Přehled
Data citlivá na firmu se obvykle používají zabezpečeným způsobem. To znamená, že funkce nebo aplikace pracující s těmito daty musí podporovat šifrování dat, práci s certifikáty atd. Vzhledem k tomu, že cloudová verze Microsoft Dynamics 365 for Finance and Operations nepodporuje místní úložiště certifikátů, musí zákazníci v tomto případě použít úložiště trezoru klíčů. Azure Key Vault nabízí možnost importovat kryptografické klíče, certifikáty do Azure a spravovat je. Další informace o Key Vault Azure: Co je Azure Key Vault.
K definování integrace mezi Microsoft Dynamics 365 for Finance and Operations a Azure Key Vault se vyžadují následující data:
-
Adresa URL trezoru klíčů (název DNS),
-
ID klienta (identifikátor aplikace),
-
Seznam certifikátů s jejich názvy,
-
Tajný klíč (hodnota klíče)
Níže najdete podrobný popis kroků nastavení:
Vytvoření úložiště Key Vault
-
Otevřete Azure Portal Microsoftu pomocí odkazu: https://ms.portal.azure.com/.
-
Kliknutím na tlačítko Vytvořit prostředek na levém panelu vytvořte nový prostředek. Zvolte skupinu Zabezpečení a identita a typ prostředku Key Vault.
-
Otevře se stránka Vytvořit trezor klíčů. Tady byste měli definovat parametry úložiště trezoru klíčů a potom kliknout na tlačítko Vytvořit:
-
Zadejte název trezoru klíčů. Tento parametr se v části Nastavení klienta Azure Key Vault označuje jako <KeyVaultName>.
-
Vyberte své předplatné.
-
Zvolte skupinu prostředků. Je to jako interní adresář uvnitř úložiště trezoru klíčů. Můžete použít existující skupinu prostředků nebo vytvořit novou.
-
Vyberte umístění.
-
Vyberte cenovou úroveň.
-
Klikněte na Vytvořit.
-
Připněte vytvořený trezor klíčů na řídicí panel.
Nahrání certifikátu
Postup nahrání do úložiště trezoru klíčů závisí na typu certifikátu.
Import certifikátů *.pfx
-
Certifikáty s příponou *.pfx je možné nahrát do Key Vault Azure pomocí skriptu PowerShellu.
-
Podle této instrukce nainstalujte modul AzureRM pro PowerShell: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
Spusťte skript v PowerShellu, jako v následujícím příkladu:
Connect-AzAccount
$pfxFilePath = ' <localpath> '
$pwd = ''
$secretName = ' <name> '
$keyVaultName = ' <keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd;[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = application/x-pkcs12
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Kde:
<localpath> – místní cesta k souboru s certifikátem, například C:\<smth>.pfx
<název> – název certifikátu, např. <>
<> trezoru klíčů – název úložiště trezoru klíčů
Pokud se vyžaduje heslo, přidejte ho do $pwd značky.
-
Nastavte značku pro certifikát nahraný do služby Azure Key Vault.
-
V Microsoft Azure Portal klikněte na tlačítkoŘídicí panel a výběrem příslušného trezoru klíčů ho otevřete.
-
Klikněte na dlaždici Tajné kódy.
-
Vyhledejte odpovídající tajný kód podle názvu certifikátu a otevřete ho.
-
Otevřete kartu Značky.
-
Nastavte název značky = "type" a hodnotu značky = "certificate".
Poznámka: Název značky a hodnota značky musí být vyplněné bez uvozovek a malými písmeny.
-
Klikněte na tlačítko OK a uložte aktualizovaný tajný kód.
Import ostatních certifikátů
-
Kliknutím na tlačítkoŘídicí panel na levém panelu zobrazíte trezor klíčů vytvořený dříve.
-
Výběrem příslušného trezoru klíčů ho otevřete. Karta Přehled zobrazuje základní parametry úložiště trezoru klíčů, včetně názvu DNS.
Poznámka: Název DNS je povinný parametr pro integraci s trezorem klíčů, proto by měl být zadaný v aplikaci a v části Nastavení klienta Azure Key Vault se označuje jako <Key Vault adresa URL> parametr.
