Pārskats
Uzņēmumam jutīgi dati parasti tiek izmantoti drošā veidā. Tas nozīmē, ka funkcijai vai lietojumprogrammai, kas strādā ar šiem datiem, ir jāatbalsta datu šifrēšana, darbs ar sertifikātiem utt. Tā kā Microsoft Dynamics 365 for Finance and Operations mākoņa versija neatbalsta sertifikātu lokālo krātuvi, klientiem šajā gadījumā ir jāizmanto atslēgu seifa krātuve. Azure Key Vault sniedz iespēju importēt kriptogrāfiskās atslēgas, sertifikātus Azure un tos pārvaldīt. Papildu informācija par Azure Key Vault: Kas ir Azure Key Vault.
Tālāk norādītie dati ir nepieciešami, lai definētu integrāciju starp Microsoft Dynamics 365 for Finance and Operations un Azure Key Vault:
- Atslēgu seifa URL (DNS nosaukums),
- Klienta ID (lietojumprogrammas identifikators),
- Sertifikātu saraksts ar to nosaukumiem,
- Slepenā atslēga (atslēgas vērtība).
Tālāk ir sniegts detalizēts iestatīšanas darbību apraksts.
Key Vault krātuves izveide
- Atveriet Microsoft Azure portālu, izmantojot saiti https://ms.portal.azure.com/.
- Noklikšķiniet uz pogas "Izveidot resursu" kreisajā panelī, lai izveidotu jaunu resursu. Izvēlieties grupu "Drošība+identitāte" un resursu veidu "Key Vault".
- Tiek atvērta lapa "Izveidot atslēgu glabātavu". Šeit jums vajadzētu definēt galvenos seifa krātuves parametrus un pēc tam noklikšķiniet uz pogas "Izveidot":
- Norādiet atslēgas glabātavas "Nosaukums". Šis parametrs sadaļā "Azure Key Vault klienta iestatīšana" tiek saukts par <KeyVaultName>.
- Atlasiet savu abonementu.
- Izvēlieties resursu grupu. Tas ir kā iekšējs direktorijs atslēgu glabātavas krātuvē. Varat gan izmantot esošu resursu grupu, gan izveidot jaunu.
- Atlasiet savu atrašanās vietu.
- Atlasiet cenu līmeni.
- Noklikšķiniet uz "Izveidot".
- Piespraudiet izveidoto Key Seifo pie informācijas paneļa.
Augšupielādēt sertifikātu
Augšupielādes procedūra atslēgu glabātavā ir atkarīga no sertifikāta tipa.
*.pfx sertifikātu imports
- Sertifikātus ar paplašinājumu *.pfx var augšupielādēt Azure Key Vault, izmantojot PowerShell skriptu.
- Instalējiet moduli AzureRM for PowerShell, sekojot šiem norādījumiem: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
- Izpildiet skriptu PowerShell, kā parādīts tālāk redzamajā piemērā.
Connect-AzAccount
$pfxFilePath = '<Localpath>'
$pwd = ''
$secretName = '<vārds>'
$keyVaultName = '<keyvault>'
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Kur:
<Localpath> — lokālais ceļš uz failu ar sertifikātu, piemēram, C:\<smth.pfx>
< > nosaukums - sertifikāta nosaukums, piemēram<, smth>
<keyvault> — atslēgas glabātavas nosaukums
Ja nepieciešama parole, pievienojiet to atzīmju $pwd
- Iestatiet atzīmi sertifikātam, kas augšupielādēts Azure Key seifā.
- Microsoft Azure portālā noklikšķiniet uz pogas "Dashboard"* un atlasiet atbilstošo Key Vault, lai to atvērtu.
- Noklikšķiniet uz flīzes "Noslēpumi".
- Atrodiet atbilstošu noslēpumu pēc sertifikāta nosaukuma un atveriet to.
- Atveriet cilni "Tags".
- Iestatiet Tag name = "tips" and Tag value = "sertifikāts".
Piezīme: Taga nosaukums un atzīmes vērtība jāaizpilda bez pēdiņām un ar mazajiem burtiem.
- Noklikšķiniet uz pogas Labi un saglabājiet atjaunināto noslēpumu.
Pārējo sertifikātu ievešana
- Kreisajā panelī noklikšķiniet uz pogas "Dashboard", lai redzētu iepriekš izveidoto atslēgu seifu.
- Atlasiet atbilstošo Key Vault, lai to atvērtu. Cilnē "Pārskats" ir redzami galvenie atslēgas seifa krātuves parametri, tostarp "DNS nosaukums".
Piezīme: DNS nosaukums ir obligāts parametrs integrācijai ar atslēgu seifu, tāpēc tas ir jānorāda lietojumprogrammā un jānorāda sadaļā "Azure Key Vault klienta iestatīšana" kā <Key Vault URL> parametrs.
- Noklikšķiniet uz flīzes "Noslēpumi".
