สร้างข้อมูลประจำตัว Azure Key Vault
ในหน้า ข้อมูลประจำตัว ใน Power Automate ช่วยให้คุณสร้าง แก้ไข และแชร์ข้อมูลประจำตัวการลงชื่อเข้าใช้โดยใช้ Azure Key Vault และใช้ในการเชื่อมต่อโฟลว์เดสก์ท็อป
นอกจากนี้คุณยังสามารถ สร้างข้อมูลประจำตัวด้วย CyberArk® (พรีวิว)
สำคัญ
- ขณะนี้ คุณลักษณะใหม่นี้ยังไม่พร้อมใช้งานสำหรับระบบคลาวด์ของรัฐบาลสหรัฐฯ
ข้อกำหนดเบื้องต้น
ข้อมูลประจำตัวใช้ข้อมูลลับที่จัดเก็บไว้ใน Azure Key Vault หากต้องการสร้างข้อมูลประจำตัว ผู้ดูแลระบบของคุณต้องตั้งค่า Azure Key Vault ก่อน
พูดง่ายคือ ผู้ดูแลระบบต้องตรวจสอบให้แน่ใจ:
- ลงทะเบียนผู้ให้บริการทรัพยากรของ Microsoft Power Platform ในการสมัครใช้งาน Azure
- มี Azure Key Vault ที่มีข้อมูลลับที่จะใช้ในข้อมูลประจำตัว
- บริการหลัก Dataverse ได้รับอนุญาตให้ใช้ข้อมูลลับ
- ผู้ใช้ที่สร้างตัวแปรสภาพแวดล้อมมีสิทธิ์ที่เหมาะสมในทรัพยากร Azure Key Vault
- สภาพแวดล้อม Power Automate และการสมัครใช้งาน Azure ต้องอยู่ในผู้เช่ารายเดียวกัน
หากต้องการกำหนดค่า Azure Key Vault ให้ทำตามขั้นตอนที่อธิบายไว้ใน กำหนดค่า Azure Key Vault
การรับรองความถูกต้องด้วยใบรับรอง (พรีวิว)
การรับรองความถูกต้องด้วยใบรับรอง Microsoft Entra ID เป็นการรับรองความถูกต้องด้วยปัจจัยเดียวที่ช่วยให้คุณปฏิบัติตามข้อกำหนดการรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) แทนที่จะใช้การรับรองความถูกต้องด้วยรหัสผ่าน ให้ใช้การรับรองความถูกต้องด้วยใบรับรอง (CBA) ซึ่งจะยืนยันตัวตนของคุณตามใบรับรองดิจิทัล
หากต้องการใช้ CBA ให้ปฏิบัติตามขั้นตอนใน กำหนดค่าการรับรองความถูกต้องด้วยใบรับรอง มิฉะนั้น ให้เริ่มสร้างข้อมูลประจำตัว
สร้างข้อมูลประจำตัว
หากต้องการสร้างข้อมูลประจำตัวของคุณ:
ไปยังหน้า ข้อมูลประจำตัว ถ้าคุณไม่เห็นหน้า ข้อมูลประจำตัว ให้ทำตามขั้นตอนเหล่านี้:
- เลือก เพิ่มเติม ในการนำทางด้านซ้าย จากนั้นเลือก ค้นหาทั้งหมด
- ใต้ ข้อมูล เลือก ข้อมูลประจำตัว คุณสามารถปักหมุดหน้าในการนำทางด้านซ้ายเพื่อให้เข้าถึงได้ง่ายขึ้น
บนหน้า ข้อมูลประจำตัว ให้สร้างข้อมูลประจำตัวแรกของคุณโดยเลือก ข้อมูลประจำตัวใหม่
กำหนดชื่อข้อมูลประจำตัว
ให้ข้อมูลต่อไปนี้เพื่อสร้างข้อมูลประจำตัวของคุณ:
- ชื่อข้อมูลประจำตัว: ป้อนชื่อสำหรับข้อมูลประจำตัว
- คำอธิบาย: (เลือกได้)
เลือกที่เก็บข้อมูลประจำตัว
- หลังจากเลือก ถัดไป เลือก Azure Key Vault เป็นที่เก็บข้อมูลประจำตัว
- เลือก การเชื่อมต่อ เป็นตำแหน่งที่จะใช้ข้อมูลประจำตัว การใช้ข้อมูลประจำตัวในโฟลว์เดสก์ท็อปยังไม่รองรับ Azure Key Vault
