Übersicht
Geschäftsbezogene Daten werden in der Regel auf gesicherte Weise verwendet. Dies bedeutet, dass eine Funktionalität oder Anwendung, die mit diesen Daten arbeitet, die Datenverschlüsselung, das Arbeiten mit Zertifikaten usw. unterstützen muss. Da die Cloudversion von Microsoft Dynamics 365 for Finance and Operations keinen lokalen Speicher von Zertifikaten unterstützt, müssen Kunden in diesem Fall einen Schlüsseltresorspeicher verwenden. Die Azure Key Vault bietet die Möglichkeit, kryptografische Schlüssel, Zertifikate in Azure zu importieren und zu verwalten. Weitere Informationen zum Azure Key Vault: Was ist Azure Key Vault?
Die folgenden Daten sind erforderlich, um die Integration zwischen Microsoft Dynamics 365 for Finance and Operations und Azure Key Vault zu definieren:
-
Schlüsseltresor-URL (DNS-Name),
-
Client-ID (Anwendungs-ID),
-
Liste der Zertifikate mit ihren Namen,
-
Geheimer Schlüssel (Schlüsselwert).
Unten finden Sie eine detaillierte Beschreibung der Einrichtungsschritte:
Erstellen eines Key Vault Speichers
-
Öffnen Sie die Microsoft Azure-Portal über den Folgenden Link: https://ms.portal.azure.com/.
-
Klicken Sie im linken Bereich auf die Schaltfläche "Ressource erstellen", um eine neue Ressource zu erstellen. Wählen Sie die Gruppe "Sicherheit + Identität" und den Ressourcentyp "Key Vault" aus.
-
Die Seite "Schlüsseltresor erstellen" wird geöffnet. Hier sollten Sie Speicherparameter für den Schlüsseltresor definieren und dann auf die Schaltfläche "Erstellen" klicken:
-
Geben Sie "Name" des Schlüsseltresors an. Dieser Parameter wird in "Einrichten von Azure Key Vault Client" als <KeyVaultName>bezeichnet.
-
Wählen Sie Ihr Abonnement aus.
-
Wählen Sie eine Ressourcengruppe aus. Es ist wie ein internes Verzeichnis im Schlüsseltresorspeicher. Sie können sowohl eine vorhandene Ressourcengruppe verwenden als auch eine neue erstellen.
-
Wählen Sie Ihren Standort aus.
-
Wählen Sie ein Preisniveau aus.
-
Klicken Sie auf "Erstellen".
-
Heften Sie den erstellten Schlüsseltresor an das Dashboard an.
Hochladen eines Zertifikats
Das Hochladen des Vorgangs in den Schlüsseltresorspeicher hängt von einem Zertifikattyp ab.
Import der *.pfx-Zertifikate
-
Die Zertifikate mit der Erweiterung *.pfx können mithilfe eines PowerShell-Skripts in die Azure Key Vault hochgeladen werden.
-
Installieren Sie das Modul AzureRM für PowerShell nach dieser Anweisung: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
Führen Sie ein Skript in der PowerShell wie im folgenden Beispiel aus:
Connect-AzAccount
$pfxFilePath = ' <Localpath> '
$pwd = ''
$secretName = ' <Name> '
$keyVaultName = ' <keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText -Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Wo:
<Localpath-> – lokaler Pfad zur Datei mit Certicat, z. B. C:\<smth>.pfx
<Name> - Name des Zertifikats, z. B. <smth>
<keyvault> – Name des Key Vault-Speichers
Wenn ein Kennwort erforderlich ist, fügen Sie es dem Tag $pwd
-
Legen Sie ein Tag für das Zertifikat fest, das in den Azure Key Vault hochgeladen wurde.
-
Klicken Sie in Microsoft Azure-Portal auf die Schaltfläche "Dashboard", und wählen Sie den entsprechenden Schlüsseltresor aus, um ihn zu öffnen.
-
Klicken Sie auf die Kachel "Geheime Schlüssel".
-
Suchen Sie nach einem geeigneten Geheimschlüssel anhand des Zertifikatnamens, und öffnen Sie ihn.
-
Öffnen sie die Registerkarte "Kategorien".
-
Tagname = "type" und Tag value = "certificate" festlegen.
Hinweis: Tagname und Tag-Wert müssen ohne Anführungszeichen und in Kleinbuchstaben ausgefüllt werden.
-
Klicken Sie auf die Schaltfläche "OK", und speichern Sie den aktualisierten geheimen Schlüssel.
Import der anderen Zertifikate
-
Klicken Sie im linken Bereich auf die Schaltfläche "Dashboard", um den zuvor erstellten Schlüsseltresor anzuzeigen.
-
Wählen Sie den entsprechenden Schlüsseltresor aus, um ihn zu öffnen. Auf der Registerkarte "Übersicht" werden wesentliche Parameter des Schlüsseltresorspeichers angezeigt, einschließlich eines "DNS-Namens".
Hinweis: Der DNS-Name ist ein obligatorischer Parameter für die Integration in den Schlüsseltresor. Daher sollte er in der Anwendung angegeben und unter "Einrichten von Azure Key Vault-Client" als <Key Vault URL> Parameter bezeichnet werden.
-
Klicken Sie auf die Kachel "Geheime Schlüssel".
