Pregled
Poslovni osjetljivi podaci obično se koriste na siguran način. To znači da funkcija ili aplikacija koja radi s tim podacima mora podržavati šifriranje podataka, rad s certifikatima itd. Budući da verzija sustava Microsoft Dynamics 365 za financije i operacije u oblaku ne podržava lokalnu pohranu certifikata, korisnici u tom slučaju moraju koristiti spremište sefa ključeva. Azure Sef za ključeve omogućuje uvoz kriptografskih ključeva, certifikata na Azure i upravljanje njima. Dodatne informacije o servisu Azure Sef za ključeve: Što je Azure Sef za ključeve.
Sljedeći su podaci potrebni za definiranje integracije između sustava Microsoft Dynamics 365 za financije i operacije i servisa Azure Sef za ključeve:
-
URL sefa ključeva (DNS naziv),
-
ID klijenta (identifikator aplikacije),
-
Popis certifikata s njihovim imenima,
-
Tajni ključ (vrijednost ključa).
U nastavku možete pronaći detaljan opis koraka postavljanja:
Stvaranje Sef za ključeve pohrane
-
Otvorite portal Microsoft Azure putem veze: https://ms.portal.azure.com/.
-
Kliknite gumb "Stvori resurs" na lijevoj ploči da biste stvorili novi resurs. Odaberite grupu "Sigurnost + identitet" i vrstu resursa "Sef za ključeve".
-
Otvorit će se stranica "Stvaranje sefa ključa". Ovdje biste trebali definirati parametre pohrane sefa ključeva, a zatim kliknuti gumb "Stvori":
-
Navedite "Naziv" sefa ključa. Taj se parametar naziva "Postavljanje klijenta servisa Azure Sef za ključeve" kao<KeyVaultName>.
-
Odaberite pretplatu.
-
Odaberite grupu resursa. To je kao interni direktorij unutar spremišta sefa ključeva. Oboje možete koristiti postojeću grupu resursa ili stvoriti novu.
-
Odaberite svoju lokaciju.
-
Odaberite stavku cijena.
-
Kliknite "Stvori".
-
Prikvačite stvoreni sef ključa na nadzornu ploču.
Prijenos certifikata
Postupak prijenosa u spremište sefa ključeva ovisi o vrsti certifikata.
Uvoz *.pfx certifikata
-
Certifikati s nastavkom *.pfx mogu se prenijeti na Azure Sef za ključeve pomoću skripte komponente PowerShell.
-
Instalirajte modul AzureRM za PowerShell slijedeći ove upute: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
Pokrenite skriptu u ljusci PowerShell kao u primjeru prikazanom u nastavku:
Connect-AzAccount
$pfxFilePath = ' <Localpath> '
$pwd = ''
$secretName = ' <naziv> '
$keyVaultName = ' <keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'aplikacija/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Gdje:
<Localpath> – lokalni put do datoteke pomoću certikata, npr. C:\<smth>.pfx
<naziv> – naziv certifikata, npr. <smth>
<keyvault> – naziv spremišta sefa ključeva
Ako je lozinka obavezna, dodajte je u oznaku $pwd
-
Postavite oznaku certifikata prenesenog u sef ključeva platforme Azure.
-
Na portalu Microsoft Azure kliknite gumb "Nadzornaploča" i odaberite odgovarajući sef ključa da biste ga otvorili.
-
Kliknite pločicu "Tajne".
-
Pronađite odgovarajuću tajnu prema nazivu certifikata i otvorite je.
-
Otvorite karticu "Oznake".
-
Postavite naziv oznake = "vrsta" i vrijednost oznake = "certifikat".
Napomena: naziv oznake i vrijednost oznake moraju biti uneseni bez navodnika i malih slova.
-
Kliknite gumb U redu i spremite ažuriranu tajnu.
Uvoz ostalih certifikata
-
Kliknite gumb "Nadzornaploča" na lijevoj ploči da biste vidjeli ranije stvoreni sef ključeva.
-
Odaberite odgovarajući sef ključeva da biste ga otvorili. Kartica "Pregled" prikazuje ključne parametre spremišta sefa ključeva, uključujući "DNS naziv".
Napomena: DNS naziv obavezni je parametar za integraciju s sefom ključeva, stoga bi se trebao navesti u aplikaciji i u odjeljku "Postavljanje klijenta za Azure Sef za ključeve" kao <Sef za ključeve URL> parametar.
