Dela via

Använd Azure Key Vault-hemligheter i miljövariabler

  • Artikel

Miljövariabler möjliggör refererande hemligheter som lagras i Azure Key Vault. Hemligheterna görs sedan tillgängliga för användning i Power Automate-flöden och anpassade anslutningsprogram. Observera att hemligheterna inte är tillgängliga för användning i andra anpassningar eller allmänt via API.

De faktiska hemligheterna lagras i Azure Key Vault, och miljövariabeln refererar platsen för Key Vault-hemligheter. Om du använder Azure Key Vault-hemligheter med miljövariabler måste du konfigurera Azure Key Vault så att Power Platform kan läsa de specifika hemligheter du vill hänvisa till.

Miljövariabler som refererar till hemligheter är för närvarande inte tillgängliga från väljaren för dynamiskt innehåll för användning i Power Automate flöden.

Konfigurera Azure Key Vault

Om du vill använda Azure 密钥保管库 hemligheter med Power Platform måste Azure prenumerationen som har valvet ha resursprovidern PowerPlatform registrerad och användaren som skapar miljövariabeln måste ha rätt behörighet till Azure Key Vault resursen.

Viktigt

  • Dit är de senaste ändringarna av de säkerhetsroll som används för att kontrollera åtkomstbehörigheter i Azure Key Vault. Tidigare instruktioner omfattade tilldelning av Key Vault läsarroll. Om du tidigare har konfigurerat ditt nyckelvalv med rollen Key Vault läsare måste du lägga till användarrollen Key Vault hemligheter för att säkerställa att användarna har Microsoft Dataverse tillräcklig behörighet för att hämta hemligheterna.
  • Vi inser att vår tjänst använder Azure rollbaserade åtkomstkontroll-API:er för att utvärdera tilldelning av säkerhetsroller även om du fortfarande har konfigurerat ditt nyckelvalv för att använda modellen för åtkomstbehörighet för valv. För att förenkla konfigurationen rekommenderar vi att du byter din behörighetsmodell till Azure-rollbaserad åtkomstkontroll. Du kan göra detta på fliken Åtkomstkonfiguration .

  1. Registrera resursprovidern Microsoft.PowerPlatform i din Azure prenumeration. Följ dessa steg för att verifiera och konfigurera: Resursproviders och resurstyper

    Registrera Power Platform leverantören i Azure

  2. Skapa ett Azure Key Vault-valv. Överväg att använda ett separat valv för varje Power Platform-miljö i syfte att minimera risken om störningar skulle uppstå. Överväg att konfigurera nyckelvalvet så att det använder Azure rollbaserad åtkomstkontroll för behörighetsmodellen . Mer information: Metodtips för att använda Azure Key Vault, Snabbstart – Skapa en Azure Key Vault med Azure-portalen

  3. Användare som skapar eller använder miljövariabler av typen hemlighet måste ha behörighet att hämta det hemliga innehållet. Om du vill ge en ny användare möjlighet att använda hemligheten välj området Åtkomstkontroll (IAM), VäljLägg till och sedan VäljLägg till rolltilldelning i listrutan. Mer information: Ge åtkomst till 密钥保管库 nycklar, certifikat och hemligheter med en Azure rollbaserad åtkomstkontroll

    Visa min åtkomst i Azure

  4. I guiden Lägg till rolltilldelning lämnar du standardtilldelningstypen som Jobbfunktionsroller och fortsätter till fliken Roll . Leta upp användarrollen Key Vault hemligheter och välj den. Fortsätt till fliken medlemmar och välj länken Välj medlemmar och leta reda på användaren i sidopanelen. När du har valt användaren och visas i medlemsavsnittet fortsätter du till fliken Granska och tilldela och slutför guiden.

  5. Azure 密钥保管库 måste ha rollen Key Vault Secrets User tilldelad tjänstens Dataverse huvudnamn. Om det inte finns för detta valv, lägg till en ny åtkomstpolicy med samma metod som du tidigare använde för slutanvändarbehörigheten, endast med Dataverse appidentitet istället för användaren. Om du har flera Dataverse tjänsternas huvudnamn i din klientorganisation rekommenderar vi att du väljer dem alla och sparar rolltilldelningen. När rollen är tilldelad, granska var och en Dataverse objekt listat i rolltilldelningslistan och välj Dataverse namn för att se detaljerna. Om program-ID:t inte 00000007-0000-0000-c000-000000000000** är det väljer du identiteten och väljer sedan Ta bort den från listan.

  6. Om du har aktiverat Azure Key Vault brandvägg måste du tillåta Power Platform IP-adresser åtkomst till ditt nyckelvalv. Power Platform ingår inte i alternativet "Endast betrodda tjänster". Gå till Power Platform URL:er och IP-adressintervall för de aktuella IP-adresserna som används i tjänsten.

  7. Om du inte redan har gjort det lägger du till en hemlighet i ditt nya valv. Mer information: Azure Snabbstart – Ange och hämta en hemlighet från Key Vault med hjälp av Azure-portalen

Skapa en ny miljövariabel för Key Vault-hemligheten

När Azure Key Vault har konfigurerats och du har registrerat ett moln i ditt valv kan du nu referera till det i Power Apps med hjälp av en miljövariabel.

