Общ преглед
Бизнес конфиденциалните данни обикновено се използват по сигурен начин. Това означава, че една функционалност или приложение, работещо с тези данни, трябва да поддържа шифроване на данни, работа със сертификати и др. Тъй като версията в облака на Microsoft Dynamics 365 for Finance and Operations не поддържа локално съхранение на сертификати, в този случай клиентите трябва да използват хранилище за ключове. Azure Хранилище за ключове дава възможност за импортиране на криптографски ключове, сертификати към Azure и тяхното управление. Допълнителна информация за Azure Хранилище за ключове: Какво представлява Azure Хранилище за ключове.
Следните данни са необходими, за да дефинирате интеграцията между Microsoft Dynamics 365 for Finance and Operations и Azure Хранилище за ключове:
- URL адрес на хранилище за ключове (DNS име),
- ИД на клиент (идентификатор на приложение),
- Списък на сертификатите с техните имена,
- Таен ключ (стойност на ключ).
По-долу можете да намерите подробно описание на стъпките за настройка:
Създаване на хранилище за Хранилище за ключове
- Отворете портала на Microsoft Azure, като използвате връзката: https://ms.portal.azure.com/.
- Щракнете върху бутона "Създаване на ресурс" в левия панел, за да създадете нов ресурс. Изберете групата "Защита + самоличност" и типа ресурс "Хранилище за ключове".
- Отваря се страницата "Създаване на хранилище с ключове". Тук трябва да дефинирате параметрите на хранилището за ключове и след това да щракнете върху бутона "Създаване":
- Задайте "Име" на хранилището с ключове. Този параметър се посочва в "Настройка на Azure Хранилище за ключове клиент" като <KeyVaultName>.
- Изберете своя абонамент.
- Изберете група ресурси. То е като вътрешна директория в хранилището за ключове. Можете както да използвате съществуваща група ресурси, така и да създадете нова.
- Изберете вашето местоположение.
- Изберете ценово ниво.
- Щракнете върху "Създай".
- Закачете създаденото хранилище за ключове към таблото.
Качване на сертификат
Процедурата за качване в хранилището за ключове зависи от типа на сертификата.
Импортиране на *.pfx сертификати
- Сертификатите с разширение *.pfx могат да бъдат качени в Azure Хранилище за ключове с помощта на PowerShell скрипт.
- Инсталирайте модула AzureRM за PowerShell, като следвате тази инструкция: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
- Изпълнете скрипт в PowerShell, като в примера по-долу:
Connect-AzAccount
$pfxFilePath = '<Localpath>'
$pwd = ''
$secretName = '<name>'
$keyVaultName = '<keyvault>'
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath; $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Къде:
<Localpath> – локален път до файла със сертикат, например C:\<smth.pfx>
<Име> - Име на сертификата, например <SMTH>
<keyvault> – име на хранилището за ключове
Ако се изисква парола, добавете я към $pwd на етикет
- Задайте етикет за сертификата, качен в хранилището за ключове на Azure.
- В портала на Microsoft Azure щракнете върху бутона "Табло"* и изберете съответното хранилище за ключове, за да го отворите.
- Кликнете върху плочката "Тайни".
- Намерете подходяща тайна по името на сертификата и я отворете.
- Отваряне на раздела "Етикети".
- Set Tag name = "type" and Tag value = "certificate".
Забележка: Името на етикета и стойността на етикета трябва да бъдат попълнени без кавички и с малки букви.
- Щракнете върху бутона OK и запишете актуализираната тайна.
Импортиране на другите сертификати
- Щракнете върху бутона "Табло" в левия панел, за да видите хранилището с ключове, създадено по-рано.
- Изберете съответния хранилище за ключове, за да го отворите. Разделът "Общ преглед" показва основни параметри на хранилището за ключове, включително "DNS име".
Забележка: DNS името е задължителен параметър за интеграция с хранилището с ключове, поради което трябва да бъде посочено в приложението и посочено в "Настройка на Azure Хранилище за ключове клиент" като <параметър Хранилище за ключове URL> адрес.
