Διατήρηση του χώρου αποθήκευσης του Azure Key Vault

Επισκόπηση

Τα ευαίσθητα στην επιχείρηση δεδομένα χρησιμοποιούνται συνήθως με ασφαλή τρόπο. Αυτό σημαίνει ότι μια λειτουργικότητα ή εφαρμογή που εργάζεται με αυτά τα δεδομένα πρέπει να υποστηρίζει κρυπτογράφηση δεδομένων, εργασία με πιστοποιητικά κ.λπ. Καθώς η έκδοση cloud του Microsoft Dynamics 365 for Finance and Operations δεν υποστηρίζει τοπικό χώρο αποθήκευσης πιστοποιητικών, οι πελάτες πρέπει να χρησιμοποιήσουν έναν βασικό χώρο αποθήκευσης θησαυροφυλακίου σε αυτή την περίπτωση. Το Azure Key Vault παρέχει την ευκαιρία να εισαγάγετε κλειδιά κρυπτογράφησης, πιστοποιητικά στο Azure και να τα διαχειριστείτε. Πρόσθετες πληροφορίες σχετικά με το Azure Key Vault: Τι είναι το Azure Key Vault.

Τα ακόλουθα δεδομένα απαιτούνται για τον καθορισμό της ενοποίησης μεταξύ του Microsoft Dynamics 365 for Finance and Operations και του Azure Key Vault:

• Διεύθυνση URL βασικού θησαυροφυλακίου (όνομα DNS),

• Αναγνωριστικό προγράμματος-πελάτη (αναγνωριστικό εφαρμογής),

• Λίστα των πιστοποιητικών με τα ονόματά τους,

• Μυστικό κλειδί (τιμή κλειδιού).

Παρακάτω, μπορείτε να βρείτε μια λεπτομερή περιγραφή των βημάτων ρύθμισης:

Δημιουργία χώρου αποθήκευσης Key Vault

1. Ανοίξτε την πύλη Microsoft Azure χρησιμοποιώντας τη σύνδεση: https://ms.portal.azure.com/.

2. Κάντε κλικ στο κουμπί "Δημιουργία πόρου" στο αριστερό τμήμα παραθύρου για να δημιουργήσετε έναν νέο πόρο. Επιλέξτε την ομάδα "Ασφάλεια + ταυτότητα" και τον τύπο πόρου "Key Vault".

3. Ανοίγει η σελίδα "Δημιουργία βασικού θησαυροφυλακίου". Εδώ, θα πρέπει να ορίσετε τις βασικές παραμέτρους αποθήκευσης του θησαυροφυλακίου και, στη συνέχεια, να κάνετε κλικ στο κουμπί "Δημιουργία":

• Καθορίστε "Όνομα" του βασικού θησαυροφυλακίου. Αυτή η παράμετρος αναφέρεται στην ενότητα "Ρύθμιση του υπολογιστή-πελάτη Azure Key Vault" ως <KeyVaultName>.

• Επιλέξτε τη συνδρομή σας.

• Επιλέξτε μια ομάδα πόρων. Είναι σαν εσωτερικός κατάλογος μέσα στο χώρο αποθήκευσης του θησαυροφυλακίου κλειδιών. Μπορείτε και οι δύο να χρησιμοποιήσετε μια υπάρχουσα ομάδα πόρων ή να δημιουργήσετε μια νέα.

• Επιλέξτε την τοποθεσία σας.

• Επιλέξτε ένα επίπεδο τιμολόγησης.

• Κάντε κλικ στην επιλογή "Δημιουργία".

• Καρφιτσώστε το αρχείο κλειδιού που δημιουργήσατε στον πίνακα εργαλείων.

Αποστολή πιστοποιητικού

Η διαδικασία αποστολής στο χώρο αποθήκευσης θυρίδας κλειδιών εξαρτάται από έναν τύπο πιστοποιητικού.

Εισαγωγή των πιστοποιητικών *.pfx

1. Τα πιστοποιητικά με επέκταση *.pfx μπορούν να αποσταλούν στο Azure Key Vault με χρήση μιας δέσμης ενεργειών PowerShell.

• Εγκαταστήστε τη λειτουργική μονάδα AzureRM για PowerShell, ακολουθώντας αυτή την οδηγία: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0

• Εκτελέστε μια δέσμη ενεργειών στο PowerShell όπως στο παράδειγμα που φαίνεται παρακάτω:

Connect-AzAccount

$pfxFilePath = ' <Localpath> '

$pwd = ''

$secretName = ' <όνομα> '

$keyVaultName = ' <keyvault> '

$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection

$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12

$clearBytes = $collection. Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -$fileContentEncoded συμβολοσειράς -AsPlainText –Δύναμη

$secretContentType = 'application/x-pkcs12'

Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

Όπου:

<localpath> - τοπική διαδρομή προς το αρχείο με certicate, π.χ. C:\<smth>.pfx

<όνομα> - όνομα του πιστοποιητικού, π.χ. <smth>

<keyvault> - όνομα του χώρου αποθήκευσης θυρίδας κλειδιών

Εάν απαιτείται κωδικός πρόσβασης, προσθέστε τον στην ετικέτα $pwd

1. Ορίστε μια ετικέτα για το πιστοποιητικό που αποστέλλεται στο θησαυροφυλάκιο του Azure Key.