-
Klicken Sie auf der Seite "Geheime Schlüssel" auf die Schaltfläche "Generieren/Importieren" , um dem Schlüsseltresorspeicher ein neues Zertifikat hinzuzufügen. Auf der rechten Seite der Seite sollten Sie die Zertifikatparameter definieren:
-
Wählen Sie im Feld "Uploadoptionen" den Wert "Manuell" aus.
-
Geben Sie den Zertifikatnamen in das Feld "Name" ein.
Hinweis: Der geheime Name ist ein obligatorischer Parameter für die Integration in den Schlüsseltresor, daher sollte er in der Anwendung angegeben werden. Es wird in "Einrichten von Azure Key Vault Client" als <SecretName>-Parameter bezeichnet.
-
Öffnen Sie ein Zertifikat zum Bearbeiten und Kopieren aller Inhalte, einschließlich der Anfangs- und Abschlusstags.
-
Fügen Sie den kopierten Inhalt in das Feld "Wert" ein.
-
Aktivieren Sie das Zertifikat.
-
Drücken Sie die Schaltfläche "Erstellen".
-
Es ist möglich, mehrere Versionen des Zertifikats hochzuladen und im Schlüsseltresorspeicher zu verwalten. Wenn Sie eine neue Version für ein vorhandenes Zertifikat hochladen müssen, wählen Sie ein entsprechendes Zertifikat aus, und klicken Sie auf die Schaltfläche "Neue Version".
Hinweis: Die aktuelle Version sollte im Anwendungssetup definiert werden und wird unter "Einrichten von Azure Key Vault Client" als <SecretVersion->-Parameter bezeichnet.
Erstellen eines Einstiegspunkts für Ihre Anwendung
Erstellen Sie einen Einstiegspunkt für Ihre Anwendung, der den Schlüsseltresorspeicher verwendet.
-
Öffnen Sie das Legacyportal https://manage.windowsazure.com/.
-
Klicken Sie im linken Bereich auf "Azure Active Directory", und wählen Sie Ihrs aus.
-
Wählen Sie im geöffneten Active Directory die Registerkarte "App-Registrierung" aus.
-
Klicken Sie im unteren Bereich auf die Schaltfläche "Neue Anwendungsregistrierung", um einen neuen Anwendungseintrag zu erstellen.
-
Geben Sie einen "Namen" der Anwendung an, und wählen Sie einen geeigneten Typ aus.
Hinweis: Auf dieser Seite können Sie auch die "Anmelde-URL" definieren, die das Format "http://<AppName>" aufweisen soll, wobei <AppName> ein Anwendungsname ist, der auf der vorherigen Seite angegeben wurde. <AppName-> muss in den Zugriffsrichtlinien für den Schlüsseltresorspeicher definiert werden.
-
Klicken Sie auf die Schaltfläche "Erstellen".
Konfigurieren Ihrer Anwendung
-
Öffnen Sie die Registerkarte "App-Registrierungen".
-
Suchen Sie nach einer geeigneten Anwendung. Das Feld "Anwendungs-ID" hat denselben Wert wie der Parameter von <Key Vault Client>.
-
Klicken Sie auf die Schaltfläche "Einstellungen", und öffnen Sie dann die Registerkarte "Tasten".
-
Generieren Sie einen Schlüssel. Es wird für einen sicheren Zugriff auf den Schlüsseltresorspeicher aus der Anwendung verwendet.
-
Füllen Sie das Feld "Beschreibung" aus.
-
Sie können einen Schlüssel mit einer Dauer von einem oder zwei Jahren erstellen. Nachdem Sie im unteren Teil der Seite auf die Schaltfläche "Speichern" geklickt haben, wird der Schlüsselwert angezeigt.
Hinweis: Der Schlüsselwert ist ein obligatorischer Parameter für die Integration in den Schlüsseltresor. Sie sollte kopiert und dann in der Anwendung angegeben werden. Es wird unter "Einrichten von Azure Key Vault Client" als <Key Vault geheimen Schlüssel> Parameter bezeichnet.
-
Kopieren Sie den Wert von "Client-ID" aus der Konfiguration. Sie sollte in der Anwendung angegeben und unter "Einrichten von Azure Key Vault Client" als <Key Vault Client->-Parameter bezeichnet werden.
Hinzufügen einer Anwendung zum Schlüsseltresorspeicher
Fügen Sie Ihre Anwendung dem zuvor erstellten Schlüsseltresorspeicher hinzu.
-
Zurück zum Microsoft Azure-Portal (https://ms.portal.azure.com/),
-
Öffnen Sie Ihren Schlüsseltresorspeicher, und klicken Sie auf die Kachel "Zugriffsrichtlinien".
-
Klicken Sie auf die Schaltfläche "Neu hinzufügen", und wählen Sie die Option "Prinzipal auswählen" aus. Dann sollten Sie Ihre Anwendung anhand ihres Namens finden. Wenn die Anwendung gefunden wird, klicken Sie auf die Schaltfläche "Auswählen".
-
Füllen Sie das Feld "Aus Vorlage konfigurieren" aus, und klicken Sie auf die Schaltfläche "Ok".
Hinweis: Auf dieser Seite können Sie bei Bedarf auch die Schlüsselberechtigungen einrichten.