- Кликнете върху плочката "Тайни".
- Щракнете върху бутона "Генериране/импортиране" на страницата "Тайни", за да добавите нов сертификат към хранилището за ключове. В дясната страна на страницата трябва да зададете параметрите на сертификата:
- Изберете стойността "Ръчно" в полето "Опции за качване".
- Въведете името на сертификата в полето "Име".
Забележка: Тайното име е задължителен параметър за интеграция с хранилището с ключове, поради което трябва да бъде посочено в приложението. Той се посочва в "Настройка на Azure Хранилище за ключове клиент" като <параметър SecretName>.
- Отваряте сертификат за редактиране и копирате цялото му съдържание, включително началния и затварящия етикет.
- Поставете копираното съдържание в полето "Стойност".
- Разрешете сертификата.
- Натиснете бутона "Създаване".
- Възможно е да качите няколко версии на сертификата и да ги управлявате в хранилището за ключове. Ако трябва да качите нова версия за съществуващ сертификат, изберете съответния сертификат и щракнете върху бутона "Нова версия".
Забележка: Текущата версия трябва да бъде дефинирана в настройката на приложението и е посочена в "Настройка на Azure Хранилище за ключове Client" като <параметър SecretVersion>.
Създаване на входна точка за вашето приложение
Създайте входна точка за вашето приложение, която използва хранилището за ключове.
- Отворете наследения портал https://manage.windowsazure.com/.
- Щракнете върху "Azure Active Directory" от левия панел и изберете вашия.
- В отворен указател Active Directory изберете раздела "Регистрация на приложения".
- Щракнете върху бутона "Регистрация на ново приложение" в долния панел, за да създадете нов запис на приложение.
- Посочете "Име" на приложението и изберете подходящ тип.
Забележка: На тази страница можете също да дефинирате "URL адрес за влизане", който трябва да има формат http://< AppName>, където <AppName> е име на приложение, указано на предходната страница. <AppName> трябва да бъде дефинирано в правилата за достъп до съхранението на хранилището за ключове.
- Щракнете върху бутона "Създаване".
Конфигуриране на вашето приложение
- Отваряне на раздела "Регистрации на приложения".
- Намерете подходящо приложение. Полето "ИД на приложение" има същата стойност като параметъра на клиент на< Хранилище за ключове>.
- Щракнете върху бутона "Настройки" и след това отворете раздела "Клавиши".
- Генериране на ключ. Използва се за защитен достъп до хранилището за ключове от приложението.
- Попълнете полето "Описание".
- Можете да създадете ключ, чийто период може да бъде равен на една или две години. След като щракнете върху бутона "Запиши" в долната част на страницата, стойността на ключа става видима.
Забележка: Стойността на ключа е задължителен параметър за интегриране с хранилището с ключове. Тя трябва да бъде копирана и след това посочена в приложението. Той се посочва в "Настройка на Azure Хранилище за ключове клиент" като <параметър Хранилище за ключове таен ключ>.
- Копирайте стойността на "ИД на клиент" от конфигурацията. Той трябва да бъде посочен в приложението и посочен в "Настройка на Azure Хранилище за ключове клиент" като <параметър Хранилище за ключове Client>.
Добавяне на приложение към хранилището за ключове
Добавете приложението си към хранилището за ключове, създадено преди това.
- Връщане към портала на Microsoft Azure (https://ms.portal.azure.com/),
- Отворете хранилището за ключове и щракнете върху плочката "Правила за достъп".
- Кликнете върху бутона "Добавяне на нов" и изберете опцията "Избор на главница". След това трябва да намерите приложението си по неговото име. Когато приложението бъде намерено, щракнете върху бутона "Избор".
- Попълнете полето "Конфигуриране от шаблон" и щракнете върху бутона OK.
Забележка: На тази страница можете също да зададете разрешения за ключа, ако е необходимо.