Obs

  • Valideringen av användaråtkomsten för hemligheten utförs i bakgrunden. Om användaren inte har minst läsbehörighet visas detta valideringsfel: Variabeln sparades inte korrekt. Användaren har inte behörighet att läsa hemligheter från "Azure Key Vault-sökväg".
  • För närvarande är Azure Key Vault den enda lagringsmiljö som stöds med miljövariabler.
  • Azure Key Vault måste vara i samma klientorganisation som din Power Platform prenumeration.

  1. Logga in Power Apps på och öppna den ohanterade lösning som du använder för utveckling i området Lösningar .

  2. Välj Ny>mer>Miljövariabel.

  3. Ange envisningsnamnoch eventuellt en Beskrivning för miljövariabeln.

  4. Välj den Datatyp som Secret och Secret Store som Azure Key Vault.

  5. Välj bland följande alternativ:

    • Välj Ny Azure Key Vault värdereferens. När informationen har lagts till i nästa steg och sparats skapas en värdepost för miljövariabeln .
    • Expandera Visa standardvärde för att visa fälten för att skapa en Azure standardhemlighet för Key Vault. När informationen har lagts till i nästa steg och sparats läggs standardvärdeavgränsningen till i definitionsposten för miljövariabeln .

  6. Ange följande information:

    • Azure Prenumerations-ID: Det Azure prenumerations-ID som är associerat med nyckelvalvet.

    • Resursgruppens namn: Resursgruppen Azure där nyckelvalvet som innehåller hemligheten finns.

    • Azure Key Vault Name: Namnet på nyckelvalvet som innehåller hemligheten.

    • Hemligt namn: Namnet på hemligheten som finns i Azure Key Vault.

      Dricks

      Prenumerations-ID, resursgruppnamn och namn på nyckelvalv finns på Azure-portalsidan Översikt i nyckelvalvet. Namnet på hemligheten finns på nyckelvalvssidan i Azure-portalen genom att välja Hemligheter under Inställningar.

  7. Välj Spara.

Skapa ett Power Automate-flöde för att testa miljövariabelns hemlighet

Ett enkelt scenario som demonstrerar hur man använder en hemlighet som erhållits via Azure Key Vault är att skapa ett Power Automate-flöde som använder hemligheten för autentisering gentemot en webbtjänst.

Obs

URI för webbtjänsten är i detta exempel ingen fungerande webbtjänst.

  1. Logga in Power Apps, Välj lösningar och öppna sedan den ohanterade lösning du vill ha. Om objektet inte finns i sidopanelsfönstret väljer du ... Mer och markerar sedan det objekt du vill använda.

  2. Välj Ny>Automatisering>Molnflöde>Direkt.

  3. Ange ett namn för flödet, Välj manuellt utlösare ett flöde och sedan Välj Skapa.

  4. Välj nytt steg , Välj anslutningsprogrammet och sedan Välj Microsoft Dataverse en obunden åtgärd fliken Åtgärder .

  5. Välj åtgärden med namnet RetrieveEnvironmentVariableSecretValue från listrutan.

  6. Ange miljövariabelns unika namn (inte det visningsnamn) som lades till i föregående avsnitt, i det här exemplet används new_TestSecret .

  7. Välj ...>Byt namn om du vill byta namn på åtgärden så att det blir lättare att referera till den i nästa åtgärd. I den här skärmbilden har den bytt namn till GetSecret.

    Konfiguration av direktflöde för testning av en miljövariabelhemlighet

  8. Välj ...>Inställningar för att visa åtgärdsinställningarna för GetSecret .

  9. Aktivera alternativet Säkra utdata i inställningarna och sedan VäljKlar . Detta för att förhindra att åtgärdens utdata visas i flödeskörningshistoriken.

    Aktivera inställningen för säkra utdata för åtgärden

  10. VäljNytt steg, sök och välj HTTPanslutningsprogrammet .

  11. Välj den Metod som GET och ange URI :n för webbtjänsten. I det här exemplet används den fiktiva webbtjänsten httpbin.org .

  12. VäljVisa avancerade alternativ , Väljautentiseringen som Grundläggande och ange sedan användarnamnet .

  13. Välj den Lösenord och sedan på fliken Dynamiskt innehåll under flödes steget ovan (GetSecret i det här exemplet) VäljRetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, som sedan läggs till som ett uttryck outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] eller body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Skapa ett nytt steg med hjälp av HTTP-anslutningsprogrammet

  14. Välj ...>Inställningar för att visa HTTP-åtgärdsinställningarna .

  15. Aktivera alternativen Secure Inputs (säkra ingångar) och Secure Outputs (säkra utgångar ) i inställningarna och sedan till VäljDone . Aktivering av dessa alternativ förhindrar in- och utgångar i åtgärden visas i flödeskörningshistoriken.