-
Klikněte na dlaždici Tajné kódy.
-
Kliknutím na tlačítko Generovat/importovat na stránce Tajné kódy přidejte do úložiště trezoru klíčů nový certifikát. Na pravé straně stránky byste měli definovat parametry certifikátu:
-
V poli Možnosti nahrávání vyberte hodnotu Ruční.
-
Do pole Název zadejte název certifikátu.
Poznámka: Název tajného kódu je povinný parametr pro integraci s trezorem klíčů, proto by měl být zadán v aplikaci. V části Nastavení klienta Azure Key Vault se označuje jako parametr <SecretName>.
-
Otevřete certifikát pro úpravy a zkopírujte veškerý jeho obsah včetně počátečních a uzavíracích značek.
-
Vložte zkopírovaný obsah do pole Hodnota.
-
Povolte certifikát.
-
Stiskněte tlačítko Vytvořit.
-
Je možné nahrát několik verzí certifikátu a spravovat je v úložišti trezoru klíčů. Pokud potřebujete nahrát novou verzi existujícího certifikátu, vyberte příslušný certifikát a klikněte na tlačítko Nová verze.
Poznámka: Aktuální verze by měla být definována v nastavení aplikace a v části Nastavení klienta Azure Key Vault se označuje jako parametr<SecretVersion>.
Vytvoření vstupního bodu pro vaši aplikaci
Vytvořte vstupní bod pro vaši aplikaci, která používá úložiště trezoru klíčů.
-
Otevřete https://manage.windowsazure.com/ starší verze portálu.
-
Na levém panelu klikněte na Azure Active Directory a vyberte tu svou.
-
Při otevření služby Active Directory zvolte kartu Registrace aplikace.
-
Kliknutím na tlačítko Registrace nové aplikace na dolním panelu vytvořte novou položku aplikace.
-
Zadejte "Název" aplikace a vyberte odpovídající typ.
Poznámka: Na této stránce můžete také definovat přihlašovací adresu URL, která by měla mít formát http://<AppName>, kde <AppName> je název aplikace zadaný na předchozí stránce. <> AppName musí být definované v zásadách přístupu pro úložiště trezoru klíčů.
-
Klikněte na tlačítko Vytvořit.
Konfigurace aplikace
-
Otevřete kartu Registrace aplikací.
-
Najděte příslušnou aplikaci. Pole ID aplikace má stejnou hodnotu jako parametr <Key Vault Client>.
-
Klikněte na tlačítko Nastavení a pak otevřete kartu Klíče.
-
Vygenerujte klíč. Používá se pro zabezpečený přístup k úložišti trezoru klíčů z aplikace.
-
Vyplňte pole Popis.
-
Můžete vytvořit klíč s dobou trvání, která se rovná jednomu nebo dvěma rokům. Po kliknutí na tlačítko Uložit v dolní části stránky se hodnota klíče zobrazí.
Poznámka: Hodnota klíče je povinný parametr pro integraci s trezorem klíčů. Měl by se zkopírovat a pak zadat v aplikaci. V části Nastavení klienta Azure Key Vault se označuje jako <Key Vault parametr>tajného klíče.
-
Zkopírujte hodnotu "ID klienta" z konfigurace. Měl by být zadaný v aplikaci a v části Nastavení klienta Azure Key Vault by se měl označovat jako parametr >klienta<Key Vault.
Přidání aplikace do úložiště trezoru klíčů
Přidejte aplikaci do úložiště trezoru klíčů vytvořeného dříve.
-
Zpět k Azure Portal Microsoftu (https://ms.portal.azure.com/)
-
Otevřete úložiště trezoru klíčů a klikněte na dlaždici Zásady přístupu.
-
Klikněte na tlačítko Přidat nový a zvolte možnost Vybrat objekt zabezpečení. Pak byste měli aplikaci najít podle jejího názvu. Po nalezení aplikace klikněte na tlačítko Vybrat.
-
Vyplňte pole Konfigurovat ze šablony a klikněte na tlačítko OK.
Poznámka: Na této stránce můžete také v případě potřeby nastavit klíčová oprávnění.