- เลือก Azure Key Vault เป็นชนิดที่เก็บข้อมูลประจำตัว แล้วเลือก ถัดไป
เลือกค่าข้อมูลประจำตัว
ในขั้นตอนสุดท้ายของตัวช่วยสร้าง ให้เลือกค่าข้อมูลประจำตัว ด้วย Azure Key Vault การรับรองความถูกต้องที่รองรับมีสองประเภท:
- ชื่อผู้ใช้และรหัสผ่าน: ข้อมูลลับที่เก็บไว้ในชุดเก็บข้อมูลประจำตัวคือรหัสผ่าน
- การรับรองความถูกต้องด้วยใบรับรอง: ข้อมูลลับที่เก็บไว้ในชุดเก็บข้อมูลประจำตัวคือใบรับรอง
- ชื่อผู้ใช้: หากต้องการเลือกชื่อผู้ใช้ คุณสามารถใช้ดรอปดาวน์ หากคุณไม่มีตัวแปรสภาพแวดล้อม ให้เลือก ใหม่:
ชื่อที่แสดง ป้อนชื่อสำหรับชื่อตัวแปรสภาพแวดล้อม
ชื่อ ชื่อเฉพาะจะถูกสร้างขึ้นโดยอัตโนมัติจาก ชื่อที่แสดง แต่คุณสามารถเปลี่ยนได้
ค่า เติมข้อมูลชื่อของผู้ใช้ สำหรับผู้ใช้ภายในเครื่อง ให้ระบุชื่อผู้ใช้ สำหรับผู้ใช้โดเมน ให้ระบุ
<DOMAIN\username>
หรือ<username@domain.com>
หมายเหตุ
ชื่อผู้ใช้ของข้อมูลประจำตัวเป็นตัวแปรสภาพแวดล้อมข้อความ คุณยังสามารถ สร้างตัวแปรข้อความจากหน้าโซลูชัน และเลือกเป็นชื่อผู้ใช้ได้
- รหัสผ่าน: หากต้องการเลือกรหัสผ่าน คุณสามารถใช้ดรอปดาวน์ หากคุณไม่มีตัวแปรสภาพแวดล้อมข้อมูลลับ ให้เลือก ใหม่:
- ชื่อที่แสดง ป้อนชื่อสำหรับชื่อตัวแปรสภาพแวดล้อม
- ชื่อ ชื่อเฉพาะจะถูกสร้างขึ้นโดยอัตโนมัติจาก ชื่อที่แสดง แต่คุณสามารถเปลี่ยนได้
- รหัสการสมัครใช้งาน: รหัสการสมัครใช้งาน Azure ที่เชื่อมโยงกับ Key Vault
- ชื่อกลุ่มทรัพยากร กลุ่มทรัพยากร Azure ที่มี Key Vault ที่มีข้อมูลลับอยู่
- ชื่อ Azure Key Vault ชื่อของ Key Vault ที่มีข้อมูลลับ
- ชื่อข้อมูลลับ ชื่อของข้อมูลลับที่อยู่ใน Azure Key Vault
หมายเหตุ
ID การสมัครใช้งาน, ชื่อกลุ่มทรัพยากร, และชื่อ key vault สามารถพบได้บนหน้า ภาพรวม ของพอร์ทัล Azure ของ key vault ชื่อข้อมูลลับสามารถพบได้บนหน้า key vault ในพอร์ทัล Azure โดยการเลือก ข้อมูลลับ ภายใต้ การตั้งค่า การตรวจสอบความถูกต้องของการเข้าถึงของผู้ใช้สำหรับข้อมูลลับจะถูกดำเนินการในเบื้องหลัง หากผู้ใช้ไม่มีสิทธิ์ในการอ่านเป็นอย่างน้อย ข้อผิดพลาดในการตรวจสอบนี้จะปรากฏขึ้น "ตัวแปรนี้บันทึกไม่ถูกต้อง ผู้ใช้ไม่ได้รับอนุญาตให้อ่านข้อมูลลับจาก 'เส้นทาง Azure Key Vault'" รหัสผ่านใช้ ตัวแปรสภาพแวดล้อมที่เป็นข้อมูลลับ คุณยังสามารถ สร้างตัวแปรข้อมูลลับจากหน้าโซลูชัน และเลือกเป็นรหัสผ่านได้
สร้างการเชื่อมต่อโฟลว์เดสก์ท็อปโดยใช้ข้อมูลประจำตัว
หมายเหตุ: ขณะนี้ข้อมูลประจำตัวได้รับการสนับสนุนในการเชื่อมต่อโฟลว์เดสก์ท็อปเท่านั้น
