סקירה
נתונים רגישים לעסק משמשים בדרך כלל באופן מאובטח. משמעות הדבר היא שפונקציונליות או יישום שעובדים עם נתונים אלה חייבים לתמוך בהצפנת נתונים, לעבוד עם אישורים וכן הלאה. כי גירסת הענן של Microsoft Dynamics 365 for Finance and Operations אינה תומכת באחסון מקומי של אישורים, הלקוחות צריכים להשתמש באחסון מפתח בכספת במקרה זה. Azure Key Vault הזדמנות לייבא מפתחות הצפנה, אישורים ל- Azure ולנהל אותם. מידע נוסף על Azure Key Vault: מהו Azure Key Vault.
הנתונים הבאים נדרשים כדי להגדיר את השילוב בין Microsoft Dynamics 365 for Finance and Operations ו- Azure Key Vault:
-
כתובת URL של מאגר מקשים (שם DNS),
-
מזהה לקוח (מזהה יישום),
-
רשימת האישורים עם שמותיהם,
-
מפתח סודי (ערך מפתח).
להלן, תוכל למצוא תיאור מפורט של שלבי ההגדרה:
יצירת אחסון Key Vault חדש
-
פתח את פורטל Microsoft Azure באמצעות הקישור: https://ms.portal.azure.com/.
-
לחץ על לחצן 'צור משאב' בחלונית הימנית כדי ליצור משאב חדש. בחר בקבוצה 'אבטחה + זהות' ובסוג המשאב 'Key Vault'.
-
הדף 'צור כספת של מפתח' נפתח. כאן, עליך להגדיר פרמטרים של אחסון בכספת עיקרית ולאחר מכן ללחוץ על לחצן "צור":
-
ציין "Name" של מאגר מקשים. פרמטר זה נקרא "הגדרת לקוח Azure Key Vault "<KeyVaultName>.
-
בחר את המנוי שלך.
-
בחר קבוצת משאבים. זה כמו מדריך כתובות פנימי בתוך אחסון כספת המפתח. שניכם עשויים להשתמש בקבוצת משאבים קיימת או ליצור קבוצת משאבים חדשה.
-
בחר את המיקום שלך.
-
בחר רמה של תמחור.
-
לחץ על "צור".
-
הצמד את מאגר מקשים שנוצר אל לוח המחוונים.
העלאת אישור
הליך ההעלאה לאחסון של כספת מפתח תלוי בסוג האישור.
ייבוא אישורי *.pfx
-
ניתן להעלות את האישורים עם הסיומת *.pfx ל- Azure Key Vault באמצעות קובץ Script של PowerShell.
-
התקן את המודול AzureRM עבור PowerShell על-ידי ביצוע הוראה זו: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
הפעל קובץ Script ב- PowerShell כמו בדוגמה המוצגת להלן:
Connect-AzAccount
$pfxFilePath = '< Localpath> '
$pwd = ''
$secretName = ' <שם> '
$keyVaultName = ' <keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -string $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -name $secretName -SecretValue $Secret -ContentType $secretContentType
איפה:
<Localpath> - נתיב מקומי לקובץ עם אישור, לדוגמה C:\<smth>.pfx
<שם> - שם האישור, למשל <smth>
<keyvault> - שם האחסון של מפתח הכספת
אם נדרשת סיסמה, הוסף אותה לתגית $pwd
-
הגדר תגית עבור האישור שהועלה לכספת של מפתח Azure.
-
בפורטל Microsoft Azure, לחץ על לחצן 'לוח מחוונים' ובחר את מאגר המקשים המתאים כדי לפתוח אותו.
-
לחץ על האריח "סודות".
-
חפש סוד מתאים לפי שם האישור ופתח אותו.
-
פתח את הכרטיסיה "תגיות".
-
Set Tag name = "type" and Tag value = "certificate".
הערה: יש למלא שם תג וערך תגית ללא מרכאות ובאותיות קטנות.
-
לחץ על לחצן אישור ושמור את הסוד המעודכן.
ייבוא האישורים האחרים
-
לחץ על לחצן 'לוח מחוונים' בלוח הימני כדי לראות את כספת המפתח שנוצרה קודם לכן.
-
בחר את מאגר המקשים המתאים כדי לפתוח אותו. הכרטיסיה "מבט כולל" מציגה פרמטרים חיוניים של אחסון המפתח בכספת, כולל "DNS name".
