Преглед
Чувствителните към бизнеса данни обикновено се използват по защитен начин. Това означава, че функционалност или приложение, което работи с тези данни, трябва да поддържа шифроване на данни, работа със сертификати и др. Тъй като версията в облака на Microsoft Dynamics 365 for Finance и Operations не поддържа локално съхранение на сертификати, клиентите трябва да използват хранилище за ключове за съхранение в този случай. Azure Хранилище за ключове предоставя възможност да импортирате криптографски ключове, сертификати в Azure и да ги управлявате. Допълнителна информация за azure Хранилище за ключове: Какво представлява Azure Хранилище за ключове.
Следните данни са необходими, за да се определи интеграцията между Microsoft Dynamics 365 for Finance и Operations и Azure Хранилище за ключове:
-
URL адрес на хранилището на ключове (DNS име),
-
ИД на клиент (идентификатор на приложение),
-
Списък на сертификатите с имената им,
-
Таен ключ (стойност на ключ).
По-долу можете да намерите подробно описание на стъпките за настройка:
Създаване на място за съхранение на Хранилище за ключове
-
Отворете портала на Microsoft Azure, като използвате връзката: https://ms.portal.azure.com/.
-
Щракнете върху бутона "Създаване на ресурс" в левия панел, за да създадете нов ресурс. Изберете групата "Security + Identity" и типа ресурс "Хранилище за ключове".
-
Страницата "Създаване на хранилище за ключове" е отворена. Тук трябва да дефинирате параметрите за съхранение на хранилището на ключове и след това да щракнете върху бутона "Създай":
-
Задайте "Име" на хранилището на ключове. Този параметър е посочен в "Настройване на Azure Хранилище за ключове клиент" като <KeyVaultName>.
-
Изберете своя абонамент.
-
Изберете група ресурси. Това е като вътрешна директория в хранилището за ключове. Можете да използвате съществуваща група ресурси или да създадете нова.
-
Изберете вашето местоположение.
-
Изберете ценово ниво.
-
Щракнете върху "Създай".
-
Закачете създаденото хранилище за ключове към таблото.
Качване на сертификат
Процедурата за качване в хранилището за ключове зависи от типа на сертификата.
Импортиране на *.pfx сертификати
-
Сертификатите с разширение *.pfx могат да бъдат качени в Azure Хранилище за ключове с помощта на скрипт на PowerShell.
-
Инсталирайте модула AzureRM за PowerShell, като следвате тази инструкция: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
Изпълнете скрипт в PowerShell, както е показано по-долу в примера:
Connect-AzAccount
$pfxFilePath = ' <Localpath> '
$pwd = ''
$secretName = ' <име> '
$keyVaultName = ' <>keyvault '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection е. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = "application/x-pkcs12"
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Където:
<Localpath> – локален път до файла със сертификат, например C:\<smth>.pfx
<име> – името на сертификата, например <smth>
<keyvault> – име на хранилището на хранилището за ключове
Ако се изисква парола, добавете я към $pwd на етикета
-
Задайте етикет за сертификата, качен в хранилището на ключове на Azure.
-
В портала на Microsoft Azure щракнете върху бутона "Табло" и изберете подходящото хранилище за ключове, за да го отворите.
-
Щракнете върху плочката "Тайни".
-
Намерете подходящата тайна чрез името на сертификата и я отворете.
-
Отваряне на раздела "Етикети".
-
Set Tag name = "type" and Tag value = "certificate".
Забележка: Името на етикета и стойността на етикета трябва да бъдат попълнени без кавички и с малки букви.
-
Щракнете върху бутона OK и запазете актуализираната тайна.
Импортиране на другите сертификати
-
Щракнете върху бутона "Табло" в левия панел, за да видите хранилището за ключове, създадено по-рано.
-
Изберете подходящото хранилище за ключове, за да го отворите. Разделът "Общ преглед" показва основни параметри на хранилището за ключове, включително "DNS име".
