Επισκόπηση
Τα ευαίσθητα στην επιχείρηση δεδομένα χρησιμοποιούνται συνήθως με ασφαλή τρόπο. Σημαίνει ότι μια λειτουργικότητα ή εφαρμογή που λειτουργεί με αυτά τα δεδομένα πρέπει να υποστηρίζει κρυπτογράφηση δεδομένων, εργασία με πιστοποιητικά κ.λπ. Καθώς η έκδοση cloud του Microsoft Dynamics 365 for Finance and Operations δεν υποστηρίζει τοπικό χώρο αποθήκευσης πιστοποιητικών, οι πελάτες πρέπει να χρησιμοποιήσουν έναν χώρο αποθήκευσης key vault σε αυτή την περίπτωση. Το Azure Key Vault παρέχει τη δυνατότητα εισαγωγής κλειδιών κρυπτογράφησης, πιστοποιητικών σε Azure και διαχείρισής τους. Πρόσθετες πληροφορίες σχετικά με το Azure Key Vault: Τι είναι Azure Key Vault.
Τα ακόλουθα δεδομένα απαιτούνται για τον καθορισμό της ενοποίησης μεταξύ του Microsoft Dynamics 365 Finance and Operations and Azure Key Vault:
- Διεύθυνση URL Key vault (όνομα DNS),
- Αναγνωριστικό πελάτη (αναγνωριστικό εφαρμογής),
- Λίστα των πιστοποιητικών με τα ονόματά τους,
- Μυστικό κλειδί (τιμή κλειδιού).
Παρακάτω, μπορείτε να βρείτε μια λεπτομερή περιγραφή των βημάτων ρύθμισης:
Δημιουργία χώρου αποθήκευσης Key Vault
- Ανοίξτε την πύλη Microsoft Azure χρησιμοποιώντας τη σύνδεση: https://ms.portal.azure.com/.
- Κάντε κλικ στο κουμπί "Δημιουργία πόρου" στον αριστερό πίνακα για να δημιουργήσετε έναν νέο πόρο. Επιλέξτε την ομάδα "Ασφάλεια + Ταυτότητα" και τον τύπο πόρου "Key Vault".
- Ανοίγει η σελίδα "Δημιουργία key vault". Εδώ, θα πρέπει να ορίσετε βασικές παραμέτρους αποθήκευσης key vault και, στη συνέχεια, να κάνετε κλικ στο κουμπί "Δημιουργία":
- Καθορίστε το "Όνομα" του key vault. Αυτή η παράμετρος αναφέρεται στο "Setting up Azure Key Vault Client" ως <KeyVaultName>.
- Επιλέξτε τη συνδρομή σας.
- Επιλέξτε μια ομάδα πόρων. Είναι σαν ένας εσωτερικός κατάλογος μέσα στον χώρο αποθήκευσης key vault. Μπορείτε και οι δύο να χρησιμοποιήσετε μια υπάρχουσα ομάδα πόρων ή να δημιουργήσετε μια νέα.
- Επιλέξτε την τοποθεσία σας.
- Επιλέξτε ένα επίπεδο τιμολόγησης.
- Κάντε κλικ στο "Δημιουργία".
- Καρφιτσώστε το key vault που δημιουργήθηκε στον πίνακα εργαλείων.
Αποστολή πιστοποιητικού
Η διαδικασία αποστολής στον χώρο αποθήκευσης key vault εξαρτάται από έναν τύπο πιστοποιητικού.
Εισαγωγή των πιστοποιητικών *.pfx
- Τα πιστοποιητικά με επέκταση *.pfx μπορούν να αποσταλούν στο Azure Key Vault χρησιμοποιώντας μια δέσμη ενεργειών PowerShell.
- Εγκαταστήστε τη μονάδα AzureRM για PowerShell ακολουθώντας αυτήν την οδηγία: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
- Εκτελέστε μια δέσμη ενεργειών στο PowerShell όπως στο παράδειγμα που φαίνεται παρακάτω:
Σύνδεση-AzAccount
$pfxFilePath = '<Localpath>'
$pwd = ''
$secretName = '<όνομα>'
$keyVaultName = '<keyvault>'
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Όπου:
<Localpath> - τοπική διαδρομή για το αρχείο με πιστοποιητικό, π.χ. C:\<smth.pfx>
<Όνομα> - όνομα του πιστοποιητικού, π.χ. <SMTH>
<keyvault> - όνομα του χώρου αποθήκευσης key vault
Αν απαιτείται κωδικός πρόσβασης, προσθέστε τον στην ετικέτα $pwd
- Ορίστε μια ετικέτα για το πιστοποιητικό που έχει αποσταλεί στο Azure Key Vault.
