Partilhar via

Utilizar variáveis de ambiente para segredos do Azure Key Vault

  • Artigo

As variáveis de ambiente permitem a referência aos segredos armazenados no Azure Key Vault. Estes segredos são então disponibilizados para utilização em fluxos e conectores personalizados do Power Automate. Repare que os segredos não estão disponíveis para utilização noutras personalizações ou, geralmente, através da API.

Os segredos reais só são armazenados no Azure Key Vault e a variável de ambiente referencia a localização do segredo do Key Vault. A utilização de segredos do Azure Key Vault com variáveis de ambiente requer que configure o Azure Key Vault para que o Power Platform possa ler os segredos específicos que pretende referenciar.

As variáveis de ambiente que fazem referência a segredos não estão atualmente disponíveis no seletor de conteúdo dinâmico para uso em Power Automate fluxos.

Configurar o Azure Key Vault

Para usar os segredos Power Platform do Cofre da Chave Azure, a assinatura Azure que tem o cofre deve ter o PowerPlatform provedor de recursos registrado e o utente que cria a variável de ambiente deve ter permissões apropriadas para o recurso do Cofre da Chave Azure.

Importante

  • Há alterações recentes no direito de acesso usado para afirmar permissões de acesso no Azure Key Vault. As instruções anteriores incluíam a atribuição da função de Leitor do Key Vault. Se você configurou seu cofre de chaves anteriormente com a função Leitor Cofre de Chaves, certifique-se de adicionar a função Usuário de Segredos do Cofre de Chaves para garantir que seus usuários tenham Microsoft Dataverse permissão suficiente para recuperar os segredos.
  • Reconhecemos que o nosso serviço está a utilizar API de controlo de acesso baseado em funções do Azure para avaliar a atribuição de direito de acesso mesmo que ainda tenha o seu cofre de chaves configurado para utilizar o modelo de permissão de política de acesso ao cofre. Para simplificar a configuração, recomendamos que mude o modelo de permissão do cofre para o controlo de acesso baseado em funções do Azure. Você pode fazer isso na guia Configuração do Access.

  1. Registe o fornecedor de Microsoft.PowerPlatform recursos na sua subscrição Azure. Siga estas etapas para verificar e configurar: Provedores de recursos e tipos de recursos

    Registe o Power Platform fornecedor em Azure

  2. Crie um cofre do Azure Key Vault. Considere utilizar um cofre separado para cada ambiente do Power Platform para minimizar a ameaça em caso de falha de segurança. Considere configurar seu cofre de chaves para usar o controle de acesso baseado em função Azure para o modelo de Permissão. Para obter mais informações: Práticas recomendadas para usar o Cofre de Chaves Azure,Guia de início rápido - Criar um Cofre de Chaves Azure com o portal Azure

  3. Os utilizadores que criarem ou utilizarem variáveis de ambiente do tipo segredo têm de ter permissão para obterem o conteúdo do segredo. Para conceder a um novo utente a capacidade de usar o segredo, selecione a área Controle de acesso (IAM), selecione Adicionar e, em seguida, selecione Adicionar atribuição de função na lista suspensa. Para obter mais informações: Forneça acesso a chaves, certificados e segredos do Cofre de Chaves com um controle de acesso baseado em função Azure

    Ver o meu acesso em Azure

  4. No assistente Adicionar atribuição de função , deixe o tipo de atribuição padrão como Funções de função de trabalho e continue na guia Função . Localize a função Usuário dos Segredos do Cofre da Chave e selecione-a. Continue para a guia membros e selecione o link Selecionar membros e localize o utente no painel lateral. Quando tiver o utilizador selecionado e apresentado na secção de membros, continue no separador rever e atribuir e conclua o assistente.

  5. Azure O Cofre de Chaves deve ter a função de Usuário de Segredos do Cofre de Chaves concedida à entidade de Dataverse serviço. Se não existir para este cofre, adicione uma nova política de acesso utilizando o mesmo método que utilizou anteriormente para a permissão de utilizador final, utilizando apenas a identidade da aplicação do Dataverse em vez de utilizar o utilizador. Se tiver vários principais de serviço do Dataverse no inquilino, recomendamos que os selecione a todos e guarde a atribuição de função. Depois de atribuída a função, reveja cada item listado do Dataverse na lista de atribuições de funções e selecione o nome Dataverse para ver os detalhes. Se a ID do aplicativo não 00000007-0000-0000-c000-000000000000** estiver, selecione a identidade e, em seguida, selecione Remover para removê-la da lista.

  6. Se tiver ativado Azure Key Vault Firewall, tem de permitir o Power Platform acesso de endereços IP ao seu cofre de chaves. O Power Platform não está incluído na opção "Só Serviços Fidedignos". Vá para Power Platform URLs e intervalos de endereços IP para os endereços IP atuais usados no serviço.

  7. Se ainda não o fez, adicione um segredo ao seu novo cofre. Para obter mais informações: Azure Guia de início rápido - Definir e recuperar um segredo do Cofre da Chave usando o portal Azure

Criar uma nova variável de ambiente para o segredo do Key Vault

Uma vez configurado o Azure Key Vault e tiver um segredo registado no seu cofre, pode agora referenciá-lo dentro do Power Apps utilizando uma variável de ambiente.

