概要
通常、ビジネスに依存するデータは、セキュリティで保護された方法で使用されます。 つまり、このデータを操作する機能またはアプリケーションでは、データ暗号化、証明書の操作などをサポートする必要があります。Finance and Operations 用Microsoft Dynamics 365のクラウド バージョンでは証明書のローカル ストレージがサポートされていないため、この場合はキー コンテナー ストレージを使用する必要があります。 Azure Key Vaultは、暗号化キー、証明書をAzureにインポートし、それらを管理する機会を提供します。 Azure Key Vaultに関する追加情報: Azure Key Vaultとは。
Finance and Operations と Azure Key Vault のMicrosoft Dynamics 365の統合を定義するには、次のデータが必要です。
- Key Vault URL (DNS 名)
- クライアント ID (アプリケーション識別子)
- 証明書の名前の一覧
- シークレット キー (キー値)。
以下に、セットアップ手順の詳細な説明を示します。
Key Vault ストレージを作成する
- [https://ms.portal.azure.com/] リンクを使用して Microsoft Azure portalを開きます。
- 左側のパネルの [リソースの作成] ボタンをクリックして、新しいリソースを作成します。 [セキュリティと ID] グループと [Key Vault] リソースの種類を選択します。
- [キー コンテナーの作成] ページが開きます。 ここでは、キー コンテナーのストレージ パラメーターを定義し、[作成] ボタンをクリックする必要があります。
- キー コンテナーの "名前" を指定します。 このパラメーターは、"Azure Key Vault クライアントのセットアップ" で <KeyVaultName> と呼ばれます。
- サブスクリプションを選択します。
- リソース グループを選択します。 これは、キー コンテナー ストレージ内の内部ディレクトリのようなものです。 既存のリソース グループを使用することも、新しいリソース グループを作成することもできます。
- 場所を選択します。
- 価格レベルを選択します。
- [作成] をクリックします。
- 作成したキー コンテナーをダッシュボードにピン留めします。
証明書をアップロードする
キー コンテナー ストレージへのアップロード手順は、証明書の種類によって異なります。
*.pfx 証明書のインポート
- 拡張機能 *.pfx を持つ証明書は、PowerShell スクリプトを使用してAzure Key Vaultにアップロードできます。
- 次の手順に従って、モジュール AzureRM for PowerShell をインストールします。https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
- 次に示す例のように、PowerShell でスクリプトを実行します。
Connect-AzAccount
$pfxFilePath = '<Localpath>'
$pwd = ''
$secretName = '<name>'
$keyVaultName = '<keyvault>'
$collection = New-ObjectSystem.Security.Encryptiony.X509Certificates.X509Certificate2Collection
$collection。Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection。Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
ここで、
<Localpath> - C:\<smth>.pfx など、certicate を使用したファイルへのローカル パス
<name> - 証明書の名前 (例: <smth)>
<keyvault> - Key Vault ストレージの名前
パスワードが必要な場合は、タグ $pwdに追加します
- Azure Key Vault にアップロードされた証明書のタグを設定します。
- Microsoft Azure portalで、[ダッシュボード] * ボタンをクリックし、適切なキー コンテナーを選択して開きます。
- [シークレット] タイルをクリックします。
- 証明書名で適切なシークレットを見つけて開きます。
- [タグ] タブを開きます。
- タグ名 = "type" と Tag 値 = "certificate" を設定します。
注: タグ名とタグ値は、引用符なしで小文字で入力する必要があります。
- [OK] ボタンをクリックし、更新されたシークレットを保存します。
他の証明書のインポート
- 左側のパネルの [ダッシュボード] ボタンをクリックすると、先ほど作成したキー コンテナーが表示されます。
