Share via

Bruk miljøvariabler for Azure Key Vault-hemmeligheter

  • Artikkel

Miljøvariabler gjør det mulig å henvise til hemmeligheter lagret i Azure Key Vault. Disse hemmelighetene blir deretter gjort tilgjengelige i Power Automate-flyter og egendefinerte koblinger. Legg merke til at hemmelighetene ikke er tilgjengelige for bruk i andre tilpassinger eller generelt via APIen.

De faktiske hemmelighetene lagres i Azure Key Vault, og miljøvariabelen henviser til plasseringen til Key Vault-hemmeligheten. Bruk av Azure Key Vault-hemmeligheter med miljøvariabler krever at du konfigurerer Azure Key Vault slik at Power Platform kan lese de bestemte hemmelighetene du vil henviser til.

Miljøvariabler som refererer til hemmeligheter, er for øyeblikket ikke tilgjengelige fra den dynamiske innholdsvelgeren for bruk i flyter.

Konfigurere Azure Key Vault

Hvis du vil bruke Azure Key Vault-hemmeligheter med Power Platform, må Azure-abonnementet som har hvelvet, ha PowerPlatform-ressursleverandøren registrert, og brukeren som oppretter miljøvariabelen, må ha nødvendige tillatelser til Azure Key Vault-ressursen.

Obs!

  • Vi har nylig endret sikkerhetsrollen som vi bruker til å deklarere tilgangstillatelser i Azure Key Vault. Tidligere instruksjoner omfattet tilordning av Key Vault-leserrollen. Hvis du tidligere har konfigurert nøkkelhvelvet med rollen Key Vault-leser, må du passe på at du legger til brukerrollen Key Vault-hemmeligheter for å sikre at brukerne og Dataverse har tilstrekkelige tillatelser til å hente hemmelighetene.
  • Vi registrerer at tjenesten vår bruker Azure-rollebaserte tilgangskontroll-APIer til å vurdere sikkerhetsrolletilordning selv om du fremdeles har nøkkelhvelvet konfigurert til å bruke tillatelsesmodellen for vault-tilgangspolicy. Vi anbefaler at du endrer vault-tillatelsesmodellen til Azure-rollebasert tilgangskontroll for å forenkle konfigurasjonen. Du kan gjøre dette i Access-konfigurasjonsfanen.

  1. Registrer Microsoft.PowerPlatform-ressursleverandøren i Azure-abonnementet ditt. Følg denne fremgangsmåten for å kontrollere og konfigurere: Ressursleverandører og ressurstyper

    Registrer Power Platform-leverandøren i Azure

  2. Opprett et Azure Key Vault-hvelv. Vurder å bruke et separat hvelv for hvert Power Platform-miljø for å redusere trusselen ved et sikkerhetsbrudd. Vurder å konfigurere key vault til å bruke Azure-rollebasert tilgangskontroll for Tillatelse-modellen. Mer informasjon: Anbefalte fremgangsmåter for bruk av Azure Key Vault, Hurtigstart – Opprett et Azure Key Vault med Azure Portal

  3. Brukere som oppretter eller bruker miljøvariabler av typen hemmelig, må ha tillatelse til å hente det hemmelige innholdet. Hvis du vil gi en ny bruker muligheten til å bruke hemmeligheten, velger du området Tilgangskontroll (IAM), velg Legg til, og velg deretter Legg til rolletilordning fra rullegardinlisten. Mer informasjon: Gi tilgang til key Vault-nøkler, -sertifikater og -hemmeligheter med en Azure-rollebasert tilgangskontroll

    Vis min tilgang i Azure

  4. I veiviseren for å Legge til rolletilordning lar du standard tilordningstype være Jobbfunksjonsroller og fortsetter til kategorien Rolle. Finn brukerrollen Key Vault-hemmeligheter, og velg den. Fortsett til medlemskategorien, velg koblingen Velg medlemmer, og finn brukeren i sidepanelet. Når du har valgt brukeren og vist i medlemsdelen, fortsetter du til kategorien se gjennom og tilordne, og fullfører veiviseren.

