개요
비즈니스에 민감한 데이터는 일반적으로 보안 방식으로 사용됩니다. 즉, 이 데이터로 작업하는 기능 또는 애플리케이션은 데이터 암호화, 인증서 작업 등을 지원해야 합니다. 금융 및 운영용 클라우드 버전의 Microsoft Dynamics 365 인증서의 로컬 스토리지를 지원하지 않으므로 고객은 이 경우 키 자격 증명 모음 스토리지를 사용해야 합니다. Azure Key Vault 암호화 키, Azure 인증서를 가져오고 관리할 수 있는 기회를 제공합니다. Azure Key Vault 대한 추가 정보: Azure Key Vault.
Finance and Operations와 Azure Key Vault 대한 Microsoft Dynamics 365 간의 통합을 정의하려면 다음 데이터가 필요합니다.
- 키 자격 증명 모음 URL(DNS 이름),
- 클라이언트 ID(애플리케이션 식별자),
- 이름이 있는 인증서 목록
- 비밀 키(키 값).
아래에서 설치 단계에 대한 자세한 설명을 찾을 수 있습니다.
Key Vault 스토리지 만들기
- https://ms.portal.azure.com/ 링크를 사용하여 Microsoft Azure Portal 엽니다.
- 왼쪽 패널에서 "리소스 만들기" 단추를 클릭하여 새 리소스를 만듭니다. "보안 + ID" 그룹 및 "Key Vault" 리소스 유형을 선택합니다.
- "키 자격 증명 모음 만들기" 페이지가 열립니다. 여기서는 키 자격 증명 모음 스토리지 매개 변수를 정의한 다음 "만들기" 단추를 클릭해야 합니다.
- 키 자격 증명 모음의 "이름"을 지정합니다. 이 매개 변수는 "Azure Key Vault 클라이언트 설정"에서 KeyVaultName>으로< 참조됩니다.
- 구독을 선택합니다.
- 리소스 그룹을 선택합니다. 이는 키 자격 증명 모음 스토리지 내의 내부 디렉터리와 같습니다. 둘 다 기존 리소스 그룹을 사용하거나 새 리소스 그룹을 만들 수 있습니다.
- 위치를 선택합니다.
- 가격 책정 계층을 선택합니다.
- "만들기"를 클릭합니다.
- 만든 키 자격 증명 모음을 대시보드에 고정합니다.
인증서 업로드
키 자격 증명 모음 스토리지에 대한 업로드 절차는 인증서 유형에 따라 달라집니다.
*.pfx 인증서 가져오기
- 확장 *.pfx가 있는 인증서는 PowerShell 스크립트를 사용하여 Azure Key Vault 업로드할 수 있습니다.
- 다음 지침에 따라 PowerShell용 AzureRM 모듈을 설치합니다 https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
- 아래 예제와 같이 PowerShell에서 스크립트를 실행합니다.
Connect-AzAccount
$pfxFilePath = '<Localpath>'
$pwd = ''
$secretName = '<name>'
$keyVaultName = '<keyvault>'
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
여기서,
<Localpath> - 인증서가 있는 파일의 로컬 경로(예: C:\<smth.pfx>)
<name> - 인증서의 이름(예: <smth)>
<keyvault> - Key Vault 스토리지의 이름
암호가 필요한 경우 태그 $pwd 추가합니다.
- Azure Key Vault에 업로드된 인증서에 대한 태그를 설정합니다.
- Microsoft Azure Portal "대시보드"* 단추를 클릭하고 적절한 키 자격 증명 모음을 선택하여 엽니다.
- "비밀" 타일을 클릭합니다.
- 인증서 이름으로 적절한 비밀을 찾아 엽니다.
- "태그" 탭을 엽니다.
- 태그 이름 = "type" 및 Tag 값 = "certificate"를 설정합니다.
참고: 태그 이름 및 태그 값은 따옴표 없이 소문자로 채워야 합니다.
- 확인 단추를 클릭하고 업데이트된 비밀을 저장합니다.
다른 인증서 가져오기
- 왼쪽 패널에서 "대시보드" 단추를 클릭하여 이전에 만든 키 자격 증명 모음을 확인합니다.
- 적절한 키 자격 증명 모음을 선택하여 엽니다. "개요" 탭에는 "DNS 이름"을 비롯한 키 자격 증명 모음 스토리지의 필수 매개 변수가 표시됩니다.
참고: DNS 이름은 키 자격 증명 모음과 통합하기 위한 필수 매개 변수이므로 애플리케이션에서 지정하고 "Azure Key Vault 클라이언트 설정"에서 Key Vault URL> 매개 변수로< 참조해야 합니다.
