Pregled
Poslovni osjetljivi podaci obično se koriste na siguran način. To znači da funkcija ili aplikacija koja radi s tim podacima mora podržavati šifriranje podataka, rad s certifikatima itd. Budući da verzija Microsoft Dynamics 365 za financije i operacije u oblaku ne podržava lokalni prostor za pohranu certifikata, korisnici u tom slučaju moraju koristiti pohranu sefa ključeva. Azure Sef za ključeve omogućuje uvoz kriptografskih ključeva, certifikata u Azure i upravljanje njima. Dodatne informacije o Azure Sef za ključeve: Što je Azure Sef za ključeve.
Za definiranje integracije programa Microsoft Dynamics 365 za financije i operacije i Azure Sef za ključeve potrebni su sljedeći podaci:
- URL rješenja Sef za ključeve (DNS naziv),
- ID klijenta (identifikator aplikacije),
- Popis certifikata s njihovim imenima,
- Tajni ključ (vrijednost ključa).
U nastavku možete pronaći detaljan opis koraka postavljanja:
Stvaranje pohrane Sef za ključeve
- Otvorite portal Microsoft Azure putem veze: https://ms.portal.azure.com/.
- Kliknite gumb "Stvori resurs" na lijevoj ploči kako biste stvorili novi resurs. Odaberite grupu "Sigurnost + identitet" i vrstu resursa "Sef za ključeve".
- Stranica "Stvaranje sefa za ključeve" je otvorena. Ovdje biste trebali definirati parametre pohrane sefa za ključeve, a zatim kliknuti gumb "Stvori":
- Navedite "Naziv" sefa za ključeve. Taj se parametar naziva "Postavljanje klijenta Azure Sef za ključeve" kao <KeyVaultName>.
- Odaberite pretplatu.
- Odaberite grupu resursa. To je poput internog direktorija unutar pohrane sefa za ključeve. Možete koristiti postojeću grupu resursa ili stvoriti novu.
- Odaberite svoju lokaciju.
- Odaberite razinu cijena.
- Kliknite "Stvori".
- Prikvačite stvoreni Sef za ključeve na nadzornu ploču.
Prijenos certifikata
Postupak prijenosa u pohranu sefa za ključeve ovisi o vrsti certifikata.
Uvoz *.pfx certifikata
- Certifikati s nastavkom *.pfx mogu se prenijeti na Azure Sef za ključeve pomoću skripte komponente PowerShell.
- Instalirajte modul AzureRM za PowerShell slijedeći ove upute: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
- Pokrenite skriptu u ljusci PowerShell kao u primjeru prikazanom u nastavku:
Connect-AzAccount
$pfxFilePath = '<LocalPath>'
$pwd = ''
$secretName = '<naziv>'
$keyVaultName = '<KeyVault>'
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath; $pwd;[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Pri čemu je:
<Localpath> – lokalni put do datoteke pomoću certifikata, npr. C:\<smth.pfx>
<naziv> – naziv certifikata, npr. <smth>
<keyvault> – naziv spremišta sefa ključeva
Ako je lozinka obavezna, dodajte je u oznaku $pwd
- Postavite oznaku certifikata prenesenog u sef ključeva za Azure.
- Na portalu Microsoft Azure kliknite gumb "Nadzorna ploča"* i odaberite odgovarajući Sef ključa kako biste ga otvorili.
- Kliknite pločicu "Tajne".
- Pronađite odgovarajuću tajnu prema nazivu certifikata i otvorite je.
- Otvorite karticu "Oznake".
- Postavite naziv oznake = "vrsta" i vrijednost oznake = "certifikat".
Napomena: naziv oznake i vrijednost oznake moraju biti uneseni bez navodnika i malih slova.
- Kliknite gumb U redu i spremite ažuriranu tajnu.
Uvoz ostalih certifikata
- Kliknite gumb "Nadzorna ploča" na lijevoj ploči kako biste vidjeli ranije stvoreni sef za ključeve.
- Odaberite odgovarajući sef za ključeve kako biste ga otvorili. Kartica "Pregled" prikazuje ključne parametre spremišta sefa za ključeve, uključujući "DNS naziv".
Napomena: DNS naziv obavezni je parametar za integraciju sa sefom za ključeve, stoga ga je potrebno navesti u aplikaciji i navesti u odjeljku "Postavljanje klijenta Azure Sef za ključeve" kao <Sef za ključeve parametra URL-a>.
