建立 Azure Key Vault 認證
Power Automate 中的認證頁面可讓您使用 Azure Key Vault 建立、編輯和共用登入認證,並在桌面流程連線中使用它們。
重要
- 目前,此功能不適用於美國政府雲端。
必要條件
認證使用儲存在 Azure Key Vault 中的祕密。 若要建立認證,管理員必須先設定 Azure Key Vault。
簡而言之,管理員需要確保:
- Microsoft Power Platform 資源提供者已在 Azure 訂閱中註冊。
- 有一個 Azure 金鑰保管庫,其中包含要在認證中使用的秘密。
- Dataverse 服務主體有權使用祕密。
- 建立環境變數的使用者對 Azure Key Vault 資源具有適當的權限。
- Power Automate 環境和 Azure 訂閱必須位於同一租用戶上。
若要設定 Azure Key Vault,請依照設定 Azure Key Vault中所述的步驟操作。
認證型驗證 (預覽版)
Microsoft Entra ID 認證型驗證是單要素驗證,可讓您滿足多重要素驗證 (MFA) 要求。 不要使用密碼型驗證,而應使用認證型驗證 (CBA),它會根據數位認證驗證您的身分。
若要使用 CBA,請依照設定認證型驗證中的步驟操作。 否則,開始建立認證。
建立認證
若要建立您的認證:
移至認證頁面。 如果您沒有看到認證頁面,請按照下列步驟操作:
- 在左側導覽列中選取其他,然後選擇探索全部。
- 在資料底下,選取認證。 您可以將頁面固定在左側導覽中,以使其更易於存取。
在認證頁面上,透過選擇新認證來建立您的第一個認證。
定義認證名稱
提供以下資訊來建立您的認證:
- 認證名稱:輸入認證的名稱
- 描述 (選用)
選取認證存放區
- 選擇下一步後,在認證儲存選擇 Azure Key Vault。
- 選擇連線作為使用認證的位置。 Azure Key Vault 尚不支援在桌面流程中使用認證。
- 認證儲存類型選擇 Azure Key Vault,然後選擇下一步。
選取認證值
在精靈的最後一步中,選擇認證值。 Azure Key Vault 支援兩種類型的驗證:
- 使用者名稱和密碼:儲存在保存庫中的秘密是密碼。
- 認證型驗證:儲存在保存庫中的秘密是認證。
- 使用者名稱:若要選取使用者名稱,可以使用下拉式清單。 如果沒有任何環境變數,請選擇新增:
顯示名稱。 輸入環境變數的名稱。
名稱. 唯一名稱會從顯示名稱自動產生,但是您可加以變更。
值。 填入使用者名稱。 對於本地使用者,請提供使用者名。 對於域使用者,請提供
<DOMAIN\username>或<username@domain.com>。
注意
認證使用者名是一個文字環境變數。 您也可以從解決方案頁面建立一個文字變數,並選擇它作為使用者名稱。
- 密碼:若要選擇密碼,可以使用下拉清單。 如果沒有任何祕密環境變數,請選擇新建:
- 顯示名稱。 輸入環境變數的名稱。
- 名稱. 唯一名稱會從顯示名稱自動產生,但是您可加以變更。
- 訂閱識別碼:與金鑰保存庫關聯的 Azure 訂閱識別碼。
- 資源群組名稱。 包含密碼的金鑰儲存庫所在的 Azure 資源群組。
- Azure Key Vault 名稱。 包含密碼的金鑰儲存庫的名稱。
- 祕密名稱。 位於 Azure Key Vault 中的密碼名稱。
注意
訂閱識別碼、資源群組名稱及金鑰儲存庫名稱,可在金鑰儲存庫的 Azure 入口網站概觀頁面中找到。 選取設定底下的密碼,可在 Azure 入口網站的金鑰存放庫頁面上找到金鑰名稱。 密碼的使用者存取驗證會在背景執行。 如果使用者不具備最起碼的讀取權限,則會顯示此驗證錯誤:「此變數無法正確儲存。」 使用者無權「Azure Key Vault 路徑」讀取祕密。密碼使用祕密環境變數。 您還可以 從解決方案頁面 建立秘密變數,並將其選為密碼。
