Omówienie
Dane poufne w firmie są zwykle używane w sposób zabezpieczony. Oznacza to, że funkcja lub aplikacja pracująca z danymi musi obsługiwać szyfrowanie danych, pracę z certyfikatami itp. Ponieważ wersja usługi Microsoft Dynamics 365 for Finance and Operations w chmurze nie obsługuje lokalnego magazynu certyfikatów, klienci muszą w tym przypadku użyć magazynu kluczy. Usługa Azure Key Vault umożliwia importowanie kluczy kryptograficznych, certyfikatów do platformy Azure i zarządzanie nimi. Dodatkowe informacje na temat usługi Azure Key Vault: Co to jest usługa Azure Key Vault.
Do zdefiniowania integracji między usługą Microsoft Dynamics 365 for Finance and Operations i Azure Key Vault są wymagane następujące dane:
-
Adres URL magazynu kluczy (nazwa DNS),
-
Identyfikator klienta (identyfikator aplikacji),
-
Lista certyfikatów z ich nazwami,
-
Klucz tajny (wartość klucza).
Poniżej znajduje się szczegółowy opis kroków konfiguracji:
Tworzenie magazynu Key Vault
-
Otwórz Azure Portal Microsoft za pomocą linku: https://ms.portal.azure.com/.
-
Kliknij przycisk "Utwórz zasób" w lewym panelu, aby utworzyć nowy zasób. Wybierz grupę "Zabezpieczenia + tożsamość" i typ zasobu "Key Vault".
-
Zostanie otwarta strona "Utwórz magazyn kluczy". W tym miejscu należy zdefiniować parametry magazynu kluczy, a następnie kliknąć przycisk "Utwórz":
-
Określ "Nazwa" magazynu kluczy. Ten parametr jest określany jako "Konfigurowanie klienta usługi Azure Key Vault" jako <KeyVaultName>.
-
Wybierz swoją subskrypcję.
-
Wybierz grupę zasobów. Przypomina to katalog wewnętrzny wewnątrz magazynu kluczy. Możesz użyć istniejącej grupy zasobów lub utworzyć nową.
-
Wybierz swoją lokalizację.
-
Wybierz warstwę cen.
-
Kliknij pozycję "Utwórz".
-
Przypnij utworzony magazyn kluczy do pulpitu nawigacyjnego.
Przekazywanie certyfikatu
Procedura przekazywania do magazynu kluczy zależy od typu certyfikatu.
Importowanie certyfikatów *.pfx
-
Certyfikaty z rozszerzeniem *.pfx można przekazać do usługi Azure Key Vault przy użyciu skryptu programu PowerShell.
-
Zainstaluj moduł AzureRM dla programu PowerShell, wykonując następujące instrukcje: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
Uruchom skrypt w programie PowerShell, tak jak w poniższym przykładzie:
Connect-AzAccount
$pfxFilePath = ' <>lokalnego
$pwd = ''
$secretName => < nazwy
$keyVaultName = ' <keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd;[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = "application/x-pkcs12"
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Gdzie:
<Ścieżka lokalna> — ścieżka lokalna do pliku z certyfikatem, np. C:\<smth>.pfx
<nazwa> — nazwa certyfikatu, np. <>
<keyvault> — nazwa magazynu kluczy
Jeśli hasło jest wymagane, dodaj je do tagu $pwd
-
Ustaw tag certyfikatu przekazanego do magazynu kluczy platformy Azure.
-
W aplikacji Microsoft Azure Portal kliknij przycisk "Pulpit nawigacyjny" i wybierz odpowiedni magazyn kluczy, aby go otworzyć.
-
Kliknij kafelek "Sekrety".
-
Znajdź odpowiedni klucz tajny za pomocą nazwy certyfikatu i otwórz go.
-
Otwórz kartę "Tagi".
-
Ustaw nazwę tagu = "typ" i Wartość tagu = "certyfikat".
Uwaga: Tag name (Nazwa tagu) i Tag value (Tag) muszą być wypełnione bez cudzysłowów i małych liter.
-
Kliknij przycisk OK i zapisz zaktualizowany klucz tajny.
Importowanie pozostałych certyfikatów
-
Kliknij przycisk "Pulpit nawigacyjny" na lewym panelu, aby wyświetlić utworzony wcześniej magazyn kluczy.
-
Wybierz odpowiedni magazyn kluczy, aby go otworzyć. Karta "Przegląd" zawiera podstawowe parametry magazynu kluczy, w tym "nazwę DNS".