Nota

  • A validação de acesso ao utilizador para o segredo é efetuada em segundo plano. Se o utilizador não tiver, pelo menos, permissão de leitura, este erro de validação é apresentado: "Esta variável não foi guardada corretamente. O utilizador não está autorizado a ler segredos do "Caminho do Azure Key Vault"."
  • Atualmente, o Azure Key Vault é a única loja de segredos que é suportada com variáveis de ambiente.
  • O Azure Key Vault tem de estar no mesmo inquilino que a subscrição do Power Platform.

  1. Inicie sessão e Power Apps, na área Soluções , abra a solução não gerida que está a utilizar para desenvolvimento.

  2. Selecione Nova>variável> MaisAmbiente.

  3. Insira a nome a apresentar e, opcionalmente, uma Descrição para a variável de ambiente.

  4. Selecione o Tipo de Dados como Segredo e Armazenamento Secreto como Azure Cofre de Chaves.

  5. Escolha entre as seguintes opções:

    • Selecione Nova referência de valor Azure Key Vault. Depois que as informações são adicionadas na próxima passo e salvas, um registro de valor de variável de ambiente é criado.
    • Expanda Mostrar valor padrão para exibir os campos para criar um segredo padrão do Cofre da Chave Azure. Depois que as informações são adicionadas na próxima passo e salvas, a demarcação de valor padrão é adicionada ao registro de definição de variável de ambiente.

  6. Introduza as informações seguintes:

    • Azure ID da Subscrição: O ID de subscrição Azure associado ao cofre da chave.

    • Nome do Grupo de Recursos: O grupo de recursos Azure onde o cofre de chaves que contém o segredo está localizado.

    • Azure Nome do Cofre da Chave: O nome do cofre da chave que contém o segredo.

    • Nome Secreto: O nome do segredo localizado em Azure Key Vault.

      Gorjeta

      O ID de subscrição, o nome do grupo de recursos e o nome do cofre de chaves podem ser encontrados na página Descrição geral do portal do Azure do cofre de chaves. O nome do segredo pode ser encontrado na página do cofre de chaves no portal do Azure selecionando Segredos sob Definições.

  7. Selecione Guardar.

Criar um fluxo do Power Automate para testar o segredo da variável de ambiente

Um cenário simples para demonstrar como usar um segredo obtido a partir do Azure Key Vault é criar um fluxo do Power Automate para usar o segredo para autenticar contra um serviço Web.

Nota

O URI para o serviço Web neste exemplo não é um serviço Web funcional.

  1. Power Appsinicie sessão, selecione Soluções e, em seguida, abra a solução não gerida que pretende. Se o item não estiver no painel lateral, selecione ...Mais e, em seguida, selecione o item pretendido.

  2. Selecione Novo>Automatização>Fluxo de cloud>Instantâneo.

  3. Insira um nome para o fluxo, selecione Acionar manualmente um fluxo e, em seguida, selecione Criar.

  4. Selecione Novo passo, selecione o Microsoft Dataverse conector e, na guia Ações , selecione Executar uma ação não acoplada.

  5. Selecione a ação chamada RetrieveEnvironmentVariableSecretValue na lista suspensa.

  6. Forneça o nome exclusivo da variável de ambiente (não o nome a apresentar) adicionado na secção anterior, para este exemplo new_TestSecret é usado.

  7. Selecionar ...>Renomeie para renomear a ação para que ela possa ser referenciada mais facilmente na próxima ação. Nesta captura de tela, ele é renomeado para GetSecret.

    Configuração de fluxo instantâneo para testar um segredo de variável de ambiente

  8. Selecionar ...>Configurações para exibir as configurações de ação GetSecret .

  9. Habilite a opção Saídas Seguras nas configurações e selecione Concluído. Isto é para evitar que a saída da ação seja exposta no histórico de execuções do fluxo.

    Ativar a configuração de saídas seguras para a ação

  10. Selecione Novo passo, pesquise e selecione o conector HTTP .

  11. Selecione o Método como GET e insira o URI do serviço Web. Neste exemplo, o serviço Web fictíciohttpbin.org é usado.

  12. Selecione Mostrar opções avançadas, selecione a Autenticação como Básica e insira o Nome de utente.

  13. Selecione o campo Senha e, na guia Conteúdo dinâmico , sob o fluxo passo nome acima (GetSecret neste exemplo), selecione RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, que é adicionado como uma expressão outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] ou body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Criar um novo passo usando o conector HTTP

  14. Selecionar ...>Configurações para exibir as configurações de ação HTTP .

  15. Habilite as opções Entradas e saídas seguras nas configurações e selecione Concluído. A ativação destas opções impede a exposição das entradas e saídas da ação no histórico de execuções do fluxo.

  16. Selecione Salvar para criar o fluxo.

  17. Executar manualmente o fluxo para o testar.

    Utilizar o histórico de execuções do fluxo, as saídas podem ser verificadas.

