Áttekintés
Az üzleti szempontból bizalmas adatokat általában biztonságos módon használják. Ez azt jelenti, hogy az adatokkal dolgozó funkcióknak vagy alkalmazásoknak támogatniuk kell az adattitkosítást, a tanúsítványok használatát stb. Mivel a Microsoft Dynamics 365 for Finance and Operations felhőalapú verziója nem támogatja a tanúsítványok helyi tárolását, az ügyfeleknek ebben az esetben key vault-tárolót kell használniuk. Az Azure Key Vault lehetővé teszi kriptográfiai kulcsok, tanúsítványok importálását és kezelését az Azure-ba. További információ az Azure Key Vault: Mi az az Azure Key Vault?
A Microsoft Dynamics 365 for Finance and Operations és az Azure Key Vault közötti integráció meghatározásához a következő adatok szükségesek:
-
Key Vault URL-címe (DNS-név),
-
Ügyfél-azonosító (alkalmazásazonosító),
-
A nevükkel ellátott tanúsítványok listája,
-
Titkos kulcs (kulcsérték).
Az alábbiakban részletes leírást talál a telepítési lépésekről:
Key Vault-tároló létrehozása
-
Nyissa meg a Microsoft Azure Portal a következő hivatkozással: https://ms.portal.azure.com/.
-
Új erőforrás létrehozásához kattintson a bal oldali panel "Erőforrás létrehozása" gombjára. Válassza ki a "Biztonság + identitás" csoportot és a "Key Vault" erőforrástípust.
-
Megnyílik a "Kulcstartó létrehozása" lap. Itt meg kell adnia a Key Vault tárolási paramétereit, majd kattintson a "Létrehozás" gombra:
-
Adja meg a kulcstartó "nevét". Ezt a paramétert az "Azure Key Vault-ügyfél beállítása"<KeyVaultName>néven említik.
-
Válassza ki az előfizetését.
-
Válasszon egy erőforráscsoportot. Olyan, mint egy belső könyvtár a Key Vault-tárolóban. Használhat egy meglévő erőforráscsoportot, vagy létrehozhat egy újat.
-
Válassza ki a tartózkodási helyét.
-
Válasszon tarifacsomagot.
-
Kattintson a "Létrehozás" gombra.
-
Rögzítse a létrehozott kulcstartót az irányítópulton.
Tanúsítvány feltöltése
A Key Vault-tárolóba való feltöltési eljárás a tanúsítvány típusától függ.
A *.pfx tanúsítványok importálása
-
A *.pfx kiterjesztésű tanúsítványok egy PowerShell-szkripttel tölthetők fel az Azure Key Vault.
-
Telepítse a PowerShellhez készült AzureRM modult a következő utasítással: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
Futtasson egy szkriptet a PowerShellben az alábbi példához hasonlóan:
Connect-AzAccount
$pfxFilePath = ' <Localpath> '
$pwd = ''
$secretName = ' <név> '
$keyVaultName = ' <keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = "application/x-pkcs12"
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Ahol:
<Localpath> – a fájl helyi elérési útja tanúsítvány használatával, például C:\<smth>.pfx
<> neve – a tanúsítvány neve, pl. <smth>
<keyvault> – a Key Vault-tároló neve
Ha jelszóra van szükség, adja hozzá a címkéhez $pwd
-
Állítson be egy címkét az Azure Key Vaultba feltöltött tanúsítványhoz.
-
A Microsoft Azure Portal kattintson az "Irányítópult" gombra, és válassza ki a megfelelő kulcstartót a megnyitásához.
-
Kattintson a "Titkos kódok" csempére.
-
Keresse meg a megfelelő titkos kódot a tanúsítvány neve alapján, és nyissa meg.
-
Nyissa meg a "Címkék" lapot.
-
Címkenév beállítása = "típus" és címkeérték = "tanúsítvány".
Megjegyzés: A címke nevét és a címke értékét idézőjelek nélkül és kisbetűvel kell kitölteni.
-
Kattintson az OK gombra, és mentse a frissített titkos kódot.
A többi tanúsítvány importálása
-
Kattintson a bal oldali panel "Irányítópult" gombjára a korábban létrehozott kulcstartó megtekintéséhez.
-
Válassza ki a megfelelő Key Vaultot a megnyitásához. Az "Áttekintés" lapon a Key Vault-tároló alapvető paraméterei láthatók, beleértve a "DNS-nevet" is.
Megjegyzés: A DNS-név kötelező paraméter a kulcstartóval való integrációhoz, ezért meg kell adni az alkalmazásban, és az "Azure Key Vault-ügyfél beállítása" kifejezésben <Key Vault URL-> paraméterként kell hivatkozni.
