Создание учетных данных Azure Key Vault

На странице Учетные данные в Power Automate можно создавать, редактировать и делиться учетными данными для входа с помощью Azure Key Vault и использовать их в подключениях классических потоков.

Вы также можете создать учетные данные с помощью CyberArk® (предварительная версия).

Важно

• В настоящее время эта функция недоступна для облаков для государственных учреждений США.

Предварительные условия

Учетные данные используют секреты, хранящиеся в Azure Key Vault. Чтобы создать учетные данные, администратор должен сначала настроить Azure Key Vault.

Если кратко, администратору необходимо обеспечить:

1. Выполнена регистрация поставщика ресурсов Microsoft Power Platform в подписке Azure.
2. Существует хранилище Azure Key Vault, содержащее секреты, которые будут использоваться в учетных данных.
3. Субъект-служба Dataverse имеет разрешения на использование секретов.
4. Пользователи, создающие переменную среды, имеют соответствующие разрешения для ресурса Azure Key Vault.
5. Среда Power Automate и подписка Azure должны находиться в одном арендаторе.

Чтобы настроить Azure Key Vault, выполните действия, описанные в разделе Настройка Azure Key Vault.

Проверка подлинности на основе сертификата (предварительная версия)

Проверка подлинности на основе сертификата Microsoft Entra ID — это однофакторная проверка подлинности, которая позволяет соответствовать требованиям многофакторной проверки подлинности (MFA). Вместо проверки подлинности на основе пароля используйте аутентификацию на основе сертификатов (CBA), которая проверяет вашу личность на основе цифровых сертификатов.

Чтобы использовать CBA, выполните действия из раздела Настройка проверки подлинности на основе сертификата. В противном случае начните создавать учетные данные.

Создание учетных данных

Чтобы создать учетные данные:

1. Перейдите на страницу Учетные данные. Если страница Учетные данные не отображается , выполните следующие действия:

   1. Выбрать Еще в левой области навигации, затем выберите Узнать обо всем.
   2. В разделе Данные выберите Учетные данные. Вы можете закрепить страницу в левой панели навигации, чтобы сделать ее более доступной.

2. На странице Учетные данные создайте свои первые учетные данные, выбрав Создать учетные данные.

Определение имени учетных данных

Введите следующие сведения для создания ваших учетных данных:

• Имя учетных данных: введите имя для учетных данных
• Описание: (необязательно)

Выбор хранилища учетных данных

1. После выбора Далее выберите Azure Key Vault в качестве хранилища учетных данных.
2. Выберите Подключение в качестве расположения для использования учетных данных. Использование учетных данных в классическом потоке пока не поддерживается в Azure Key Vault.
3. Выберите Azure Key Vault в качестве типа хранилища учетных данных, затем выберите Далее.

Выбор значений учетных данных

На последнем шаге мастера выберите значения учетных данных. В Azure Key Vault поддерживается два типа проверки подлинности:

1. Имя пользователя и пароль: секрет, хранящийся в хранилище, является паролем.
2. Проверка подлинности на основе сертификатов: секрет, хранящийся в хранилище, является сертификатом.

• Имя пользователя: чтобы выбрать имя пользователя, вы можете использовать раскрывающийся список. Если у вас нет переменных среды, выберите Создать:

  • Отображаемое имя. Введите имя для переменной среды.

  • Имя. Уникальное имя автоматически генерируется из значения Отображаемое имя, но вы можете изменить его.

  • Значение. Укажите имя пользователя. Для локальных пользователей укажите имя пользователя. Для пользователей домена укажите <DOMAIN\username> или <username@domain.com>.

    

Заметка

Имя пользователя в учетных данных — это текстовая переменная среды. Вы также можете создать текстовую переменную на странице решений и выбрать ее в качестве имени пользователя.

• Пароль: чтобы выбрать пароль, вы можете использовать раскрывающийся список. Если у вас нет секретных переменных среды, выберите Создать:
  • Отображаемое имя. Введите имя для переменной среды.
  • Имя. Уникальное имя автоматически генерируется из значения Отображаемое имя, но вы можете изменить его.
  • Идентификатор подписки. Идентификатор подписки Azure, связанной с хранилищем ключей.
  • Имя группы ресурсов. Группа ресурсов Azure, где расположено хранилище ключей, содержащее секрет.
  • Имя Azure Key Vault. Имя хранилища ключей, содержащего секрет.
  • Имя секрета. Имя секрета, расположенного в Azure Key Vault.

Заметка

Идентификатор подписки, имя группы ресурсов и имя хранилища ключей можно найти на странице Обзор хранилища ключей портала Azure. Имя секрета можно найти на странице хранилища ключей на портале Azure, выбрав Секреты в разделе Параметры. Проверка доступа пользователя к секрету выполняется в фоновом режиме. Если у пользователя нет разрешения хотя бы на чтение, отображается следующая ошибка проверки: "Эта переменная не сохранилась надлежащим образом. Пользователю не разрешено читать секреты из «Пути к Azure Key Vault». В паролях используются секретные переменные среды. Вы также можете создать секретную переменную на странице решений и выбрать ее в качестве пароля.

Создание подключения классического потока с использованием учетных данных

Примечание. На данный момент учетные данные поддерживаются только в подключениях классических потоков.