- Στην πύλη Microsoft Azure, κάντε κλικ στο κουμπί "Πίνακας εργαλείων"* και επιλέξτε το κατάλληλο Key Vault για να το ανοίξετε.
- Κάντε κλικ στο πλακίδιο "Μυστικά".
- Βρείτε ένα κατάλληλο μυστικό κωδικό με το όνομα πιστοποιητικού και ανοίξτε το.
- Ανοίξτε την καρτέλα "Ετικέτες".
- Ορισμός ονόματος ετικέτας = "τύπος" και τιμή ετικέτας = "πιστοποιητικό".
Σημείωση: Το όνομα και η τιμή ετικέτας πρέπει να συμπληρωθούν χωρίς εισαγωγικά και με πεζά.
- Κάντε κλικ στο κουμπί OK και αποθηκεύστε τον ενημερωμένο μυστικό κωδικό.
Εισαγωγή των άλλων πιστοποιητικών
- Κάντε κλικ στο κουμπί "Ταμπλό" στον αριστερό πίνακα για να δείτε το key vault που δημιουργήθηκε νωρίτερα.
- Επιλέξτε το κατάλληλο Key vault για να το ανοίξετε. Η καρτέλα "Επισκόπηση" εμφανίζει βασικές παραμέτρους του χώρου αποθήκευσης key vault, συμπεριλαμβανομένου ενός "ονόματος DNS".
Σημείωση: Το όνομα DNS είναι μια υποχρεωτική παράμετρος για την ενσωμάτωση με το key vault, επομένως θα πρέπει να καθοριστεί στην εφαρμογή και να αναφέρεται στο "Setting up Azure Key Vault Client" ως <Key Vault παράμετρος URL>.
- Κάντε κλικ στο πλακίδιο "Μυστικά".
- Κάντε κλικ στο κουμπί "Δημιουργία/Εισαγωγή" στη σελίδα "Μυστικά" για να προσθέσετε ένα νέο πιστοποιητικό στον χώρο αποθήκευσης key vault. Στη δεξιά πλευρά της σελίδας, θα πρέπει να ορίσετε τις παραμέτρους του πιστοποιητικού:
- Επιλέξτε την τιμή "Μη αυτόματο" στο πεδίο "Επιλογές μεταφόρτωσης".
- Εισαγάγετε το όνομα του πιστοποιητικού στο πεδίο "Όνομα".
Σημείωση: Το Secret Name είναι μια υποχρεωτική παράμετρος για την ενσωμάτωση με το key vault, επομένως θα πρέπει να καθοριστεί στην εφαρμογή. Αναφέρεται στο "Setting up Azure Key Vault Client" ως <παράμετρος SecretName>.
- Ανοίξτε ένα πιστοποιητικό για επεξεργασία και αντιγράψτε όλο το περιεχόμενό του, συμπεριλαμβανομένων των ετικετών έναρξης και κλεισίματος.
- Επικολλήστε το αντιγραμμένο περιεχόμενο στο πεδίο "Τιμή".
- Ενεργοποιήστε το πιστοποιητικό.
- Πατήστε το κουμπί "Δημιουργία".
- Μπορείτε να αποστείλετε πολλές εκδόσεις του πιστοποιητικού και να τις διαχειριστείτε στον χώρο αποθήκευσης key vault. Εάν πρέπει να ανεβάσετε μια νέα έκδοση για ένα υπάρχον πιστοποιητικό, επιλέξτε ένα κατάλληλο πιστοποιητικό και κάντε κλικ στο κουμπί "Νέα έκδοση".
Σημείωση: Η τρέχουσα έκδοση θα πρέπει να οριστεί στη ρύθμιση της εφαρμογής και αναφέρεται στο "Setting up Azure Key Vault Client" ως <παράμετρος SecretVersion>.
Δημιουργία σημείου εισόδου για την εφαρμογή σας
Δημιουργήστε ένα σημείο εισόδου για την εφαρμογή σας που χρησιμοποιεί τον χώρο αποθήκευσης key vault.