- "비밀" 타일을 클릭합니다.
- "비밀" 페이지에서 "생성/가져오기" 단추를 클릭하여 키 자격 증명 모음 스토리지에 새 인증서를 추가합니다. 페이지 오른쪽에서 인증서 매개 변수를 정의해야 합니다.
- "업로드 옵션" 필드에서 "수동" 값을 선택합니다.
- "이름" 필드에 인증서 이름을 입력합니다.
참고: 비밀 이름은 키 자격 증명 모음과 통합하기 위한 필수 매개 변수이므로 애플리케이션에서 지정해야 합니다. "Azure Key Vault 클라이언트 설정"에서 SecretName> 매개 변수로< 참조됩니다.
- 편집할 인증서를 열고 시작 및 닫는 태그를 포함한 모든 콘텐츠를 복사합니다.
- 복사한 콘텐츠를 "값" 필드에 붙여넣습니다.
- 인증서를 사용하도록 설정합니다.
- "만들기" 단추를 누릅니다.
- 여러 버전의 인증서를 업로드하고 키 자격 증명 모음 스토리지에서 관리할 수 있습니다. 기존 인증서에 대한 새 버전을 업로드해야 하는 경우 적절한 인증서를 선택하고 "새 버전" 단추를 클릭합니다.
참고: 현재 버전은 애플리케이션 설정에서 정의되어야 하며 "Azure Key Vault 클라이언트 설정"에서 SecretVersion> 매개 변수로< 참조됩니다.
애플리케이션의 진입점 만들기
키 자격 증명 모음 스토리지를 사용하는 애플리케이션의 진입점을 만듭니다.
- 레거시 포털 https://manage.windowsazure.com/ 엽니다.
- 왼쪽 패널에서 "Azure Active Directory"를 클릭하고 사용자를 선택합니다.
- Active Directory를 열었을 때 "앱 등록" 탭을 선택합니다.
- 아래쪽 패널에서 "새 애플리케이션 등록" 단추를 클릭하여 새 애플리케이션 항목을 만듭니다.
- 애플리케이션의 "이름"을 지정하고 적절한 형식을 선택합니다.
참고: 이 페이지에서 "로그온 URL"을 정의할 수도 있습니다. 이 URL은 http://< AppName> 형식이어야 합니다. 여기서 <AppName> 은 이전 페이지에 지정된 애플리케이션 이름입니다. <AppName> 은 키 자격 증명 모음 스토리지에 대한 액세스 정책에 정의되어야 합니다.
- "만들기" 단추를 클릭합니다.
애플리케이션 구성
- "앱 등록" 탭을 엽니다.
- 적절한 애플리케이션을 찾습니다. "애플리케이션 ID" 필드에는 Key Vault Client의 매개 변수와 동일한 값이 <있습니다>.
- "설정" 단추를 클릭한 다음 "키" 탭을 엽니다.
- 키를 생성합니다. 애플리케이션에서 키 자격 증명 모음 스토리지에 대한 보안 액세스에 사용됩니다.
- "설명" 필드를 입력합니다.
- 기간이 1년 또는 2년인 키를 만들 수 있습니다. 페이지 아래쪽에서 "저장" 단추를 클릭하면 키 값 이 표시됩니다.
참고: 키 값은 키 자격 증명 모음과 통합하기 위한 필수 매개 변수입니다. 복사한 다음 애플리케이션에 지정해야 합니다. "Azure Key Vault 클라이언트 설정"에서 Key Vault 비밀 키> 매개 변수라고< 합니다.
- 구성에서 "클라이언트 ID" 값을 복사합니다. 애플리케이션에서 지정하고 "Azure Key Vault 클라이언트 설정"에서 Key Vault Client> 매개 변수로< 참조해야 합니다.
키 자격 증명 모음 스토리지에 애플리케이션 추가
이전에 만든 키 자격 증명 모음 스토리지에 애플리케이션을 추가합니다.
- Microsoft Azure Portal(https://ms.portal.azure.com/)에 돌아가기
- 키 자격 증명 모음 스토리지를 열고 "액세스 정책" 타일을 클릭합니다.
- "새로 추가" 단추를 클릭하고 "보안 주체 선택" 옵션을 선택합니다. 그런 다음 해당 이름으로 애플리케이션을 찾아야 합니다. 애플리케이션이 발견되면 "선택" 단추를 클릭합니다.
- "템플릿에서 구성" 필드를 입력하고 확인 단추를 클릭합니다.
참고: 이 페이지에서 필요한 경우 키 권한을 설정할 수도 있습니다.