-
Kattintson a "Titkos kódok" csempére.
-
Kattintson a "Létrehozás/importálás" gombra a "Titkos kulcsok" lapon egy új tanúsítvány hozzáadásához a Key Vault-tárolóhoz. Az oldal jobb oldalán meg kell adnia a tanúsítvány paramétereit:
-
Válassza a "Manuális" értéket a "Feltöltési beállítások" mezőben.
-
Írja be a tanúsítvány nevét a "Név" mezőbe.
Megjegyzés: A titkos kulcs neve kötelező paraméter a kulcstartóval való integrációhoz, ezért meg kell adni az alkalmazásban. Az "Azure Key Vault-ügyfél beállítása" < SecretName> paraméterként szerepel.
-
Nyisson meg egy tanúsítványt szerkesztésre, és másolja ki az összes tartalmát, beleértve az első és a záró címkéket is.
-
Illessze be a másolt tartalmat az "Érték" mezőbe.
-
Engedélyezze a tanúsítványt.
-
Nyomja le a "Létrehozás" gombot.
-
A tanúsítvány több verzióját is feltöltheti, és kezelheti őket a Key Vault-tárolóban. Ha egy meglévő tanúsítvány új verzióját kell feltöltenie, válassza ki a megfelelő tanúsítványt, és kattintson az "Új verzió" gombra.
Megjegyzés: Az aktuális verziót az alkalmazásbeállításban kell meghatározni, és az "Azure Key Vault-ügyfél beállítása" kifejezés <SecretVersion> paraméterként hivatkozik.
Belépési pont létrehozása az alkalmazáshoz
Hozzon létre egy belépési pontot az alkalmazáshoz, amely a Key Vault-tárolót használja.
-
Nyissa meg az örökölt portál https://manage.windowsazure.com/.
-
Kattintson az "Azure Active Directory" elemre a bal oldali panelen, és válassza ki a sajátját.
-
Az Active Directoryban válassza az "Alkalmazásregisztráció" lapot.
-
Új alkalmazásbejegyzés létrehozásához kattintson az alsó panel "Új alkalmazásregisztráció" gombjára.
-
Adja meg az alkalmazás "nevét", és válassza ki a megfelelő típust.
Megjegyzés: Ezen a lapon megadhatja a "Bejelentkezési URL-címet", amelynek http://<AppName>formátumúnak kell lennie, ahol <AppName> az előző oldalon megadott alkalmazásnév. <AppName> a Key Vault-tároló hozzáférési szabályzataiban kell definiálni.
-
Kattintson a "Létrehozás" gombra.
Az alkalmazás konfigurálása
-
Nyissa meg a "Alkalmazásregisztrációk" lapot.
-
Keresse meg a megfelelő alkalmazást. Az "Alkalmazásazonosító" mező értéke megegyezik <Key Vault Client>paraméterével.
-
Kattintson a "Beállítások" gombra, majd nyissa meg a "Kulcsok" lapot.
-
Kulcs létrehozása. Ez a kulcstartó tárolóhoz való biztonságos hozzáféréshez használatos az alkalmazásból.
-
Töltse ki a "Leírás" mezőt.
-
Létrehozhat egy kulcsot, amelynek időtartama egy vagy két év. Miután a lap alsó részén a "Mentés" gombra kattintott, a kulcsérték láthatóvá válik.
Megjegyzés: A kulcsérték a kulcstartóval való integráció kötelező paramétere. Ezt át kell másolni, majd meg kell adni az alkalmazásban. Az "Azure Key Vault-ügyfél beállítása" <Key Vault titkos kulcs>paraméterként hivatkozik rá.
-
Másolja ki az "Ügyfél-azonosító" értéket a konfigurációból. Ezt az alkalmazásban kell megadni, és az "Azure Key Vault-ügyfél beállítása" kifejezésben <Key Vault client> paraméterként kell megadni.
Alkalmazás hozzáadása a Key Vault-tárolóhoz
Adja hozzá az alkalmazást a korábban létrehozott Key Vault-tárolóhoz.
-
Vissza a Microsoft Azure Portal (https://ms.portal.azure.com/),
-
Nyissa meg a Key Vault-tárolót, és kattintson a "Hozzáférési szabályzatok" csempére.
-
Kattintson az "Új hozzáadása" gombra, és válassza a "Rendszerbiztonsági tag kiválasztása" lehetőséget. Ezután keresse meg az alkalmazást a neve alapján. Az alkalmazás megtalálása után kattintson a "Kiválasztás" gombra.
-
Töltse ki a "Konfigurálás sablonból" mezőt, és kattintson az OK gombra.
Megjegyzés: Ezen a lapon szükség esetén beállíthatja a kulcsengedélyeket is.