  5. Azure Key Vault må ha rollen Key Vault-hemmeligheter-bruker til Dataverse-tjenestekontohaver. Hvis det ikke finnes for dette hvelvet, legger du til en ny tilgangspolicy på samme måte som du tidligere brukte for sluttbrukertillatelsen, bare ved å bruke Dataverse-program-IDen i stedet for brukeren. Hvis du har flere Dataverse-tjenestekontohavere i leieren, anbefaler vi at du velger alle og lagrer rolletilordningen. Når rollen er tilordnet, ser du gjennom hvert Dataverse-element i listen over rolletilordninger og velger Dataverse-navnet for å vise detaljene. Hvis Program-ID ikke er 00000007-0000-0000-c000-000000000000, velger du identiteten og deretter Fjern for å fjerne den fra listen.

  6. Hvis du har aktivert Azure Key Vault-brannmuren, må du gi Power Platform-IP-adresser tilgang til nøkkelhvelvet. Power Platform er ikke tatt med i alternativet Bare klarerte tjenester. Se derfor artikkelen Nettadresser og IP-adresseområder for Power Platform hvis du vil se gjeldende IP-adresser som brukes i tjenesten.

  7. Hvis du ikke har gjort det allerede, legger du til en hemmelighet i det nye hvelvet. Mer informasjon: Azure-Hurtigstart – Angi og hente en hemmelighet fra Key Vault ved hjelp Azure Portal

Opprett en ny miljøvariabel for Key Vault-hemmeligheten

Når Azure Key Vault er konfigurert og du har en hemmelighet registrert i hvelvet, kan du nå henvise til den i Power Apps ved å bruke en miljøvariabel.

Obs!

  • Validering av brukertilgang for hemmeligheten utføres i bakgrunnen. Hvis brukeren ikke har minst lesetillatelse, vises denne valideringsfeilen: «Denne variabelen ble ikke lagret på riktig måte. Brukeren har ikke tillatelse til å lese hemmeligheter fra Azure Key Vault-banen.»
  • Azure Key Vault er for øyeblikket det eneste hemmelige lageret som støttes med miljøvariabler.
  • Azure Key Vault må være i samme leier som Power Platform-abonnementet.

  1. Logg deg på Power Apps, og åpne den uadministrerte løsningen du bruker for utvikling, i Løsninger-området.

  2. Velg Ny > Mer > Miljøvariabel.

  3. Angi Visningsnavn og en beskrivelse (valgfritt) for miljøvariabelen.

  4. Velg datatypen som hemmelighet og hemmelig lager som Azure Key Vault.

  5. Velg blant følgende alternativer:

    • Velg Ny Azure Key Vault-verdireferanse. Når informasjonen er lagt til i neste trinn og lagret, opprettes det en oppføring for en miljøvariabelverdi.
    • Vis Vis standardverdi for å vise feltene for å opprette en hemmelighet som er standard for Azure Key Vault. Når informasjonen er lagt til i neste trinn og lagret, legges det til en standard verdiavgrensning i oppføringen for miljøvariabeldefinisjon.

  6. Angi følgende informasjon:

    • Azure-abonnements-ID: Azure-abonnements-ID-en som er tilknyttet Key Vault.

    • Navn på ressursgruppe: Azure-ressursgruppen der Key Vault som inneholder hemmeligheten, er plassert.

    • Navnet på Azure Key Vault: Navnet på Key Vault som inneholder hemmeligheten.

    • Navn på hemmelighet: Navnet på hemmeligheten plassert i Azure Key Vault.

      Tips

      Abonnements-ID-en, ressursgruppenavnet og Key Vault-navnet finnes på siden Oversikt for Key Vault i Azure Portal. Du finner navnet på hemmeligheten på Key Vault-siden i Azure Portal ved å velge Hemmeligheter under Innstillinger.

