개요
비즈니스에 민감한 데이터는 일반적으로 보안 방식으로 사용됩니다. 즉, 이 데이터로 작업하는 기능 또는 애플리케이션은 데이터 암호화, 인증서 작업 등을 지원해야 합니다. Microsoft Dynamics 365 for Finance and Operations의 클라우드 버전이 인증서의 로컬 스토리지를 지원하지 않으므로 고객은 이 경우 키 자격 증명 모음 스토리지를 사용해야 합니다. Azure Key Vault 암호화 키, 인증서를 Azure로 가져오고 관리할 수 있는 기회를 제공합니다. Azure Key Vault 대한 추가 정보: Azure Key Vault.
다음 데이터는 Microsoft Dynamics 365 for Finance and Operations와 Azure Key Vault 통합을 정의하는 데 필요합니다.
-
키 자격 증명 모음 URL(DNS 이름),
-
클라이언트 ID(애플리케이션 식별자),
-
이름이 있는 인증서 목록,
-
비밀 키(키 값).
아래에서 설치 단계에 대한 자세한 설명을 찾을 수 있습니다.
Key Vault 스토리지 만들기
-
https://ms.portal.azure.com/ 링크를 사용하여 Microsoft Azure Portal 엽니다.
-
왼쪽 패널에서 "리소스 만들기" 단추를 클릭하여 새 리소스를 만듭니다. "보안 + ID" 그룹 및 "Key Vault" 리소스 유형을 선택합니다.
-
"키 자격 증명 모음 만들기" 페이지가 열립니다. 여기서는 키 자격 증명 모음 스토리지 매개 변수를 정의한 다음 "만들기" 단추를 클릭해야 합니다.
-
키 자격 증명 모음의 "이름"을 지정합니다. 이 매개 변수는 "Azure Key Vault 클라이언트 설정"에서 <KeyVaultName>참조됩니다.
-
구독을 선택합니다.
-
리소스 그룹을 선택합니다. 키 자격 증명 모음 스토리지 내의 내부 디렉터리와 같습니다. 둘 다 기존 리소스 그룹을 사용하거나 새 리소스 그룹을 만들 수 있습니다.
-
위치를 선택합니다.
-
가격 책정 계층을 선택합니다.
-
"만들기"를 클릭합니다.
-
만든 키 자격 증명 모음을 대시보드에 고정합니다.
인증서 업로드
키 자격 증명 모음 스토리지에 대한 업로드 절차는 인증서 유형에 따라 달라집니다.
*.pfx 인증서 가져오기
-
확장 *.pfx가 있는 인증서는 PowerShell 스크립트를 사용하여 Azure Key Vault 업로드할 수 있습니다.
-
다음 지침에 따라 PowerShell용 AzureRM 모듈 을 설치합니다. https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
아래 예제와 같이 PowerShell에서 스크립트를 실행합니다.
Connect-AzAccount
$pfxFilePath = ' <Localpath> '
$pwd = ''
$secretName = ' <이름> '
$keyVaultName = ' <keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
어디:
<Localpath> - 인증서가 있는 파일의 로컬 경로(예: C:\<smth>.pfx)
<이름> - 인증서 이름(예: <smth>
keyvault> <- Key Vault 스토리지의 이름
암호가 필요한 경우 태그 $pwd 추가합니다.
-
Azure Key Vault에 업로드된 인증서에 대한 태그를 설정합니다.
-
Microsoft Azure Portal "대시보드" 단추를 클릭하고 적절한 키 자격 증명 모음을 선택하여 엽니다.
-
"비밀" 타일을 클릭합니다.
-
인증서 이름으로 적절한 비밀을 찾아 엽니다.
-
"태그" 탭을 엽니다.
-
태그 이름 = "type" 및 태그 값 = "certificate"를 설정합니다.
참고: 태그 이름 및 태그 값은 따옴표 없이 소문자로 채워야 합니다.
-
확인 단추를 클릭하고 업데이트된 비밀을 저장합니다.
다른 인증서 가져오기
-
왼쪽 패널에서 "대시보드" 단추를 클릭하여 이전에 만든 키 자격 증명 모음을 확인합니다.
-
해당 키 자격 증명 모음을 선택하여 엽니다. "개요" 탭에는 "DNS 이름"을 비롯한 키 자격 증명 모음 스토리지의 필수 매개 변수가 표시됩니다.
참고: DNS 이름은 키 자격 증명 모음과 통합하기 위한 필수 매개 변수이므로 애플리케이션에서 지정하고 "Azure Key Vault 클라이언트 설정"에서 <Key Vault URL> 매개 변수로 참조해야 합니다.