  16. VäljSpara för att skapa flödet.

  17. Testa flödet genom att köra det manuellt.

    Utdata kan verifieras med hjälp av körningshistoriken för flödet.

    Utgående flöde

Använda hemligheter för miljövariabler i Microsoft Copilot Studio

Miljövariabelns hemligheter i Microsoft Copilot Studio arbetet fungerar lite annorlunda. Du måste gå igenom stegen i avsnitten i Konfigurera Azure Key Vault och Skapa en ny miljövariabel för Key Vault-hemligheten för att använda hemligheter med miljövariabler.

Ge Copilot Studio åtkomst till Azure 密钥保管库

Följ stegen nedan:

  1. Gå tillbaka till din Azure Key Vault.

  2. Copilot Studio Behöver åtkomst till nyckelvalvet. Om du vill ge Copilot Studio möjlighet att använda hemligheten VäljAccess control (IAM) i det vänstra navigeringsfönstret, VäljLägg till och sedan VäljLägg till rolltilldelning.

    Visa min åtkomst i Azure

  3. Välj den 密钥保管库 användarroll och sedan VäljNästa .

  4. Välj Välj medlemmar, sök efter Power Virtual Agents Tjänst, Välj den och välj sedan Välj.

  5. Välj Granska + tilldela längst ned på skärmen. Granska informationen och Välj Granska + tilldela igen om allt är korrekt.

Lägg till en tagg för att tillåta att en copilot får åtkomst till hemligheten i Azure Key Vault

Genom att slutföra föregående steg i det här avsnittet Copilot Studio har du nu åtkomst till Azure Key Vault, men du kan inte använda den ännu. Följ dessa steg för att slutföra uppgiften:

  1. Gå till Microsoft Copilot Studio och öppna den handläggare du vill använda för miljövariabelhemligheten eller skapa en ny.

  2. Öppna en handläggare ämne eller skapa en ny.

  3. Välj ikonen + för att lägga till en nod och väljsedan Skicka ett meddelande.

  4. Välj den Alternativet Infoga variabel {x} i noden Skicka ett meddelande .

  5. Välj den Välj miljövariabelhemligheten som du skapade i Skapa en ny miljövariabel för Key Vault hemligheten steg.

  6. VäljSpara för att spara ämnet.

  7. I testfönstret testar du ämnet med hjälp av en av startfraserna i ämnet där du precis lade till noden Skicka ett meddelande med miljövariabeln secret. Du bör stöta på ett fel som ser ut så här:

    Felmeddelande: Roboten får inte använda miljövariabeln. Om du vill lägga till roboten i listan över tillåtna lägger du till taggen

    Det innebär att du måste Gå tillbaka till Azure Key Vault och redigera hemligheten. Lämna Copilot Studio öppet, för du kommer tillbaka Hit senare.

  8. Gå till Azure 密钥保管库. I det vänstra navigeringsfältet väljSecrets under Objekt. Välj den hemlighet som du vill göra tillgänglig i Copilot Studio genom att välja namnet.

  9. Välj versionen av hemligheten.

  10. Välj0 taggar bredvid Taggar. Lägg till ett taggnamn och ett taggvärde. Felmeddelandet i bör ge dig de exakta värdena för Copilot Studio de två egenskaperna. Under Taggnamn måste du lägga till AllowedBots och i Taggvärde måste du lägga till det värde som visades i felmeddelandet. Det här värdet är formaterat som {envId}/{schemaName}. Om det Dit finns flera andrepiloter som måste tillåtas avgränsar du värdena med ett kommatecken. När du är klar klickar du på OK.

  11. VäljApply för att tillämpa taggen på hemligheten.

  12. Gå tillbaka till Copilot Studio. Välj Uppdatera i fönstret Testa din copilot .

  13. I testfönstret testar du ämnet igen med hjälp av en av startfraserna i ämnet.

Värdet för din hemlighet ska visas i testpanelen.

Lägg till en tagg för att ge alla copilots i en miljö åtkomst till hemligheten i Azure Key Vault

Du kan också ge alla copilots i en miljö åtkomst till hemligheten i Azure Key Vault. Följ dessa steg för att slutföra uppgiften:

  1. Gå till Azure 密钥保管库. I det vänstra navigeringsfältet väljSecrets under Objekt. Välj den hemlighet som du vill göra tillgänglig i Copilot Studio genom att välja namnet.
  2. Välj versionen av hemligheten.
  3. Välj0 taggar bredvid Taggar. Lägg till ett taggnamn och ett taggvärde. Under Taggnamn lägger du till AllowedEnvironments och i Taggvärde lägger du till miljö-ID:t för den miljö som du vill tillåta. När du är klar väljOK
  4. VäljApply för att tillämpa taggen på hemligheten.

Begränsning

Miljövariabler som refererar till Azure 密钥保管库 hemligheter är för närvarande begränsade för användning med Power Automate flöden, Copilot Studio agenter och anpassade anslutningsappar.

Se även

Använda datakälla miljövariabler i appar
Använda miljövariabler i Power Automate-lösningens molnflöden
Översikt över miljövariabler.