  7. Velg Lagre.

Opprett en Power Automate-flyt for å teste hemmeligheten til miljøvariabelen

Et enkelt scenario som viser hvordan du bruker en hemmelighet hentet fra Azure Key Vault, er å opprette en Power Automate-flyt for å bruke hemmeligheten til godkjenning mot en nettjeneste.

Obs!

URI-en for nettjenesten i dette eksemplet er ikke en nettjeneste som fungerer.

  1. Logg deg på PowerApps, velg Løsninger og åpne den uadministrerte løsningen du vil bruke. Hvis elementet ikke finnes i sideruten, velger du ...Mer og deretter elementet du vil ha.

  2. Velg Ny > Automatisering > Skyflyt > Direkte.

  3. Angi et navn for flyten, velg Utløs en flyt manuelt, og velg deretter Opprett.

  4. Velg Nytt trinn, velg Microsoft Dataverse-koblingen, og velg deretter Utfør en ubundet handling på fanen Handlinger.

  5. Velg handlingen som heter RetrieveEnvironmentVariableSecretValue fra rullegardinlisten.

  6. Angi det unike navnet på miljøvariabelen (ikke visningsnavnet) som ble lagt til i forrige del, i dette eksemplet brukes new_TestSecret.

  7. Velg ... > Endre navn for å gi handlingen et nytt navn, slik at det blir enklere å henvise til den i neste handling. I skjermbildet under har den fått navnet GetSecret.

    Konfigurasjon av direkteflyt for testing av en hemmelighet til en miljøvariabel

  8. Velg ... > Innstillinger for å vise GetSecret-handlingsinnstillingene.

  9. Aktiver alternativet Sikre utdata i innstillingene, og velg deretter Ferdig. Dette er for å hindre at utdataene for handlingen blir eksponert i historikken for flytkjøringen.

    Aktiver innstilling for sikre utdata for handlingen

  10. Velg Nytt trinn, søk etter og velg deretter HTTP-koblingen.

  11. Velg metoden som GET, og angi URI-en for nettjenesten. I dette eksemplet brukes den fiktive nettjenesten httpbin.org.

  12. Velg Vis avanserte alternativer, velg Godkjenning som Basic, og angi deretter brukernavnet.

  13. Velg Passord-feltet, og på fanen Dynamisk innhold under navnet på flyttrinnet ovenfor (GetSecret i dette eksemplet) velger du RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, som deretter legges til som et uttrykk outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] eller body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Opprett et nytt trinn ved hjelp av HTTP-koblingen

  14. Velg ... > Innstillinger for å vise HTTP-handlingsinnstillingene.

  15. Aktiver alternativene Sikre inndata og Sikre utdata i innstillingene, og velg deretter Ferdig. Aktivering av disse alternativene hindre at inndataene og utdataene for handlingen blir eksponert i historikken for flytkjøringen.

  16. Velg Lagre for å opprette flyten.

  17. Kjør flyten manuelt for å teste den.

    Ved hjelp av kjøreloggen for flyten kan utdataene bekreftes.

    Flytutdata

Begrensninger

  • Miljøvariabler som refererer til hemmeligheter i Azure Key Vault, er for øyeblikket begrenset for bruk med Power Automate-flyter og egendefinerte koblinger.

Se også

Bruke datakildemiljøvariabler i lerretsapper
Bruk miljøvariabler i skyflyter i Power Automate-løsning
Oversikt over miljøvariabler.

Obs!

Kan du fortelle oss om språkinnstillingene for dokumentasjonen? Ta en kort undersøkelse. (vær oppmerksom på at denne undersøkelsen er på engelsk)

Undersøkelsen tar rundt sju minutter. Det blir ikke samlet inn noen personopplysninger (personvernerklæring).