-
"비밀" 타일을 클릭합니다.
-
"비밀 " 페이지에서 "생성/가져오기" 단추를 클릭하여 키 자격 증명 모음 스토리지에 새 인증서를 추가합니다. 페이지 오른쪽에서 인증서 매개 변수를 정의해야 합니다.
-
"업로드 옵션" 필드에서 "수동" 값을 선택합니다.
-
"이름" 필드에 인증서 이름을 입력합니다.
참고: 비밀 이름은 키 자격 증명 모음과 통합하기 위한 필수 매개 변수이므로 애플리케이션에서 지정해야 합니다. "Azure Key Vault 클라이언트 설정"에서 <SecretName> 매개 변수라고 합니다.
-
시작 및 닫는 태그를 포함하여 모든 콘텐츠를 편집하고 복사하기 위한 인증서를 엽니다.
-
복사한 콘텐츠를 "값" 필드에 붙여넣습니다.
-
인증서를 사용하도록 설정합니다.
-
"만들기" 단추를 누릅니다.
-
여러 버전의 인증서를 업로드하고 키 자격 증명 모음 스토리지에서 관리할 수 있습니다. 기존 인증서에 대한 새 버전을 업로드해야 하는 경우 적절한 인증서를 선택하고 "새 버전" 단추를 클릭합니다.
참고: 현재 버전은 애플리케이션 설정에서 정의되어야 하며 "Azure Key Vault 클라이언트 설정"에서 <SecretVersion> 매개 변수로 참조됩니다.
애플리케이션의 진입점 만들기
키 자격 증명 모음 스토리지를 사용하는 애플리케이션의 진입점을 만듭니다.
-
레거시 포털 https://manage.windowsazure.com/ 엽니다.
-
왼쪽 패널에서 "Azure Active Directory"를 클릭하고 선택합니다.
-
Active Directory를 열고 "앱 등록" 탭을 선택합니다.
-
아래쪽 패널에서 "새 애플리케이션 등록" 단추를 클릭하여 새 애플리케이션 항목을 만듭니다.
-
애플리케이션의 "이름"을 지정하고 적절한 형식을 선택합니다.
참고: 이 페이지에서 는 http://<AppName>형식이어야 하는 "로그온 URL"을 정의할 수도 있습니다. 여기서 <AppName> 이전 페이지에 지정된 애플리케이션 이름입니다. <AppName> 키 자격 증명 모음 스토리지에 대한 액세스 정책에 정의되어야 합니다.
-
"만들기" 단추를 클릭합니다.
애플리케이션 구성
-
"앱 등록" 탭을 엽니다.
-
적절한 애플리케이션을 찾습니다. "애플리케이션 ID" 필드에는 <Key Vault Client>매개 변수와 동일한 값이 있습니다.
-
"설정" 단추를 클릭한 다음 "키" 탭을 엽니다.
-
키를 생성합니다. 애플리케이션에서 Key Vault 스토리지에 대한 보안 액세스에 사용됩니다.
-
"설명" 필드를 입력합니다.
-
기간이 1년 또는 2년인 키를 만들 수 있습니다. 페이지 아래쪽에서 "저장" 단추를 클릭하면 키 값 이 표시됩니다.
참고: 키 값은 키 자격 증명 모음과 통합하기 위한 필수 매개 변수입니다. 복사한 다음 애플리케이션에 지정해야 합니다. "Azure Key Vault 클라이언트 설정"에서 <Key Vault 비밀 키> 매개 변수라고 합니다.
-
구성에서 "클라이언트 ID" 값을 복사합니다. 애플리케이션에서 지정하고 "Azure Key Vault Client 설정"에서 <Key Vault Client> 매개 변수로 참조해야 합니다.
키 자격 증명 모음 스토리지에 애플리케이션 추가
이전에 만든 키 자격 증명 모음 스토리지에 애플리케이션을 추가합니다.
-
Microsoft Azure Portal(https://ms.portal.azure.com/)에 돌아가기
-
키 자격 증명 모음 스토리지를 열고 타일 "액세스 정책"을 클릭합니다.
-
"새로 추가" 단추를 클릭하고 "보안 주체 선택" 옵션을 선택합니다. 그런 다음 해당 이름으로 애플리케이션을 찾아야 합니다. 애플리케이션이 발견되면 "선택" 단추를 클릭합니다.
-
"템플릿에서 구성" 필드를 채우고 확인 단추를 클릭합니다.
참고: 이 페이지에서 필요한 경우 키 권한을 설정할 수도 있습니다.