Overzicht
Een bedrijfsgevoelige gegevens worden meestal op een beveiligde manier gebruikt. Dit betekent dat een functionaliteit of toepassing die met deze gegevens werkt, ondersteuning moet bieden voor gegevensversleuteling, werken met certificaten, enzovoort. Omdat de cloudversie van Microsoft Dynamics 365 for Finance and Operations geen lokale opslag van certificaten ondersteunt, moeten klanten in dit geval een sleutelkluisopslag gebruiken. De Azure Key Vault biedt de mogelijkheid om cryptografische sleutels, certificaten in Azure te importeren en te beheren. Aanvullende informatie over de Azure Key Vault: Wat is Azure Key Vault.
De volgende gegevens zijn vereist voor het definiëren van de integratie tussen Microsoft Dynamics 365 for Finance and Operations en Azure Key Vault:
-
URL van sleutelkluis (DNS-naam),
-
Client-id (toepassings-id),
-
Lijst met de certificaten met hun namen,
-
Geheime sleutel (sleutelwaarde).
Hieronder vindt u een gedetailleerde beschrijving van de installatiestappen:
Een Key Vault-opslag maken
-
Open de Microsoft Azure Portal met behulp van de koppeling: https://ms.portal.azure.com/.
-
Klik op de knop Een resource maken in het linkerdeelvenster om een nieuwe resource te maken. Kies de groep Beveiliging en identiteit en het resourcetype 'Key Vault'.
-
De pagina Sleutelkluis maken wordt geopend. Hier moet u de opslagparameters voor de sleutelkluis definiëren en vervolgens op de knop Maken klikken:
-
Geef de naam van de sleutelkluis op. Deze parameter wordt in 'Azure Key Vault-client instellen' aangeduid als <KeyVaultName->.
-
Selecteer uw abonnement.
-
Kies een resourcegroep. Dit is vergelijkbaar met een interne map in de sleutelkluisopslag. U kunt beide een bestaande resourcegroep gebruiken of een nieuwe maken.
-
Selecteer uw locatie.
-
Selecteer een prijscategorie.
-
Klik op Maken.
-
Maak de gemaakte sleutelkluis vast aan het dashboard.
Een certificaat uploaden
De procedure voor het uploaden naar de sleutelkluisopslag is afhankelijk van een certificaattype.
Importeren van de *.pfx-certificaten
-
De certificaten met de extensie *.pfx kunnen worden geüpload naar de Azure-Key Vault met behulp van een PowerShell-script.
-
Installeer de module AzureRM voor PowerShell volgens deze instructie: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
Voer een script uit in PowerShell, zoals in het onderstaande voorbeeld:
Connect-AzAccount
$pfxFilePath = ' <Localpath> '
$pwd = ''
$secretName = ' <naam> '
$keyVaultName = ' <keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Waar:
<Localpath> - lokaal pad naar het bestand met certificering, bijvoorbeeld C:\<smth>.pfx
<naam> - naam van het certificaat, bijvoorbeeld <smth>
<keyvault-> - naam van de sleutelkluisopslag
Als wachtwoord is vereist, voegt u het toe aan de tag $pwd
-
Stel een tag in voor het certificaat dat is geüpload naar de Azure Key Vault.
-
Klik in Microsoft Azure Portal op de knopDashboard en selecteer de juiste sleutelkluis om deze te openen.
-
Klik op de tegel Geheimen.
-
Zoek een geschikt geheim op basis van de certificaatnaam en open het.
-
Open het tabblad Tags.
-
Stel tagnaam = "type" en tagwaarde = "certificaat" in.
Opmerking: tagnaam en tagwaarde moeten worden ingevuld zonder aanhalingstekens en in kleine letters.
-
Klik op de knop OK en sla het bijgewerkte geheim op.
De andere certificaten importeren
-
Klik op de knopDashboard in het linkerdeelvenster om de sleutelkluis te zien die u eerder hebt gemaakt.
-
Selecteer de juiste sleutelkluis om deze te openen. Op het tabblad Overzicht worden essentiële parameters van de sleutelkluisopslag weergegeven, waaronder een DNS-naam.
Opmerking: de DNS-naam is een verplichte parameter voor integratie met de sleutelkluis. Daarom moet deze worden opgegeven in de toepassing en wordt in 'Azure Key Vault-client instellen' aangeduid als <Key Vault URL> parameter.