• Στην πύλη του Microsoft Azure, κάντε κλικ στο κουμπί "Πίνακας εργαλείων" και επιλέξτε το κατάλληλο θησαυροφυλάκιο κλειδιού για να το ανοίξετε.

• Κάντε κλικ στο πλακίδιο "Μυστικά".

• Βρείτε ένα κατάλληλο μυστικό με το όνομα του πιστοποιητικού και ανοίξτε το.

• Ανοίξτε την καρτέλα "Ετικέτες".

• Ορισμός ονόματος ετικέτας = "τύπος" και τιμή ετικέτας = "πιστοποιητικό".

Σημείωση: Το όνομα ετικέτας και η τιμή ετικέτας πρέπει να συμπληρώνονται χωρίς εισαγωγικά και με πεζά.

• Κάντε κλικ στο κουμπί OK και αποθηκεύστε το ενημερωμένο μυστικό.

Εισαγωγή των άλλων πιστοποιητικών

1. Κάντε κλικ στο κουμπί "Πίνακας εργαλείων" στο αριστερό τμήμα του παραθύρου για να δείτε το βασικό θησαυροφυλάκιο που δημιουργήθηκε νωρίτερα.

2. Επιλέξτε το κατάλληλο θησαυροφυλάκιο κλειδιού για να το ανοίξετε. Η καρτέλα "Επισκόπηση" εμφανίζει τις βασικές παραμέτρους του χώρου αποθήκευσης του βασικού θησαυροφυλακίου, συμπεριλαμβανομένου ενός "ονόματος DNS".

Σημείωση: Το όνομα DNS είναι μια υποχρεωτική παράμετρος για ενοποίηση με το θησαυροφυλάκιο κλειδιού, επομένως θα πρέπει να καθοριστεί στην εφαρμογή και να αναφέρεται στην ενότητα "Ρύθμιση του προγράμματος-πελάτη Azure Key Vault" ως <Key Vault διεύθυνση URL> παράμετρο.

1. Κάντε κλικ στο πλακίδιο "Μυστικά".

2. Κάντε κλικ στο κουμπί "Δημιουργία/Εισαγωγή" στη σελίδα "Μυστικά"  για να προσθέσετε ένα νέο πιστοποιητικό στον χώρο αποθήκευσης του βασικού θησαυροφυλακίου. Στη δεξιά πλευρά της σελίδας, θα πρέπει να ορίσετε τις παραμέτρους του πιστοποιητικού:

• Επιλέξτε την τιμή "Μη αυτόματα" στο πεδίο "Επιλογές αποστολής".

• Εισαγάγετε το όνομα του πιστοποιητικού στο πεδίο "Όνομα".

Σημείωση: Το Μυστικό Όνομα είναι μια υποχρεωτική παράμετρος για την ενοποίηση με το βασικό θησαυροφυλάκιο, επομένως θα πρέπει να καθορίζεται στην εφαρμογή. Αναφέρεται στην ενότητα "Ρύθμιση του προγράμματος-πελάτη Azure Key Vault" ως <παράμετρο SecretName>.

• Ανοίξτε ένα πιστοποιητικό για επεξεργασία και αντιγράψτε όλο το περιεχόμενό του, συμπεριλαμβανομένων των ετικετών αρχής και κλεισίματος.

• Επικολλήστε το αντιγραμμένο περιεχόμενο στο πεδίο "Τιμή".

• Ενεργοποιήστε το πιστοποιητικό.

• Πατήστε το κουμπί "Δημιουργία".

1. Μπορείτε να αποστείλετε διάφορες εκδόσεις του πιστοποιητικού και να τις διαχειριστείτε στο χώρο αποθήκευσης του βασικού θησαυροφυλακίου. Εάν θέλετε να αποστείλετε μια νέα έκδοση για ένα υπάρχον πιστοποιητικό, επιλέξτε ένα κατάλληλο πιστοποιητικό και κάντε κλικ στο κουμπί "Νέα έκδοση".

Σημείωση: Η τρέχουσα έκδοση πρέπει να οριστεί κατά τη ρύθμιση της εφαρμογής και αναφέρεται στο θέμα "Ρύθμιση του προγράμματος-πελάτη Azure Key Vault" ως <παράμετρο SecretVersion>.

