Gestion du stockage Azure Key Vault

S’applique à
Dynamics 365 for Finance and Operations Microsoft Dynamics 365 for Financials

Présentation

Les données sensibles à l’entreprise sont généralement utilisées de manière sécurisée. Cela signifie qu’une fonctionnalité ou une application qui fonctionne avec ces données doit prendre en charge le chiffrement des données, l’utilisation de certificats, etc. Étant donné que la version cloud de Microsoft Dynamics 365 for Finance and Operations ne prend pas en charge un stockage local de certificats, les clients doivent utiliser un stockage de coffre de clés dans ce cas. Le Azure Key Vault permet d’importer des clés de chiffrement, des certificats pour Azure et de les gérer. Informations supplémentaires sur le Azure Key Vault : Qu’est-ce que Azure Key Vault ?

Les données suivantes sont nécessaires pour définir l’intégration entre Microsoft Dynamics 365 finance and Operations et Azure Key Vault :

  • URL du coffre de clés (nom DNS),
  • ID client (identificateur d’application),
  • Liste des certificats avec leur nom,
  • Clé secrète (valeur de clé).

Vous trouverez ci-dessous une description détaillée des étapes d’installation :

Créer un stockage Key Vault

  1. Ouvrez le Portail Azure Microsoft à l’aide du lien : https://ms.portal.azure.com/.
  2. Cliquez sur le bouton « Créer une ressource » dans le volet gauche pour créer une ressource. Choisissez le groupe « Sécurité + Identité » et le type de ressource « Key Vault ».
  3. La page « Créer un coffre de clés » s’ouvre. Ici, vous devez définir les paramètres de stockage du coffre de clés, puis cliquer sur le bouton « Créer » :
  • Spécifiez « Nom » du coffre de clés. Ce paramètre est appelé KeyVaultName> dans « Configuration du client Azure Key Vault ».<
  • Sélectionnez votre abonnement.
  • Choisissez un groupe de ressources. C’est comme un répertoire interne à l’intérieur du stockage du coffre de clés. Vous pouvez utiliser un groupe de ressources existant ou en créer un nouveau.
  • Sélectionnez votre emplacement.
  • Sélectionnez un niveau tarifaire.
  • Cliquez sur « Créer ».
  • Épinglez le coffre de clés créé au tableau de bord.

Charger un certificat

La procédure de chargement dans le stockage du coffre de clés dépend d’un type de certificat.

Importation des certificats *.pfx

  1. Les certificats avec l’extension *.pfx peuvent être chargés dans le Azure Key Vault à l’aide d’un script PowerShell.

Connect-AzAccount

$pfxFilePath = '<Localpath>'

$pwd = ''

$secretName = '<name>'

$keyVaultName = '<keyvault>'

$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection

$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags] ::Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType] ::P kcs12

$clearBytes = $collection. Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert] ::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText -Force

$secretContentType = 'application/x-pkcs12'

Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

Où :

<Localpath> : chemin d’accès local au fichier avec certicate, par exemple C :\<smth.pfx>

<name> : nom du certificat, par exemple <smth>

<keyvault> : nom du stockage du coffre de clés

Si un mot de passe est requis, ajoutez-le à la balise $pwd

  1. Définissez une balise pour le certificat chargé dans le coffre de clés Azure.
  • Dans Microsoft Portail Azure, cliquez sur le bouton « Tableau de bord »* et sélectionnez le coffre de clés approprié pour l’ouvrir.
  • Cliquez sur la vignette « Secrets ».
  • Recherchez un secret approprié par le nom du certificat et ouvrez-le.
  • Ouvrez l’onglet « Étiquettes ».
  • Définissez Tag name = « type » et Tag value = « certificate ».

Remarque : Le nom de la balise et la valeur de la balise doivent être renseignés sans guillemets et en minuscules.

  • Cliquez sur le bouton OK et enregistrez le secret mis à jour.

Importation des autres certificats

  1. Cliquez sur le bouton « Tableau de bord» dans le volet gauche pour afficher le coffre de clés créé précédemment.
  2. Sélectionnez le coffre de clés approprié pour l’ouvrir. L’onglet « Vue d’ensemble » affiche les paramètres essentiels du stockage du coffre de clés, y compris un « nom DNS ».