- Lapā "Noslēpumi" noklikšķiniet uz pogas "Ģenerēt/importēt", lai atslēgu seifa krātuvei pievienotu jaunu sertifikātu. Lapas labajā pusē definējiet sertifikāta parametrus:
- Laukā "Augšupielādes opcijas" atlasiet vērtību "Manuāli".
- Laukā "Nosaukums" ievadiet sertifikāta nosaukumu.
Piezīme: Slepenais nosaukums ir obligāts parametrs integrācijai ar atslēgu seifu, tāpēc tas ir jānorāda lietojumprogrammā. Sadaļā "Azure Key Vault klienta iestatīšana" tas tiek saukts par <parametru SecretName>.
- Atveriet sertifikātu rediģēšanai un nokopējiet visu tā saturu, ieskaitot sākuma un beigu tagus.
- Ielīmējiet nokopēto saturu laukā "Vērtība".
- Iespējojiet sertifikātu.
- Nospiediet pogu "Izveidot".
- Ir iespējams augšupielādēt vairākas sertifikāta versijas un pārvaldīt tās atslēgu glabātavas krātuvē. Ja jums ir nepieciešams augšupielādēt jaunu esoša sertifikāta versiju, atlasiet atbilstošu sertifikātu un noklikšķiniet uz pogas "Jauna versija".
Piezīme: Pašreizējai versijai ir jābūt definētai lietojumprogrammas iestatīšanā, un sadaļā "Klienta iestatīšana" tā tiek saukta Azure Key Vault <SecretVersion> parametru.
Lietojumprogrammas sākumpunkta izveide
Izveidojiet ieejas punktu savai programmai, kas izmanto atslēgu glabātavas krātuvi.
- Atveriet mantoto portālu https://manage.windowsazure.com/.
- Kreisajā panelī noklikšķiniet uz "Azure Active Directory" un atlasiet savu.
- Atvērtajā Active Directory izvēlieties cilni "Lietotņu reģistrācija".
- Apakšējā panelī noklikšķiniet uz pogas "Jauna pieteikuma reģistrācija", lai izveidotu jaunu pieteikuma ierakstu.
- Norādiet lietojumprogrammas "nosaukumu" un atlasiet atbilstošu tipu.
Piezīmes: Šajā lapā jūs varat definēt arī "Pierakstīšanās URL", kura formātam jābūt http://< AppName>, kur <AppName> ir lietojumprogrammas nosaukums, kas norādīts iepriekšējā lapā. <AppName> ir jābūt definētam atslēgu glabātavas piekļuves politikās.
- Noklikšķiniet uz pogas "Izveidot".
Konfigurējiet savu lietojumprogrammu
- Atveriet cilni "Lietotņu reģistrācijas".
- Atrodiet piemērotu lietojumprogrammu. Laukam "Lietojumprogrammas ID" ir tāda pati vērtība kā parametram< Key Vault Client>.
- Noklikšķiniet uz pogas "Iestatījumi" un pēc tam atveriet cilni "Taustiņi".
- Ģenerēt atslēgu. Tas tiek izmantots, lai no lietojumprogrammas droši piekļūtu atslēgu glabātavai.
- Aizpildiet lauku "Apraksts".
- Varat izveidot atslēgu, kuras ilguma periods ir viens vai divi gadi. Pēc noklikšķināšanas uz pogas "Saglabāt" lapas apakšējā daļā, atslēgas vērtība kļūst redzama.
Piezīme. Atslēgas vērtība ir obligāts parametrs integrācijai ar atslēgas glabātavu. Tas ir jākopē un pēc tam jānorāda lietojumprogrammā. Sadaļā "Azure Key Vault klienta iestatīšana" tas tiek saukts par <Key Vault slepenās atslēgas> parametru.
- Nokopējiet vērtību "Klienta ID" no konfigurācijas. Tas ir jānorāda lietojumprogrammā un jānorāda sadaļā "Azure Key Vault klienta iestatīšana" kā <Key Vault klienta> parametrs.
Programmas pievienošana atslēgu glabātavas krātuvei
Pievienojiet savu programmu iepriekš izveidotajai atslēgu glabātuvei.
- Atgriezties Microsoft Azure portālā (https://ms.portal.azure.com/)
- Atveriet atslēgu seifu krātuvi un noklikšķiniet uz elementa "Piekļuves politikas".
- Noklikšķiniet uz pogas "Pievienot jaunu" un izvēlieties opciju "Atlasīt galveno". Tad jums vajadzētu atrast savu pieteikumu pēc tā nosaukuma. Kad lietojumprogramma ir atrasta, noklikšķiniet uz pogas "Atlasīt".
- Aizpildiet lauku "Konfigurēt no veidnes" un noklikšķiniet uz pogas Labi.
Piezīme. Šajā lapā varat arī iestatīt taustiņu atļaujas, ja nepieciešams.