- Ανοίξτε την πύλη παλαιού τύπου https://manage.windowsazure.com/.
- Κάντε κλικ στο "Azure Active Directory" από τον αριστερό πίνακα και επιλέξτε το δικό σας.
- Στο άνοιγμα του ενεργού καταλόγου, επιλέξτε την καρτέλα "Εγγραφή εφαρμογής".
- Κάντε κλικ στο κουμπί "Νέα εγγραφή εφαρμογής" στον κάτω πίνακα για να δημιουργήσετε μια νέα καταχώριση εφαρμογής.
- Καθορίστε ένα "Όνομα" της εφαρμογής και επιλέξτε έναν κατάλληλο τύπο.
Σημείωση: Σε αυτήν τη σελίδα μπορείτε επίσης να ορίσετε τη "Διεύθυνση URL σύνδεσης", η οποία θα πρέπει να έχει μορφή http://< AppName>, όπου <AppName> είναι ένα όνομα εφαρμογής που καθορίζεται στην προηγούμενη σελίδα. <Το AppName> πρέπει να οριστεί στις πολιτικές πρόσβασης για τον χώρο αποθήκευσης key vault.
- Κάντε κλικ στο κουμπί "Δημιουργία".
Ρύθμιση της εφαρμογής σας
- Ανοίξτε την καρτέλα "Εγγραφές εφαρμογών".
- Βρείτε μια κατάλληλη εφαρμογή. Το πεδίο "Αναγνωριστικό εφαρμογής" έχει την ίδια τιμή με την παράμετρο του <προγράμματος-πελάτη> Key Vault.
- Κάντε κλικ στο κουμπί "Ρυθμίσεις" και, στη συνέχεια, ανοίξτε την καρτέλα "Κλειδιά".
- Δημιουργία κλειδιού. Χρησιμοποιείται για ασφαλή πρόσβαση στον χώρο αποθήκευσης key vault από την εφαρμογή.
- Συμπληρώστε το πεδίο "Περιγραφή".
- Μπορείτε να δημιουργήσετε ένα κλειδί με την περίοδο διάρκειας να ισούται με ένα ή δύο έτη. Αφού κάνετε κλικ στο κουμπί "Αποθήκευση" στο κάτω μέρος της σελίδας, η τιμή κλειδιού γίνεται ορατή.
Σημείωση: Η τιμή κλειδιού είναι μια υποχρεωτική παράμετρος για την ενοποίηση με το key vault. Θα πρέπει να αντιγραφεί και, στη συνέχεια, να καθοριστεί στην εφαρμογή. Αναφέρεται στο "Setting up Azure Key Vault Client" ως <Key Vault παράμετρος μυστικού κλειδιού>.
- Αντιγράψτε την τιμή του "Αναγνωριστικού προγράμματος-πελάτη" από τη ρύθμιση παραμέτρων. Θα πρέπει να προσδιορίζεται στην εφαρμογή και να αναφέρεται στην ενότητα "Ρύθμιση Azure Key Vault πελάτη" ως <Key Vault παράμετρος πελάτη>.
Προσθήκη εφαρμογής στον χώρο αποθήκευσης key vault
Προσθέστε την εφαρμογή σας στον χώρο αποθήκευσης key vault που δημιουργήθηκε πριν.
- Επιστροφή στην πύλη του Microsoft Azure (https://ms.portal.azure.com/),
- Ανοίξτε τον χώρο αποθήκευσης key vault και κάντε κλικ στο πλακίδιο "Πολιτικές πρόσβασης".
- Κάντε κλικ στο κουμπί "Προσθήκη νέου" και επιλέξτε την επιλογή "Επιλογή κύριου στοιχείου". Στη συνέχεια, θα πρέπει να βρείτε την εφαρμογή σας με το όνομά της. Όταν βρεθεί η εφαρμογή, κάντε κλικ στο κουμπί "Επιλογή".
- Συμπληρώστε το πεδίο "Διαμόρφωση από πρότυπο" και κάντε κλικ στο κουμπί Ok.
Σημείωση: Σε αυτήν τη σελίδα, μπορείτε επίσης να ρυθμίσετε τα δικαιώματα κλειδιού, αν είναι απαραίτητο.