הערה: שם ה- DNS הוא פרמטר הכרחי לשילוב עם מאגר מקשים, ולכן יש לציין אותו ביישום, והמכונה "הגדרת לקוח Azure Key Vault" כפרמטר <Key Vault URL> url.
-
לחץ על האריח "סודות".
-
לחץ על לחצן "צור/ייבא" בדף "סודות" כדי להוסיף אישור חדש לאחסון של מפתח הכספת. בצד השמאלי של הדף, עליך להגדיר את הפרמטרים של האישור:
-
בחר את הערך "ידני" בשדה "אפשרויות העלאה".
-
הזן את שם האישור בשדה "שם".
הערה: The Secret Name is a mandatory parameter for integration with the key vault, therefore it should be specified in the application. הוא נקרא "הגדרת לקוח Azure Key Vault" < SecretName> פרמטר.
-
פתח אישור לעריכה והעתק את כל התוכן שלו, כולל תגי ההתחלה והסיום.
-
הדבק את התוכן שהועתק בשדה "ערך".
-
הפוך את האישור לזמין.
-
לחץ על לחצן "צור".
-
ניתן להעלות כמה גירסאות של האישור ולנהל אותן באחסון של מפתח הכספת. אם עליך להעלות גירסה חדשה עבור אישור קיים, בחר אישור מתאים ולחץ על לחצן 'גירסה חדשה'.
הערה: יש להגדיר את הגירסה הנוכחית בהגדרת יישום, והיא נקראת "הגדרת לקוח Azure Key Vault"< SecretVersion> פרמטר.
יצירת נקודת כניסה עבור היישום שלך
צור נקודת כניסה עבור היישום המשתמשת באחסון הכספת המקש.
-
פתח את דף הפורטל מדור https://manage.windowsazure.com/.
-
לחץ על "Azure Active Directory" מהלוח הימני ובחר את שלך.
-
ב- פתחת את Active Directory, בחר את הכרטיסיה "רישום יישום".
-
לחץ על לחצן 'רישום יישום חדש' בלוח התחתון כדי ליצור ערך יישום חדש.
-
ציין "שם" של היישום ובחר סוג מתאים.
הערה: בדף זה תוכל גם להגדיר את "כתובת ה- URL של הכניסה", שתכלול תבנית http://<AppName>, כאשר <AppName> הוא שם יישום שצוין בדף הקודם. <AppName> להיות מוגדר במדיניות הגישה עבור אחסון מפתח הכספת.
-
לחץ על לחצן "צור".
קביעת התצורה של היישום שלך
-
פתח את הכרטיסיה 'רישומי אפליקציות'.
-
חפש יישום מתאים. השדה "מזהה יישום" מכיל ערך זהה לפרמטר של <Key Vault לקוח>.
-
לחץ על לחצן 'הגדרות' ולאחר מכן פתח את הכרטיסיה 'מקשים'.
-
צור מפתח. הוא משמש לגישה מאובטחת לאחסון מפתח הכספת מהיישום.
-
מלא את השדה "תיאור".
-
באפשרותך ליצור מפתח עם משך הזמן שווה לשנתיים או שנים. לאחר לחיצה על לחצן "שמור" בחלק התחתון של העמוד, ערך המפתח הופך לגלוי.
הערה: ערך המפתח הוא פרמטר הכרחי לשילוב עם מאגר מקשים. יש להעתיק אותו ולאחר מכן להוסיף אותו ליישום. הוא נקרא "הגדרת לקוח azure Key Vault" <Key Vault סודי> פרמטר.
-
העתק את הערך של "מזהה לקוח" מהתצורה. יש להוסיף אותה ליישום, והמכונה "הגדרת לקוח Azure Key Vault"<Key Vault לקוח> פרמטר.
הוספת יישום לאחסון המפתח בכספת
הוסף את היישום לאחסון הכספת הראשי שנוצר לפני כן.
-
חזור לפורטל Microsoft Azure (https://ms.portal.azure.com/)
-
פתח את אחסון המפתח בכספת ולחץ על האריח "פריטי מדיניות של Access".
-
לחץ על לחצן 'הוסף חדש' ובחר באפשרות 'בחר מנהל'. לאחר מכן, אתה אמור למצוא את היישום שלך לפי שמו. כאשר היישום נמצא, לחץ על לחצן "בחר".
-
מלא את השדה "קבע תצורה מתבנית" ולחץ על לחצן אישור.
הערה: בדף זה, באפשרותך גם להגדיר את הרשאות המפתח במידת הצורך.