- Kliknite pločicu "Tajne".
- Kliknite gumb "Generiraj/uvozi" na stranici "Tajne" kako biste dodali novi certifikat u pohranu sefa za ključeve. Na desnoj strani stranice trebali biste definirati parametre certifikata:
- Odaberite vrijednost "Ručno" u polju "Mogućnosti prijenosa".
- Unesite naziv certifikata u polje "Naziv".
Napomena: Tajno ime obavezni je parametar za integraciju sa sefom za ključeve, stoga ga je potrebno navesti u aplikaciji. U odjeljku "Postavljanje klijenta Azure Sef za ključeve" naveden je kao <parametar SecretName>.
- Otvorite certifikat za uređivanje i kopirajte sav njegov sadržaj, uključujući početne i završne oznake.
- Zalijepite kopirani sadržaj u polje "Vrijednost".
- Omogućite certifikat.
- Pritisnite gumb "Stvori".
- Moguće je prenijeti nekoliko verzija certifikata i njima upravljati u pohrani sefa za ključeve. Ako morate prenijeti novu verziju postojećeg certifikata, odaberite odgovarajući certifikat i kliknite gumb "Nova verzija".
Napomena: trenutna verzija trebala bi biti definirana u postavljanju aplikacije i navedena je u odjeljku "Postavljanje klijenta Azure Sef za ključeve" kao <parametar SecretVersion>.
Stvaranje ulazne točke za aplikaciju
Stvorite ulaznu točku za aplikaciju koja koristi pohranu sefa za ključeve.
- Otvorite naslijeđenu https://manage.windowsazure.com/ portala.
- Kliknite na "Azure Active Directory" s lijeve ploče i odaberite svoj.
- Kada otvorite aktivni imenik, odaberite karticu "Registracija aplikacije".
- Kliknite gumb "Registracija nove aplikacije" na donjoj ploči kako biste stvorili unos nove aplikacije.
- Navedite "Naziv" aplikacije i odaberite odgovarajuću vrstu.
Napomena: na ovoj stranici možete definirati i "URL za prijavu", koji bi trebao imati oblik http://< AppName>, pri čemu <AppName> označava naziv aplikacije naveden na prethodnoj stranici. <AppName> mora biti definiran u pravilnicima pristupa za pohranu sefa za ključeve.
- Kliknite gumb "Stvori".
Konfiguriranje aplikacije
- Otvorite karticu "Registracije aplikacija".
- Pronađite odgovarajuću aplikaciju. Polje "ID aplikacije" ima istu vrijednost kao parametar klijenta<> Sef za ključeve.
- Kliknite gumb "Postavke", a zatim otvorite karticu "Tipke".
- Generirajte ključ. Koristi se za siguran pristup pohrani sefa za ključeve iz aplikacije.
- Ispunite polje "Opis".
- Možete stvoriti ključ s razdobljem trajanja jednu ili dvije godine. Nakon klika na gumb "Spremi" u donjem dijelu stranice, vrijednost ključa postaje vidljiva.
Napomena: Vrijednost ključa obavezni je parametar za integraciju sa sefom za ključeve. Treba ga kopirati, a zatim navesti u aplikaciji. U odjeljku "Postavljanje klijenta Azure Sef za ključeve" naveden je kao< Sef za ključeve parametar tajnog ključa>.
- Kopirajte vrijednost "ID klijenta" iz konfiguracije. Potrebno ga je navesti u aplikaciji i navesti u odjeljku "Postavljanje Azure Sef za ključeve klijenta" kao <Sef za ključeve parametra klijenta>.
Dodavanje aplikacije u pohranu sefa za ključeve
Dodajte aplikaciju u prethodno stvorenu pohranu sefa za ključeve.
- Vratite se na portal Microsoft Azure (https://ms.portal.azure.com/),
- Otvorite prostor za pohranu sefa za ključeve i kliknite pločicu "Pravila pristupa".
- Kliknite gumb "Dodaj novo" i odaberite opciju "Odaberi glavnicu". Zatim biste aplikaciju trebali pronaći po njezinu nazivu. Kada pronađete aplikaciju, kliknite gumb "Odaberi".
- Ispunite polje "Konfiguriraj iz predloška" i kliknite gumb U redu.
Napomena: na ovoj stranici po potrebi možete postaviti i dozvole za ključ.