Теперь вы можете использовать свои учетные данные в подключениях классических потоков

Посмотреть, где используются секреты

На странице "Решения" вы можете получить все зависимости секретных переменных среды. Это поможет вам понять, где используются ваши секреты Azure Key Vault, прежде чем редактировать их.

• Выберите одну переменную среды.
• Выберите параметр дополнительный и выберите Показать зависимости.
• Вы можете видеть:
  • Учетные данные, использующие эту переменную среды.
  • Подключения, использующие эту переменную среды.

Поделитесь учетными данными

Вы можете поделиться учетными данными с другими пользователями в вашей организации и предоставить этим пользователям определенные разрешения для доступа к ним.

1. Войдите в Power Automate, а затем перейдите в раздел Учетные данные.
2. Выберите ваши учетные данные из списка учетных данных.
3. На панели команд выберите Поделиться.
4. Выберите Добавить людей, введите имя пользователя в вашей организации, с которым вы хотите поделиться учетными данными, а затем выберите роль, которую вы хотите назначить этому пользователю:
   • Совладелец (может редактировать). Этот уровень доступа дает полное разрешение для этих учетных данных. Совладельцы могут использовать учетные данные, предоставлять доступ к ним другим пользователям, редактировать сведения о них, а также могут удалить их.
   • Пользователь (может только просматривать). Этот уровень доступа дает только разрешение на использование этих учетных данных. С этим доступом нельзя редактировать, совместно использовать или удалять.
   • Пользователь (можно просмотреть и поделиться). Этот уровень доступа аналогичен параметру «только просмотр», но он дает разрешение на общий доступ.
5. Выберите Сохранить.

Заметка

При совместном использовании ваших учетных данных все переменные среды, используемые в учетных данных, также становятся общими. Удаление разрешений в отношении учетных данных не удаляет разрешения в отношении переменных среды.

Удалите учетные данные

1. Войдите в Power Automate, а затем перейдите в раздел Учетные данные.
2. Выберите в списке учетные данные, которые вы хотите удалить, а затем выберите Удалить компьютер на панели команд.

Заметка

Удаление учетных данных не приводит к удалению связанных переменных среды.

Экспорт подключения классического потока с использованием учетных данных

Заметка

Сначала вам следует прочитать статью о ALM для классических потоков.

Вы можете экспортировать облачный поток с подключением к классическому потоку, используя учетные данные. Сначала вам следует импортировать решение, содержащее учетные данные и связанные переменные среды, а затем импортировать решение, содержащее облачный поток и классический поток.

Ограничения

• В настоящее время эта функция доступна только для подключений классических потоков.
• Вы не можете изменить выбранное имя пользователя и секрет в существующих учетных данных. Если вы хотите изменить значение имени пользователя и пароля, вам необходимо обновить переменные среды или секрет Azure Key Vault.

Обновление секрета (чередование паролей) — не рекомендуется

Заметка

Этот раздел теперь устарел для подключений классических потоков. Подключения классических потоков, использующие учетные данные, теперь получают секреты во время выполнения потока. Больше нет необходимости создавать этот пользовательский поток для обновления подключений. Подключения, использующие учетные данные, созданные до апреля 2024 года, должны быть обновлены, чтобы воспользоваться преимуществами автоматического обновления.

Предварительные условия для обновления секрета (чередование паролей)

• Убедитесь, что служба "Сетка событий" зарегистрирована в качестве поставщика ресурсов в Azure. Дополнительные сведения о поставщиках ресурсов.
• Убедитесь, что пользователи, использующие триггер "Сетка событий" в Power Automate, имеют разрешения участника для службы "Сетка событий". Подробнее

Заметка

Для этого раздела требуются особые разрешения, такие как системный администратор организации, в противном случае будут обновлены только ваши подключения классических потоков.

Создайте облачный поток с помощью триггера «Сетка событий»

Когда вы редактируете секреты в Azure Key Vault, вы должны быть уверены, что учетные данные и подключения, использующие эти секреты, всегда актуальны, чтобы не нарушить автоматизацию. В Power Automate необходимо создать облачный поток, который обновляет учетные данные при изменении секретов в Azure Key Vault.

Этот облачный поток содержит один триггер и одно действие:

1. Триггер: когда происходит событие ресурса (Сетка событий)
   • Тип ресурса: Microsoft.KeyVault.vaults
   • Имя ресурса: укажите имя хранилища ключей.
   • Подписка: укажите имя подписки.
   • Тип события: Microsoft.KeyVault.SecretNewVersionCreated
2. Действие: выполнить несвязанное действие (Dataverse)
   • Имя действия: NotifyEnvironmentVariableSecretChange
   • KeyVaultUrl: Тема
   • Имя секрета: Тема

Если вы используете одно хранилище ключей для всех своих секретов, вам понадобится только один облачный поток. Если у вас есть несколько хранилищ ключей, вам необходимо продублировать облачный поток и обновить имя ресурса.

Чтобы убедиться, что ваш облачный поток работает правильно с Azure Key Vault:

1. Перейдите в свое хранилище ключей.
2. Выберите События.
3. В разделе Подписки на события проверьте, отображается ли веб-перехватчик LogicApps.