    Saída de fluxo

Use segredos de variáveis de ambiente em Microsoft Copilot Studio

A variável ambiente secreta no Microsoft Copilot Studio trabalho de forma um pouco diferente. Você precisa executar as etapas nas seções em Configurar Azure Key Vault e Criar uma nova variável de ambiente para o segredo do Key Vault para usar segredos com variáveis de ambiente.

Dê Copilot Studio acesso ao Cofre da Chave Azure

Siga estes passos:

  1. Volte ao seu Cofre da Chave Azure.

  2. Copilot Studio precisa de acesso ao cofre de chaves. Para conceder Copilot Studio a capacidade de usar o segredo, selecione Controle de acesso (IAM) na navegação à esquerda, selecione Adicionar e, em seguida, selecione Adicionar atribuição de função.

    Ver o meu acesso em Azure

  3. Selecione a função Usuário dos Segredos do Cofre da Chave e selecione Avançar.

  4. Selecione Selecionar Membros, procure Power Virtual Agents Serviço, selecione-o e, em seguida, escolha Selecionar.

  5. Selecione Rever + atribuir na parte inferior do ecrã. Reveja as informações e selecione Rever + atribuir novamente se tudo estiver correto.

Adicione uma tag para permitir que um copiloto acesse o segredo no Cofre da Chave Azure

Ao concluir as etapas anteriores nesta secção, Copilot Studio agora tem acesso ao Cofre da Chave Azure, mas você ainda não pode usá-lo. Para concluir a tarefa, siga estes passos:

  1. Vá para Microsoft Copilot Studio e abra o agente que você deseja usar para o segredo da variável de ambiente ou crie um novo.

  2. Abra um agente tópico ou crie um novo.

  3. Selecione o + ícone para adicionar um nó e, em seguida, selecione Enviar uma mensagem.

  4. Selecione a opção Inserir variável {x} no nó Enviar uma mensagem .

  5. Selecione a guia Ambiente . Selecione o segredo da variável de ambiente que você criou na secção Criar uma nova variável de ambiente para o segredo do Cofre da Chave passo.

  6. Selecione Salvar para salvar sua tópico.

  7. No painel de teste, teste seu tópico usando uma das frases iniciais do tópico onde você acabou de adicionar o nó Enviar uma mensagem com a variável de ambiente secret. Você deve encontrar um erro parecido com este:

    Mensagem de erro: Bot não tem permissão para usar variável de ambiente. Para adicionar o bot à lista de permissões, adicione uma tag 'AllowedBots' com valor.

    Isso significa que você precisa voltar para Azure Key Vault e editar o segredo. Deixe Copilot Studio em aberto, porque você volta aqui mais tarde.

  8. Vá para Azure Key Vault. Na navegação à esquerda, selecione Segredos em Objetos. Selecione o segredo que deseja disponibilizar selecionando Copilot Studio o nome.

  9. Selecione a versão do segredo.

  10. Selecione 0 tags ao lado de Tags. Adicione um nome de tag e um valor de tag. A mensagem de erro em Copilot Studio deve fornecer os valores exatos dessas duas propriedades. Em Nome da tag você precisa adicionar AllowedBots e em Valor da tag você precisa adicionar o valor que foi exibido na mensagem de erro. Esse valor é formatado como {envId}/{schemaName}. Se houver vários copilots que precisam ser permitidos, separe os valores com uma vírgula. Quando terminar, selecione OK.

  11. Selecione Aplicar para aplicar a tag ao segredo.

  12. Volte para Copilot Studio. Selecione Atualizar no painel Testar seu copiloto .

  13. No painel de teste, teste seu tópico novamente usando uma das frases iniciais do tópico.

O valor do seu segredo deve ser mostrado no painel de teste.

Adicione uma tag para permitir que todos os copilots em um ambiente acessem o segredo no Cofre da Chave Azure

Como alternativa, você pode permitir que todos os copilots em um ambiente acessem o segredo no Azure Key Vault. Para concluir a tarefa, siga estes passos:

  1. Vá para Azure Key Vault. Na navegação à esquerda, selecione Segredos em Objetos. Selecione o segredo que deseja disponibilizar selecionando Copilot Studio o nome.
  2. Selecione a versão do segredo.
  3. Selecione 0 tags ao lado de Tags. Adicione um nome de tag e um valor de tag. Em Nome da Etiqueta, adicione AllowedEnvironments e, em Valor da Etiqueta , adicione o ID do ambiente que pretende permitir. Quando terminar, selecione OK
  4. Selecione Aplicar para aplicar a tag ao segredo.

Limitação

As variáveis de ambiente que fazem referência aos segredos do Cofre da Chave Azure estão atualmente limitadas para uso com Power Automate fluxos, Copilot Studio agentes e conectores personalizados.

Veja também

Usar variáveis de ambiente de origem de dados em aplicações de tela
Usar variáveis de ambiente em fluxos de cloud da solução Power Automate
Visão geral das variáveis de ambiente.