- 適切なキー コンテナーを選択して開きます。 [概要] タブには、"DNS 名" を含むキー コンテナー ストレージの重要なパラメーターが表示されます。
注: DNS 名はキー コンテナーとの統合に必須のパラメーターであるため、アプリケーションで指定し、「<Key Vault URL> パラメーターとして「Azure Key Vault クライアントを設定する」で参照する必要があります。
- [シークレット] タイルをクリックします。
- [シークレット] ページの [生成/インポート] ボタンをクリックして、キー コンテナー ストレージに新しい証明書を追加します。 ページの右側で、証明書パラメーターを定義する必要があります。
- [アップロード オプション] フィールドで [手動] の値を選択します。
- [名前] フィールドに証明書名を入力します。
注: シークレット名 は、キー コンテナーとの統合に必須のパラメーターであるため、アプリケーションで指定する必要があります。 "Azure Key Vault クライアントのセットアップ" では、<SecretName> パラメーターと呼ばれます。
- 編集用の証明書を開き、開始タグと終了タグを含むすべてのコンテンツをコピーします。
- コピーしたコンテンツを [値] フィールドに貼り付けます。
- 証明書を有効にします。
- [作成] ボタンを押します。
- 複数のバージョンの証明書をアップロードし、キー コンテナー ストレージで管理できます。 既存の証明書の新しいバージョンをアップロードする必要がある場合は、適切な証明書を選択し、[新しいバージョン] ボタンをクリックします。
注: 現在のバージョンは、アプリケーションのセットアップで定義する必要があり、「クライアントAzure Key Vaultセットアップ」で<SecretVersion> パラメーターと呼ばれます。
アプリケーションのエントリ ポイントを作成する
キー コンテナー ストレージを使用するアプリケーションのエントリ ポイントを作成します。
- レガシ ポータル https://manage.windowsazure.com/ を開きます。
- 左側のパネルから [Azure Active Directory] をクリックし、自分を選択します。
- 開いた Active Directory で、[アプリの登録] タブを選択します。
- 下部のパネルの [新しいアプリケーションの登録] ボタンをクリックして、新しいアプリケーション エントリを作成します。
- アプリケーションの "名前" を指定し、適切な種類を選択します。
注: このページでは、<AppName> は前のページで指定したアプリケーション名 http://<AppName>の形式にする必要がある "サインオン URL" を定義することもできます。 <AppName> は、キー コンテナー ストレージのアクセス ポリシーで定義する必要があります。
- [作成] ボタンをクリックします。
アプリケーションを構成する
- [アプリの登録] タブを開きます。
- 適切なアプリケーションを見つけます。 "アプリケーション ID" フィールドの値は、<Key Vault Client> のパラメーターと同じです。
- [設定] ボタンをクリックし、[キー] タブを開きます。
- キーを生成します。 これは、アプリケーションからのキー コンテナー ストレージへのセキュリティで保護されたアクセスに使用されます。
- [説明] フィールドに入力します。
- 期間が 1 年または 2 年と等しいキーを作成できます。 ページの下部にある [保存] ボタンをクリックすると、 キー値 が表示されます。
注: キー値 は、キー コンテナーとの統合に必須のパラメーターです。 コピーしてから、アプリケーションで指定する必要があります。 "Azure Key Vault クライアントのセットアップ" では、<Key Vault秘密鍵>パラメーターと呼ばれます。
- 構成から "クライアント ID" の値をコピーします。 これはアプリケーションで指定し、「クライアントAzure Key Vaultクライアントの設定」で client> パラメーターとして<Key Vault参照する必要があります。
キー コンテナー ストレージにアプリケーションを追加する
前に作成したキー コンテナー ストレージにアプリケーションを追加します。
- Microsoft Azure portal (https://ms.portal.azure.com/) に戻るします。
- キー コンテナー ストレージを開き、タイル "アクセス ポリシー" をクリックします。
- [新しい追加] ボタンをクリックし、[プリンシパルの選択] オプションを選択します。 その後、その名前でアプリケーションを見つける必要があります。 アプリケーションが見つかったら、[選択] ボタンをクリックします。
- [テンプレートから構成する] フィールドに入力し、[OK] ボタンをクリックします。
注: このページでは、必要に応じてキーのアクセス許可を設定することもできます。