Panoramica
I dati aziendali riservati vengono in genere usati in modo protetto. Significa che una funzionalità o un'applicazione che usa questi dati deve supportare la crittografia dei dati, l'uso di certificati e così via. Poiché la versione cloud di Microsoft Dynamics 365 for Finance and Operations non supporta uno spazio di archiviazione locale di certificati, i clienti devono usare uno spazio di archiviazione del vault delle chiavi in questo caso. Azure Key Vault offre l'opportunità di importare chiavi di crittografia, certificati in Azure e di gestirle. Altre informazioni su Azure Key Vault: Che cos'è Azure Key Vault.
Per definire l'integrazione tra Microsoft Dynamics 365 for Finance and Operations e Azure Key Vault, sono necessari i dati seguenti:
-
URL key vault (nome DNS),
-
ID client (identificatore dell'applicazione),
-
Elenco dei certificati con i loro nomi,
-
Chiave segreta (valore della chiave).
Di seguito è riportata una descrizione dettagliata dei passaggi di configurazione:
Creare uno spazio di archiviazione Key Vault
-
Aprire il portale di Azure Microsoft usando il collegamento: https://ms.portal.azure.com/.
-
Fare clic sul pulsante "Crea una risorsa" nel riquadro sinistro per creare una nuova risorsa. Scegliere il gruppo "Sicurezza + Identità" e il tipo di risorsa "Key Vault".
-
Viene aperta la pagina "Crea vault con tasti". Qui, è necessario definire i parametri di archiviazione del vault chiave e quindi fare clic sul pulsante "Crea":
-
Specificare "Nome" del vault delle chiavi. Questo parametro viene definito "Configurazione del client di Azure Key Vault" come <KeyVaultName>.
-
Selezionare l'abbonamento.
-
Scegliere un gruppo di risorse. È come una directory interna all'interno della memoria del Vault delle chiavi. È possibile usare un gruppo di risorse esistente o crearne uno nuovo.
-
Seleziona la tua posizione.
-
Seleziona un livello di prezzo.
-
Fare clic su "Crea".
-
Aggiungere il vault delle chiavi creato al dashboard.
Caricare un certificato
La procedura di caricamento nella memoria del Vault delle chiavi dipende dal tipo di certificato.
Importazione dei certificati *.pfx
-
I certificati con estensione *.pfx possono essere caricati in Azure Key Vault usando uno script di PowerShell.
-
Installare il modulo AzureRM per PowerShell seguendo questa istruzione: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
Eseguire uno script in PowerShell, come nell'esempio mostrato di seguito:
Connect-AzAccount
$pfxFilePath = ' <Localpath> '
$pwd = ''
$secretName = ' nome<> '
$keyVaultName = ' <keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Dove:
<Localpath> - percorso locale del file con certificato, ad esempio C:\<smth>.pfx
<nome>: nome del certificato, ad esempio <>
<> keyvault - nome dell'archiviazione del Vault delle chiavi
Se è necessaria una password, aggiungerla al tag $pwd
-
Impostare un tag per il certificato caricato nel Vault delle chiavi di Azure.
-
In Microsoft portale di Azure fare clic sul pulsante "Dashboard" e selezionare il vault delle chiavi appropriato per aprirlo.
-
Fai clic sul riquadro "Segreti".
-
Trovare un segreto appropriato in base al nome del certificato e aprirlo.
-
Aprire la scheda "Contrassegni".
-
Set Tag name = "type" and Tag value = "certificate".
Nota: nome tag e valore tag devono essere compilati senza virgolette e in minuscolo.
-
Fare clic sul pulsante OK e salvare il segreto aggiornato.
Importazione di altri certificati
-
Fare clic sul pulsante "Dashboard" nel riquadro sinistro per visualizzare il vault delle chiavi creato in precedenza.
-
Selezionare il vault delle chiavi appropriato per aprirlo. La scheda "Panoramica" mostra i parametri essenziali dell'archiviazione del vault delle chiavi, incluso un "nome DNS".
Nota: il nome DNS è un parametro obbligatorio per l'integrazione con il vault delle chiavi, quindi deve essere specificato nell'applicazione e definito "Configurazione del client di Azure Key Vault" come <Key Vault URL> parametro.