-
Kliknite pločicu "Tajne".
-
Kliknite gumb "Generiraj/uvoz" na stranici "Tajne" da biste dodali novi certifikat u spremište sefa ključeva. Na desnoj strani stranice trebali biste definirati parametre certifikata:
-
Odaberite vrijednost "Ručno" u polju "Mogućnosti prijenosa".
-
Unesite naziv certifikata u polje "Naziv".
Napomena: Tajno ime obavezni je parametar za integraciju s sefom ključa, stoga ga je potrebno navesti u aplikaciji. Naziv se naziva "Postavljanje servisa Azure Sef za ključeve Client" kao <SecretName> parametra.
-
Otvorite certifikat za uređivanje i kopirajte sav njegov sadržaj, uključujući oznake početka i zatvaranja.
-
Zalijepite kopirani sadržaj u polje "Vrijednost".
-
Omogućite certifikat.
-
Pritisnite gumb "Stvori".
-
Moguće je prenijeti nekoliko verzija certifikata i njima upravljati u spremištu sefa ključeva. Ako morate prenijeti novu verziju postojećeg certifikata, odaberite odgovarajući certifikat i kliknite gumb "Nova verzija".
Napomena: trenutačnu verziju potrebno je definirati u postavljanju aplikacije i u odjeljku "Postavljanje klijenta za Azure Sef za ključeve" kao<SecretVersion> parametar.
Stvaranje ulazne točke za aplikaciju
Stvorite ulaznu točku za aplikaciju koja koristi spremište sefa ključeva.
-
Otvorite naslijeđeni portal https://manage.windowsazure.com/.
-
Kliknite "Azure Active Directory" s lijeve ploče i odaberite svoj.
-
Kada otvorite aktivni imenik, odaberite karticu "Registracija aplikacije".
-
Kliknite gumb "Nova registracija aplikacije" na donjoj ploči da biste stvorili novi unos aplikacije.
-
Navedite "Naziv" aplikacije i odaberite odgovarajuću vrstu.
Napomena: na ovoj stranici možete definirati i "URL za prijavu", koji bi trebao imati oblik http://<AppName>, pri čemu je <AppName> naziv aplikacije naveden na prethodnoj stranici. <AppName> moraju biti definirani u pravilnicima pristupa za pohranu sefa ključeva.
-
Kliknite gumb "Stvori".
Konfiguriranje aplikacije
-
Otvorite karticu "Registracije aplikacija".
-
Pronađite odgovarajuću aplikaciju. Polje "ID aplikacije" ima istu vrijednost kao parametar<Sef za ključeve client>.
-
Kliknite gumb "Postavke", a zatim otvorite karticu "Tipke".
-
Generirajte ključ. Koristi se za siguran pristup spremištu sefa ključeva iz aplikacije.
-
Ispunite polje "Opis".
-
Možete stvoriti ključ s razdobljem trajanja jednakom jednu ili dvije godine. Kada kliknete gumb "Spremi" u donjem dijelu stranice, vrijednost ključa postaje vidljiva.
Napomena: Ključna vrijednost obavezni je parametar za integraciju s sefom ključa. Treba ga kopirati, a zatim navesti u aplikaciji. Naziv se naziva "Postavljanje servisa Azure Sef za ključeve Client" kao <Sef za ključeve ključa> parametra.
-
Kopirajte vrijednost "ID klijenta" iz konfiguracije. Potrebno ga je navesti u aplikaciji i u odjeljku "Postavljanje klijenta servisa Azure Sef za ključeve" kao <Sef za ključeve klijent> parametra.
Dodavanje aplikacije u spremište sefa ključeva
Dodajte aplikaciju u spremište sefa ključeva stvoreno prije.
-
Vratite se na portal platforme Microsoft Azure (https://ms.portal.azure.com/),
-
Otvorite prostor za pohranu sefa ključeva i kliknite pločicu "Pravila pristupa".
-
Kliknite gumb "Dodaj novo" i odaberite mogućnost "Odaberi upravitelj". Zatim biste aplikaciju trebali pronaći po njezinu nazivu. Kada pronađete aplikaciju, kliknite gumb "Odaberi".
-
Ispunite polje "Konfiguriraj iz predloška" i kliknite gumb U redu.
Napomena: na ovoj stranici po potrebi možete postaviti i dozvole za ključ.