ตอนนี้คุณสามารถใช้ข้อมูลประจำตัวของคุณใน การเชื่อมต่อโฟลว์เดสก์ท็อป
ดูว่ามีการใช้ข้อมูลลับที่ใด
จากหน้าโซลูชัน คุณสามารถดึงข้อมูลการขึ้นต่อกันทั้งหมดของตัวแปรสภาพแวดล้อมที่เป็นข้อมูลลับได้ ซึ่งช่วยให้คุณเข้าใจว่าข้อมูลลับ Azure Key Vault ของคุณถูกใช้ไปที่ใดก่อนที่จะทำการแก้ไข
- เลือกหนึ่งตัวแปรสภาพแวดล้อม
- เลือกตัวเลือก ขั้นสูง และเลือก แสดงการขึ้นต่อกัน
- คุณสามารถดู:
- ข้อมูลประจำตัวที่ใช้ตัวแปรสภาพแวดล้อมนี้
- การเชื่อมต่อที่ใช้ตัวแปรสภาพแวดล้อมนี้
แบ่งปันข้อมูลประจำตัว
คุณสามารถแชร์ข้อมูลประจำตัวกับผู้ใช้คนอื่น ๆ ในองค์กรของคุณและให้สิทธิ์เฉพาะผู้ใช้เหล่านั้นในการเข้าถึงข้อมูลประจำตัวของคุณ
- ลงชื่อเข้าใช้ Power Automate แล้วไปที่ ข้อมูลประจำตัว
- เลือกข้อมูลประจำตัวของคุณจากรายการข้อมูลประจำตัว
- ในแถบคำสั่ง ให้เลือก แชร์
- เลือก เพิ่มบุคคล จากนั้นป้อนชื่อของบุคคลในองค์กรของคุณที่คุณต้องการแชร์ข้อมูลประจำตัวด้วย แล้วเลือกบทบาทที่คุณต้องการยินยอมไปยังผู้ใช้นี้:
- เจ้าของร่วม (สามารถแก้ไขได้) ระดับการเข้าถึงนี้ให้สิทธิ์แบบเต็มแก่ข้อมูลประจำตัวนั้น เจ้าของร่วมสามารถใช้ข้อมูลประจำตัว ใช้งานร่วมกับผู้อื่น แก้ไขรายละเอียดและลบ
- ผู้ใช้ (สามารถดูเท่านั้น) ระดับการเข้าถึงนี้ให้สิทธิ์เพื่อใช้แก่ข้อมูลประจำตัวนั้นเท่านั้น ไม่มีสิทธิ์แก้ไข แชร์ หรือลบด้วยการเข้าถึงนี้
- ผู้ใช้ (สามารถดูและแชร์ได้) ระดับการเข้าถึงนี้เหมือนกับตัวเลือกดูอย่างเดียว แต่ให้สิทธิ์ในการแชร์
- เลือก บันทึก
หมายเหตุ
ด้วยการแชร์ข้อมูลประจำตัวของคุณ ตัวแปรสภาพแวดล้อมทั้งหมดที่ใช้ในข้อมูลประจำตัวจะถูกแชร์ด้วย การลบสิทธิ์ในข้อมูลประจำตัวจะไม่ลบสิทธิ์ในตัวแปรสภาพแวดล้อม
ลบข้อมูลประจำตัว
- ลงชื่อเข้าใช้ Power Automate แล้วไปที่ ข้อมูลประจำตัว
- จากรายการ เลือกข้อมูลประจำตัวที่คุณต้องการลบ และเลือก ลบเครื่อง บนแถบคำสั่ง
หมายเหตุ
การลบข้อมูลประจำตัวจะไม่ลบตัวแปรสภาพแวดล้อมที่เกี่ยวข้อง
ส่งออกการเชื่อมต่อโฟลว์เดสก์ท็อปโดยใช้ข้อมูลประจำตัว
หมายเหตุ
คุณควรอ่านบทความเกี่ยวกับ ALM สำหรับโฟลว์เดสก์ท็อป ก่อน
คุณสามารถส่งออกโฟลว์ระบบคลาวด์ด้วยการเชื่อมต่อโฟลว์เดสก์ท็อปโดยใช้ข้อมูลประจำตัว คุณควรนำเข้าโซลูชันที่มีข้อมูลประจำตัวและตัวแปรสภาพแวดล้อมที่เกี่ยวข้องก่อน จากนั้นจึงนำเข้าโซลูชันที่มีโฟลว์ระบบคลาวด์และโฟลว์เดสก์ท็อป
ข้อจำกัด
- ปัจจุบัน คุณลักษณะนี้ใช้ได้เฉพาะกับการเชื่อมต่อโฟลว์ระบบคลาวด์