Remarque : Le nom DNS étant un paramètre obligatoire pour l’intégration au coffre de clés, il doit être spécifié dans l’application et désigné dans « Configuration Azure Key Vault client » en tant que <paramètre d’URL> Key Vault.

  1. Cliquez sur la vignette « Secrets ».
  2. Cliquez sur le bouton « Générer/importer » dans la page « Secrets » pour ajouter un nouveau certificat au stockage du coffre de clés. Sur le côté droit de la page, vous devez définir les paramètres de certificat :
  • Sélectionnez la valeur « Manuel » dans le champ « Options de chargement ».
  • Entrez le nom du certificat dans le champ « Nom ».

Remarque : Le nom du secret est un paramètre obligatoire pour l’intégration au coffre de clés. Il doit donc être spécifié dans l’application. Il est appelé paramètre SecretName> dans « Configuration Azure Key Vault Client ».<

  • Ouvrez un certificat pour modifier et copiez tout son contenu, y compris les balises de début et de fermeture.
  • Collez le contenu copié dans le champ « Valeur ».
  • Activez le certificat.
  • Appuyez sur le bouton « Créer ».
  1. Il est possible de charger plusieurs versions du certificat et de les gérer dans le stockage du coffre de clés. Si vous devez charger une nouvelle version pour un certificat existant, sélectionnez un certificat approprié et cliquez sur le bouton « Nouvelle version ».

Remarque : La version actuelle doit être définie dans la configuration de l’application et est désignée dans « Configuration Azure Key Vault Client » en tant que <paramètre SecretVersion>.

Créer un point d’entrée pour votre application

Créez un point d’entrée pour votre application qui utilise le stockage du coffre de clés.

  1. Ouvrez le portail hérité https://manage.windowsazure.com/.
  2. Cliquez sur « Azure Active Directory » dans le volet gauche, puis sélectionnez le vôtre.
  3. Dans l’annuaire Active Directory ouvert, choisissez l’onglet « Inscription de l’application ».
  4. Cliquez sur le bouton « Nouvelle inscription d’application » dans le panneau inférieur pour créer une entrée d’application.
  5. Spécifiez un « Nom » de l’application et sélectionnez un type approprié.

Remarque : sur cette page, vous pouvez également définir l'« URL de connexion », qui doit avoir un format http://< AppName>, où <AppName> est un nom d’application spécifié sur la page précédente.  <AppName> doit être défini dans les stratégies d’accès pour le stockage du coffre de clés.

  1. Cliquez sur le bouton « Créer ».

Configurer votre application

  1. Ouvrez l’onglet « inscriptions d'applications ».
  2. Recherchez une application appropriée. Le champ « ID d’application » a la même valeur que le paramètre de< Key Vault Client>.
  3. Cliquez sur le bouton « Paramètres », puis ouvrez l’onglet « Clés ».
  4. Générez une clé. Il est utilisé pour un accès sécurisé au stockage du coffre de clés à partir de l’application.
  • Renseignez le champ « Description ».
  • Vous pouvez créer une clé dont la durée est égale à un ou deux ans. Après avoir cliqué sur le bouton « Enregistrer » dans la partie inférieure de la page, la valeur de clé devient visible.

Remarque : La valeur de clé est un paramètre obligatoire pour l’intégration au coffre de clés. Il doit être copié, puis spécifié dans l’application. Il est appelé « Configuration du client Azure Key Vault » en tant que <paramètre de clé> secrète Key Vault.

  1. Copiez la valeur de « ID client » à partir de la configuration. Il doit être spécifié dans l’application et désigné dans « Configuration Azure Key Vault Client » en tant que <paramètre client> Key Vault.

Ajouter une application au stockage du coffre de clés

Ajoutez votre application au stockage de coffre de clés créé précédemment.

  1. Retour à microsoft Portail Azure (https://ms.portal.azure.com/),
  2. Ouvrez le stockage de votre coffre de clés et cliquez sur la vignette « Stratégies d’accès ».
  3. Cliquez sur le bouton « Ajouter nouveau » et choisissez l’option « Sélectionner le principal ». Vous devez ensuite trouver votre application par son nom. Une fois l’application trouvée, cliquez sur le bouton « Sélectionner ».
  4. Remplissez le champ « Configurer à partir du modèle », puis cliquez sur le bouton OK.

Remarque : Sur cette page, vous pouvez également configurer les autorisations de clé si nécessaire.