-
Fai clic sul riquadro "Segreti".
-
Fare clic sul pulsante "Genera/Importa" nella pagina "Segreti" per aggiungere un nuovo certificato all'archivio del Vault delle chiavi. Sul lato destro della pagina è necessario definire i parametri del certificato:
-
Selezionare il valore "Manuale" nel campo "Opzioni di caricamento".
-
Immettere il nome del certificato nel campo "Nome".
Nota: Il Secret Name è un parametro obbligatorio per l'integrazione con il vault della chiave, quindi deve essere specificato nell'applicazione. Viene definito "Configurazione del client di Azure Key Vault" come parametro><SecretName.
-
Aprire un certificato per la modifica e copiare tutto il relativo contenuto, inclusi i tag di inizio e di chiusura.
-
Incollare il contenuto copiato nel campo "Valore".
-
Abilitare il certificato.
-
Premi il pulsante "Crea".
-
È possibile caricare diverse versioni del certificato e gestirle nello spazio di archiviazione del Vault delle chiavi. Se è necessario caricare una nuova versione per un certificato esistente, selezionare un certificato appropriato e fare clic sul pulsante "Nuova versione".
Nota: la versione corrente deve essere definita nella configurazione dell'applicazione ed è indicata in "Configurazione del client di Azure Key Vault" come parametro><SecretVersion.
Creare un punto di ingresso per l'applicazione
Creare un punto di ingresso per l'applicazione che usa lo spazio di archiviazione del Vault delle chiavi.
-
Aprire la https://manage.windowsazure.com/ del portale legacy.
-
Fai clic su "Azure Active Directory" dal pannello sinistro e seleziona il tuo.
-
All'apertura della directory attiva scegliere la scheda "Registrazione app".
-
Fai clic sul pulsante "Registrazione nuova applicazione" nel pannello inferiore per creare una nuova voce dell'applicazione.
-
Specificare un "Nome" dell'applicazione e selezionare un tipo appropriato.
Nota: in questa pagina è anche possibile definire l'URL di accesso, che deve avere un formato http://<NomeApp>, dove <> NomeApp è un nome di applicazione specificato nella pagina precedente. <> AppName devono essere definiti nei criteri di accesso per l'archiviazione del Vault delle chiavi.
-
Fai clic sul pulsante "Crea".
Configurare l'applicazione
-
Aprire la scheda "Registrazioni app".
-
Trovare un'applicazione appropriata. Il campo "ID applicazione" ha lo stesso valore del parametro di <Key Vault Client>.
-
Fai clic sul pulsante "Impostazioni", quindi apri la scheda "Tasti".
-
Generare una chiave. Viene usato per un accesso protetto all'archiviazione del vault delle chiavi dall'applicazione.
-
Compilare il campo "Descrizione".
-
È possibile creare una chiave con il periodo di durata uguale a uno o due anni. Dopo aver fatto clic sul pulsante "Salva" nella parte inferiore della pagina, il valore chiave diventa visibile.
Nota: il valore della chiave è un parametro obbligatorio per l'integrazione con il vault della chiave. Deve essere copiato e quindi specificato nell'applicazione. Viene definita "Configurazione del client di Azure Key Vault" come <Key Vault chiave segreta> parametro.
-
Copiare il valore di "ID client" dalla configurazione. Deve essere specificato nell'applicazione e indicato in "Configurazione del client di Azure Key Vault" come parametro<Key Vault Client>.
Aggiungere un'applicazione allo spazio di archiviazione del Vault delle chiavi
Aggiungere l'applicazione allo spazio di archiviazione del Vault delle chiavi creato in precedenza.
-
Indietro al portale di Azure Microsoft (https://ms.portal.azure.com/),
-
Aprire la memoria del Vault delle chiavi e fare clic sul riquadro "Criteri di accesso".
-
Fai clic sul pulsante "Aggiungi nuovo" e scegli l'opzione "Seleziona entità". Quindi, è necessario trovare l'applicazione in base al nome. Quando viene trovata l'applicazione, fare clic sul pulsante "Seleziona".
-
Compilare il campo "Configura da modello" e fare clic sul pulsante OK.
Nota: in questa pagina è anche possibile configurare le autorizzazioni principali, se necessario.