-
Klik op de tegel Geheimen.
-
Klik op de knop Genereren/importeren op de pagina Geheimen om een nieuw certificaat toe te voegen aan de sleutelkluisopslag. Aan de rechterkant van de pagina moet u de certificaatparameters definiëren:
-
Selecteer de waarde 'Handmatig' in het veld Uploadopties.
-
Voer de certificaatnaam in het veld 'Naam' in.
Opmerking: De geheime naam is een verplichte parameter voor integratie met de sleutelkluis. Daarom moet deze worden opgegeven in de toepassing. In 'Azure Key Vault-client instellen' wordt dit aangeduid als <SecretName> parameter.
-
Open een certificaat om alle inhoud te bewerken en te kopiëren, inclusief de begin- en sluittags.
-
Plak de gekopieerde inhoud in het veld Waarde.
-
Schakel het certificaat in.
-
Druk op de knop 'Maken'.
-
Het is mogelijk om verschillende versies van het certificaat te uploaden en te beheren in de sleutelkluisopslag. Als u een nieuwe versie voor een bestaand certificaat wilt uploaden, selecteert u een geschikt certificaat en klikt u op de knop Nieuwe versie.
Opmerking: de huidige versie moet worden gedefinieerd in de installatie van de toepassing en wordt in 'Azure Key Vault-client instellen' aangeduid als <SecretVersion-> parameter.
Een toegangspunt voor uw toepassing maken
Maak een toegangspunt voor uw toepassing dat gebruikmaakt van de sleutelkluisopslag.
-
Open de verouderde portal https://manage.windowsazure.com/.
-
Klik in het linkerdeelvenster op Azure Active Directory en selecteer de uwe.
-
Kies in de geopende Active Directory het tabblad App-registratie.
-
Klik op de knop Nieuwe toepassingsregistratie in het onderste deelvenster om een nieuwe toepassingsvermelding te maken.
-
Geef een 'naam' van de toepassing op en selecteer een geschikt type.
Opmerking: op deze pagina kunt u ook de aanmeldings-URL definiëren, die de indeling http://<AppName ->moet hebben, waarbij <AppName-> een toepassingsnaam is die op de vorige pagina is opgegeven. <AppName-> moet worden gedefinieerd in het toegangsbeleid voor de sleutelkluisopslag.
-
Klik op de knop 'Maken'.
Uw toepassing configureren
-
Open het tabblad 'App-registraties'.
-
Zoek een geschikte toepassing. Het veld Toepassings-id heeft dezelfde waarde als de parameter van <Key Vault Client->.
-
Klik op de knop Instellingen en open vervolgens het tabblad Sleutels.
-
Genereer een sleutel. Het wordt gebruikt voor een beveiligde toegang tot de sleutelkluisopslag vanuit de toepassing.
-
Vul het veld Beschrijving in.
-
U kunt een sleutel maken waarbij de duurperiode gelijk is aan één of twee jaar. Nadat u op de knop Opslaan in het onderste gedeelte van de pagina hebt geklikt, wordt de sleutelwaarde zichtbaar.
Opmerking: De sleutelwaarde is een verplichte parameter voor integratie met de sleutelkluis. Deze moet worden gekopieerd en vervolgens worden opgegeven in de toepassing. In 'Azure Key Vault-client instellen' wordt <Key Vault geheime sleutel> parameter genoemd.
-
Kopieer de waarde van 'Client-id' uit de configuratie. Deze moet worden opgegeven in de toepassing en in 'Azure Key Vault-client instellen' worden aangeduid als <Key Vault clientparameter>.
Een toepassing toevoegen aan de sleutelkluisopslag
Voeg uw toepassing toe aan de sleutelkluisopslag die u eerder hebt gemaakt.
-
Terug naar de Microsoft Azure Portal (https://ms.portal.azure.com/),
-
Open uw sleutelkluisopslag en klik op de tegel Toegangsbeleid.
-
Klik op de knop Nieuwe toevoegen en kies de optie Principal selecteren. Vervolgens moet u uw toepassing op naam vinden. Wanneer de toepassing is gevonden, klikt u op de knop Selecteren.
-
Vul het veld 'Configureren op basis van sjabloon' in en klik op de knop OK.
Opmerking: op deze pagina kunt u indien nodig ook de sleutelmachtigingen instellen.