Δημιουργία σημείου εισόδου για την εφαρμογή σας

Δημιουργήστε ένα σημείο εισόδου για την εφαρμογή σας που χρησιμοποιεί το χώρο αποθήκευσης του θησαυροφυλακίου κλειδιών.

1. Ανοίξτε την πύλη παλαιού τύπου https://manage.windowsazure.com/.

2. Κάντε κλικ στο "Azure Active Directory" από το αριστερό τμήμα παραθύρου και επιλέξτε το δικό σας.

3. Εάν ανοίξετε την υπηρεσία καταλόγου Active Directory, επιλέξτε την καρτέλα "Καταχώρηση εφαρμογής".

4. Κάντε κλικ στο κουμπί "Νέα καταχώρηση εφαρμογής" στο κάτω μέρος για να δημιουργήσετε μια νέα καταχώρηση εφαρμογής.

5. Καθορίστε ένα "Όνομα" της εφαρμογής και επιλέξτε έναν κατάλληλο τύπο.

Σημείωση: Σε αυτή τη σελίδα, μπορείτε επίσης να ορίσετε τη "διεύθυνση URL εισόδου", η οποία θα πρέπει να έχει μια μορφή http://<AppName>, όπου <appName> είναι ένα όνομα εφαρμογής που καθορίζεται στην προηγούμενη σελίδα. <appName> πρέπει να καθοριστούν στις πολιτικές πρόσβασης για το χώρο αποθήκευσης του βασικού θησαυροφυλακίου.

1. Κάντε κλικ στο κουμπί "Δημιουργία".

Ρύθμιση παραμέτρων της εφαρμογής σας

1. Ανοίξτε την καρτέλα "Εγγραφές εφαρμογών".

2. Βρείτε μια κατάλληλη εφαρμογή. Το πεδίο "Αναγνωριστικό εφαρμογής" έχει την ίδια τιμή με την παράμετρο >προγράμματος-πελάτη<Key Vault.

3. Κάντε κλικ στο κουμπί "Ρυθμίσεις" και, στη συνέχεια, ανοίξτε την καρτέλα "Πλήκτρα".

4. Δημιουργήστε ένα κλειδί. Χρησιμοποιείται για ασφαλή πρόσβαση στο χώρο αποθήκευσης του θυρίδας κλειδιών από την εφαρμογή.

• Συμπληρώστε το πεδίο "Περιγραφή".

• Μπορείτε να δημιουργήσετε ένα κλειδί με την περίοδο διάρκειας να ισούται με ένα ή δύο έτη. Αφού κάνετε κλικ στο κουμπί "Αποθήκευση" στο κάτω μέρος της σελίδας, η τιμή κλειδιού γίνεται ορατή.

Σημείωση: Η τιμή κλειδιού είναι μια υποχρεωτική παράμετρος για ενοποίηση με το θησαυροφυλάκιο κλειδιού. Θα πρέπει να αντιγραφεί και, στη συνέχεια, να καθοριστεί στην εφαρμογή. Αναφέρεται στην ενότητα "Ρύθμιση του προγράμματος-πελάτη Azure Key Vault" ως <Key Vault μυστικό κλειδί> παράμετρο.

1. Αντιγράψτε την τιμή του "Αναγνωριστικού πελάτη" από τη ρύθμιση παραμέτρων. Θα πρέπει να καθοριστεί στην εφαρμογή και να αναφέρεται στην ενότητα "Ρύθμιση του προγράμματος-πελάτη Azure Key Vault" ως παράμετρος>προγράμματος-πελάτη<Key Vault.

Προσθήκη εφαρμογής στο χώρο αποθήκευσης θυρίδας κλειδιών

Προσθέστε την εφαρμογή σας στο χώρο αποθήκευσης θυρίδας κλειδιών που δημιουργήσατε προηγουμένως.

1. Επιστρέψτε στην πύλη Microsoft Azure (https://ms.portal.azure.com/),

2. Ανοίξτε το χώρο αποθήκευσης στο βασικό θησαυροφυλάκιο και κάντε κλικ στο πλακίδιο "Πολιτικές της Access".

3. Κάντε κλικ στο κουμπί "Προσθήκη νέου" και επιλέξτε "Επιλογή κύριας αρχής". Στη συνέχεια, θα πρέπει να βρείτε την εφαρμογή σας με το όνομά της. Όταν βρεθεί η εφαρμογή, κάντε κλικ στο κουμπί "Επιλογή".

4. Συμπληρώστε το πεδίο "Ρύθμιση παραμέτρων από πρότυπο" και κάντε κλικ στο κουμπί OK.

Σημείωση: Σε αυτήν τη σελίδα, μπορείτε επίσης να ρυθμίσετε τα βασικά δικαιώματα, εάν είναι απαραίτητο.