wpis tajny zmiennej środowiskowej utworzony w kroku Tworzenie nowej zmiennej środowiskowej dla klucza tajnego Key Vault.

6. Wybierz pozycję Zapisz , aby zapisać temat.

7. W okienku testu przetestuj temat przy użyciu jednej z fraz początkowych tematu, w którym właśnie dodano węzeł Wyślij wiadomość ze zmiennym środowiskowym wpisem tajnym. Powinien pojawić się błąd, który wygląda następująco:

   

   Oznacza to, że musisz wrócić do Azure Key Vault i edytować wpis tajny. Zostaw Copilot Studio otwarte, bo wrócisz tu później.

8. Przejdź do Azure Key Vault. W obszarze nawigacji po lewej stronie wybierz pozycję Wpisy tajne w obszarze Obiekty . Wybierz wpis tajny, w Copilot Studio którym chcesz go udostępnić, wybierając jego nazwę.

9. Wybierz wersję wpisu tajnego.

10. Wybierz 0 tagów obok opcji Tagi. Dodaj nazwę tagu i wartość tagu . Komunikat o błędzie w Copilot Studio powinien podać dokładne wartości tych dwóch właściwości. W polu Nazwa tagu należy dodać AllowedBots , a w polu Wartość tagu należy dodać wartość, która została wyświetlona w komunikacie o błędzie. Ta wartość jest sformatowana jako {envId}/{schemaName}. Jeśli istnieje wielu pilotów, którzy muszą być dozwoleni, oddziel wartości przecinkami. Gdy skończysz kliknij OK.

11. Wybierz pozycję Zastosuj , aby zastosować tag do wpisu tajnego.

12. Wróć do Copilot Studio. Wybierz pozycję Odśwież w okienku Testowanie pomocnik .

13. W okienku testu ponownie przetestuj temat, używając jednej z fraz początkowych tematu.

Wartość wpisu tajnego powinna być pokazana w panelu testowym.

Dodawanie tagu, aby zezwolić wszystkim pilotom w środowisku na dostęp do wpisu tajnego w Azure Key Vault

Alternatywnie możesz zezwolić wszystkim pilotom w środowisku na dostęp do wpisu tajnego w Azure Key Vault. Aby wykonać zadanie, wykonaj następujące kroki:

1. Przejdź do Azure Key Vault. W obszarze nawigacji po lewej stronie wybierz pozycję Wpisy tajne w obszarze Obiekty . Wybierz wpis tajny, w Copilot Studio którym chcesz go udostępnić, wybierając jego nazwę.
2. Wybierz wersję wpisu tajnego.
3. Wybierz 0 tagów obok opcji Tagi. Dodaj nazwę tagu i wartość tagu . W obszarze Nazwa tagu dodaj wartość AllowedEnvironments , a w polu Wartość tagu dodaj identyfikator środowiska, na które chcesz zezwolić. Po zakończeniu wybierz przycisk OK
4. Wybierz pozycję Zastosuj , aby zastosować tag do wpisu tajnego.

Ograniczenie

Zmienne środowiskowe odwołujące się do wpisów tajnych Azure Key Vault są obecnie ograniczone do użycia z Power Automate przepływami Copilot Studio , agentami i łącznikami niestandardowymi.

Zobacz też

Używanie źródła danych środowiska w aplikacjach kanw
Używanie zmiennych środowiska w przepływach Power Automate w chmurze
Omówienie zmiennych środowiskowych.