使用認證建立桌面流程連線
注意:目前僅在桌面流程連接中支持認證。
現在您可以在桌面流程連線中使用認證
查看使用祕密的位置
從「解決方案」頁面,您可以擷取祕密環境變數的所有相依性。 這有助於您在編輯 Azure Key Vault 祕密之前了解其用途。
- 選取一個環境變數。
- 選取進階選項,然後選取顯示相依性。
- 您可以看到:
- 使用此環境變數的認證。
- 使用此環境變數的連線。
共用認證
您可以與組織中的其他使用者共用您擁有的認證,並授予這些使用者特定的存取權。
- 登入 Power Automate,然後移至認證。
- 從認證清單中選取您的認證。
- 在命令列上,選取共用。
- 選取新增人員,輸入組織中您想要與其共用憑證的人員的名稱,然後選擇您要授予該使用者的角色:
- 共同擁有者 (可以編輯)。 此存取等級提供該認證的完整權限。 共同負責人可以使用該認證、與他人共用、編輯其詳細資料,和刪除它。
- 使用者 (只能查看)。 此存取等級僅授予使用認證的權限。 這種存取不可以編輯、共用或刪除權限。
- 使用者 (可以查看和共用)。 此存取級別與「只能查看」選項相同,但它授予分享許可權。
- 選取儲存。
注意
透過共用您的認證,認證中使用的所有環境變數也會共用。 刪除認證的權限不會刪除環境變數的權限。
刪除認證
- 登入 Power Automate,然後移至認證。
- 從清單中選擇您要刪除的認證,然後選取命令列上的刪除電腦。
注意
刪除認證不會刪除關聯的環境變數。
使用認證匯出桌面流程連線
注意
您應該先閱讀有關桌面流程 ALM 的文章。
您可以使用認證匯出具有桌面流程連線的雲端流程。 您應該先匯入包含認證和相關環境變數的解決方案,然後匯入包含雲端流程和桌面流程的解決方案。
限制
- 目前,此功能只適用於桌面流程連線。
- 您無法編輯現有認證中選定的使用者名稱和密碼。 如果要變更使用者名和密碼的值,則需要更新環境變數或 Azure 金鑰保管庫秘密。
更新祕密 (密碼輪換) - 已取代
注意
對於桌面流程連接,此部分現已棄用。 使用認證的桌面流程連線現在在串流執行期間擷取秘密。 不再需要建立此自訂流來更新連接。 使用 2024 年 4 月之前所建立認證的連線應進行更新,才能獲得於自動更新。
更新祕密的先決條件 (密碼輪換)
注意
此部分需要特定權限,例如組織的系統管理員,否則只會更新您自己的桌面流程連線。
使用「事件方格」觸發程序建立雲端流程
當您在 Azure Key Vault 中編輯祕密時,您需要確保使用這些祕密的認證和連線始終是最新的,以避免破壞自動化。 在 Power Automate 中,您需要建立一個雲端流程,以便在 Azure Key Vault 中的祕密發生變更時更新認證。
此雲端流程包含一個觸發程序和一個動作:
- 觸發程序:當資源事件發生時 (事件方格)
- 資源類型:Microsoft.KeyVault.vaults
- 資源名稱:提供金鑰儲存庫的名稱。
- 訂閱:提供訂閱的名稱。
- 事件類型:Microsoft.KeyVault.SecretNewVersionCreated
- 動作:執行未繫結的動作 (Dataverse)
- 動作名稱:NotifyEnvironmentVariableSecretChange
- KeyVaultUrl:主題
- 祕密名稱:主題
如果您使用一個 Key Vault 來儲存所有祕密,則只需要一個雲端流程。 如果您有多個 Key Vault,則需要複製雲端流程並更新資源名稱。
為了確保您的雲端流程與 Azure Key Vault 正常運作:
- 前往您的 Key Vault。
- 選取事件。
- 在事件訂閱中,檢查您是否可以看到 LogicApps Webhook。