Забележка: DNS името е задължителен параметър за интегриране с хранилището на ключове, затова трябва да бъде зададено в приложението и се нарича "Настройване на Azure Хранилище за ключове client" като <Хранилище за ключове URL> параметър.
-
Щракнете върху плочката "Тайни".
-
Щракнете върху бутона "Генериране/импортиране" на страницата "Тайни" , за да добавите нов сертификат към хранилището за ключове. От дясната страна на страницата трябва да дефинирате параметрите на сертификата:
-
Изберете стойността "Ръчно" в полето "Опции за качване".
-
Въведете името на сертификата в полето "Име".
Забележка: Името на тайната е задължителен параметър за интегриране с хранилището на ключове, затова трябва да бъде зададено в приложението. Той е посочен в "Настройване на Azure Хранилище за ключове клиент" като параметър <SecretName>.
-
Отворете сертификат за редактиране и копирайте цялото му съдържание, включително етикетите за начало и затваряне.
-
Поставете копираното съдържание в полето "Стойност".
-
Разрешете сертификата.
-
Натиснете бутона "Създай".
-
Възможно е да качите няколко версии на сертификата и да ги управлявате в хранилището за ключове. Ако трябва да качите нова версия за съществуващ сертификат, изберете съответния сертификат и щракнете върху бутона "Нова версия".
Забележка: Текущата версия трябва да бъде дефинирана в настройката на приложението и се нарича в "Настройване на Azure Хранилище за ключове клиент" като параметър <SecretVersion>.
Създаване на входна точка за вашето приложение
Създайте входна точка за вашето приложение, която използва хранилището за ключове.
-
Отворете наследения портален https://manage.windowsazure.com/.
-
Щракнете върху "Azure Active Directory" от левия панел и изберете вашия.
-
В отворения Active Directory изберете раздела "Регистриране на приложения".
-
Щракнете върху бутона "Регистриране на ново приложение" в долния панел, за да създадете нов запис за приложение.
-
Задайте "Име" на приложението и изберете подходящ тип.
Забележка: На тази страница можете също да дефинирате "URL адрес за влизане", който трябва да има формат http://<AppName>, където <AppName> е име на приложение, зададено на предишната страница. <AppName> трябва да бъдат дефинирани в правилата за достъп до хранилището за ключове.
-
Щракнете върху бутона "Създай".
Конфигуриране на вашето приложение
-
Отворете раздела "Регистрации на приложения".
-
Намерете подходящо приложение. Полето "ИД на приложение" има същата стойност като параметъра на <Хранилище за ключове client>.
-
Щракнете върху бутона "Настройки" и след това отворете раздела "Клавиши".
-
Генериране на ключ. Използва се за защитен достъп до хранилището за ключове от приложението.
-
Попълнете полето "Описание".
-
Можете да създадете ключ, като периодът на продължителност е равен на една или две години. След като щракнете върху бутона "Запиши" в долната част на страницата, стойността на ключа става видима.
Забележка: Стойността на ключа е задължителен параметър за интегриране с хранилището на ключове. То трябва да се копира и след това да се зададе в приложението. Той е посочен в "Настройване на Azure Хранилище за ключове клиент" като <Хранилище за ключове таен ключ> параметър.
-
Копирайте стойността на "ИД на клиент" от конфигурацията. Тя трябва да бъде посочена в приложението и да се посочи в "Настройване на Azure Хранилище за ключове клиент" като параметър <Хранилище за ключове client>.
Добавяне на приложение към хранилището за ключове
Добавете вашето приложение към хранилището с ключове, създадено преди това.
-
Връщане към портала на Microsoft Azure (https://ms.portal.azure.com/),
-
Отворете хранилището за ключове и щракнете върху плочката "Правила на Access".
-
Щракнете върху бутона "Добавяне на нов" и изберете опцията "Избор на субект". След това трябва да намерите вашата кандидатура по име. Когато приложението бъде намерено, щракнете върху бутона "Избери".
-
Попълнете полето "Конфигуриране от шаблон" и щракнете върху бутона OK.
Забележка: На тази страница можете също да настроите разрешенията за ключ, ако е необходимо.