- คุณไม่สามารถแก้ไขชื่อผู้ใช้และข้อมูลลับที่เลือกในข้อมูลประจำตัวที่มีอยู่ได้ หากคุณต้องการเปลี่ยนค่าของชื่อผู้ใช้และรหัสผ่าน คุณต้องอัปเดตตัวแปรสภาพแวดล้อมหรือข้อมูลลับ Azure Key Vault
อัปเดตข้อมูลลับ (การหมุนเวียนรหัสผ่าน) - เลิกใช้แล้ว
หมายเหตุ
ขณะนี้ส่วนนี้มีการเลิกใช้แล้วสำหรับการเชื่อมต่อโฟลว์เดสก์ท็อป การเชื่อมต่อโฟลว์เดสก์ท็อปที่ใช้ข้อมูลประจำตัวกำลังดึงข้อมูลลับระหว่างการดำเนินการโฟลว์ ไม่จำเป็นต้องสร้างโฟลว์แบบกำหนดเองนี้เพื่ออัปเดตการเชื่อมต่ออีกต่อไป การเชื่อมต่อที่ใช้ข้อมูลประจำตัวที่สร้างขึ้นก่อนเดือนเมษายน 2024 ควรได้รับการอัปเดตเพื่อให้ได้รับประโยชน์จากการอัปเดตอัตโนมัติ
ข้อกำหนดเบื้องต้นสำหรับการอัปเดตข้อมูลลับ (การหมุนเวียนรหัสผ่าน)
- ตรวจสอบให้แน่ใจว่า Event Grid ได้รับการลงทะเบียนเป็นผู้ให้บริการทรัพยากรใน Azure เรียนรู้เพิ่มเติมเกี่ยวกับผู้ให้บริการทรัพยากร
- ตรวจสอบให้แน่ใจว่าผู้ใช้ที่ใช้ทริกเกอร์ Event Grid ใน Power Automate มีสิทธิ์ผู้มีส่วนร่วม Event Grid เรียนรู้เพิ่มเติม
หมายเหตุ
ส่วนนี้ต้องการสิทธิ์เฉพาะ เช่น ผู้ดูแลระบบขององค์กร มิฉะนั้นเฉพาะการเชื่อมต่อโฟลว์เดสก์ท็อปของคุณเท่านั้นที่จะได้รับการอัปเดต
สร้างโฟลว์ระบบคลาวด์โดยใช้ทริกเกอร์ Event Grid
เมื่อคุณแก้ไขข้อมูลลับใน Azure Key Vault คุณต้องแน่ใจว่าข้อมูลประจำตัวและการเชื่อมต่อที่ใช้ข้อมูลลับเหล่านี้เป็นข้อมูลล่าสุดอยู่เสมอ เพื่อหลีกเลี่ยงไม่ให้ระบบอัตโนมัติเสียหาย ใน Power Automate คุณต้องสร้างโฟลว์ระบบคลาวด์ที่อัปเดตข้อมูลประจำตัวเมื่อมีการเปลี่ยนแปลงข้อมูลลับใน Azure Key Vault
โฟลว์ระบบคลาวด์นี้ประกอบด้วยทริกเกอร์หนึ่งรายการและการดำเนินการหนึ่งรายการ:
- ทริกเกอร์: เมื่อมีเหตุการณ์ทรัพยากรเกิดขึ้น (Event Grid)
- ชนิดทรัพยากร: Microsoft.KeyVault.vaults
- ชื่อทรัพยากร: ระบุชื่อของ Key Vault
- การสมัครใช้งาน: ระบุชื่อของการสมัครใช้งาน
- ชนิดเหตุการณ์: Microsoft.KeyVault.SecretNewVersionCreated
- การดำเนินการ: ดำเนินการที่ไม่ถูกผูกไว้ (Dataverse)
- ชื่อการดำเนินการ: NotifyEnvironmentVariableSecretChange
- KeyVaultUrl: หัวข้อ
- ชื่อข้อมูลลับ: ชื่อเรื่อง
หากคุณใช้ Key Vault หนึ่งอันสำหรับข้อมูลลับทั้งหมดของคุณ คุณจำเป็นต้องมีโฟลว์ระบบคลาวด์เพียงอันเดียว หากคุณมี Key Vault หลายรายการ คุณจะต้องทำซ้ำโฟลว์ระบบคลาวด์และอัปเดตชื่อทรัพยากร
เพื่อให้แน่ใจว่าโฟลว์ระบบคลาวด์ของคุณทำงานอย่างถูกต้องกับ Azure Key Vault:
- ไปที่ Key Vault ของคุณ
- เลือก เหตุการณ์
- ใน การสมัครใช้งานเหตุการณ์ ให้ตรวจสอบว่าคุณเห็น Webhook ของ LogicApps หรือไม่