Uwaga: Nazwa DNS jest parametrem obowiązkowym na potrzeby integracji z magazynem kluczy, dlatego powinna być określona w aplikacji i określana jako "Konfigurowanie klienta usługi Azure Key Vault" jako <Key Vault adres URL> parametru.
-
Kliknij kafelek "Sekrety".
-
Kliknij przycisk "Generuj/importuj" na stronie "Sekrety", aby dodać nowy certyfikat do magazynu kluczy. Po prawej stronie strony należy zdefiniować parametry certyfikatu:
-
Wybierz wartość "Ręczna" w polu "Opcje przekazywania".
-
Wprowadź nazwę certyfikatu w polu "Nazwa".
Uwaga: Nazwa tajna jest parametrem obowiązkowym na potrzeby integracji z magazynem kluczy, dlatego powinna być określona w aplikacji. Jest ono określane w "Konfigurowanie klienta usługi Azure Key Vault" jako parametr><SecretName.
-
Otwórz certyfikat do edycji i skopiuj całą jego zawartość, w tym tagi początkowe i zamykające.
-
Wklej skopiowana zawartość w polu "Wartość".
-
Włącz certyfikat.
-
Naciśnij przycisk "Utwórz".
-
Istnieje możliwość przekazania kilku wersji certyfikatu i zarządzania nimi w magazynie kluczy. Jeśli chcesz przekazać nową wersję istniejącego certyfikatu, wybierz odpowiedni certyfikat i kliknij przycisk "Nowa wersja".
Uwaga: Bieżąca wersja powinna zostać zdefiniowana w konfiguracji aplikacji i jest określana jako "Konfigurowanie klienta usługi Azure Key Vault" jako parametr><SecretVersion.
Tworzenie punktu wejścia dla aplikacji
Utwórz punkt wejścia dla aplikacji, która korzysta z magazynu kluczy.
-
Otwórz starszą https://manage.windowsazure.com/ portalu.
-
Kliknij pozycję "Azure Active Directory" w lewym panelu i wybierz swoje.
-
Po otwarciu usługi Active Directory wybierz kartę "Rejestracja aplikacji".
-
Kliknij przycisk "Rejestracja nowej aplikacji" na dolnym panelu, aby utworzyć nowy wpis aplikacji.
-
Określ "Nazwę" aplikacji i wybierz odpowiedni typ.
Uwaga: Na tej stronie możesz również zdefiniować "Adres URL logowania", który powinien mieć format http://<AppName>, gdzie <AppName> to nazwa aplikacji określona na poprzedniej stronie. <appname> muszą być zdefiniowane w zasadach dostępu dla magazynu kluczy.
-
Kliknij przycisk "Utwórz".
Konfigurowanie aplikacji
-
Otwórz kartę "Rejestracje aplikacji".
-
Znajdź odpowiednią aplikację. Pole "Identyfikator aplikacji" ma taką samą wartość jak parametr <Key Vault client>.
-
Kliknij przycisk "Ustawienia", a następnie otwórz kartę "Klawisze".
-
Wygeneruj klucz. Jest on używany do bezpiecznego dostępu do magazynu kluczy z aplikacji.
-
Wypełnij pole "Opis".
-
Klucz można utworzyć, gdy okres trwania wynosi jeden lub dwa lata. Po kliknięciu przycisku "Zapisz" w dolnej części strony wartość klucza staje się widoczna.
Uwaga: Wartość klucza jest parametrem obowiązkowym na potrzeby integracji z magazynem kluczy. Powinna zostać skopiowana, a następnie określona w aplikacji. Jest ono określane w sekcji "Konfigurowanie klienta usługi Azure Key Vault" jako <Key Vault klucza tajnego> parametru.
-
Skopiuj wartość "Identyfikator klienta" z konfiguracji. Należy ją określić w aplikacji i odwoływać się do parametru "Konfigurowanie klienta usługi Azure Key Vault" jako parametr >klienta<Key Vault.
Dodawanie aplikacji do magazynu kluczy
Dodaj aplikację do magazynu kluczy utworzonego wcześniej.
-
Wstecz do Azure Portal Microsoft (https://ms.portal.azure.com/),
-
Otwórz magazyn kluczy i kliknij kafelek "Zasady dostępu".
-
Kliknij przycisk "Dodaj nowy" i wybierz opcję "Wybierz podmiot główny". Następnie należy znaleźć aplikację według jej nazwy. Po znalezieniu aplikacji kliknij przycisk "Wybierz".
-
Wypełnij pole "Konfiguruj z szablonu" i kliknij przycisk OK.
Uwaga: Na tej stronie możesz również w razie potrzeby skonfigurować uprawnienia klucza.