Visão Geral
Os dados que diferenciam os negócios geralmente são usados de maneira segura. Isso significa que uma funcionalidade ou um aplicativo que trabalha com esses dados deve dar suporte à criptografia de dados, ao trabalho com certificados etc. Como a versão de nuvem do Microsoft Dynamics 365 for Finance and Operations não dá suporte a um armazenamento local de certificados, os clientes precisam usar um armazenamento de cofre de chaves nesse caso. O Azure Key Vault oportunidade de importar chaves criptográficas, certificados para o Azure e gerenciá-las. Informações adicionais sobre o Azure Key Vault: o que é o Azure Key Vault.
Os dados a seguir são necessários para definir a integração entre o Microsoft Dynamics 365 for Finance and Operations e o Azure Key Vault:
-
URL do cofre de chaves (nome DNS),
-
ID do cliente (identificador de aplicativo),
-
Lista de certificados com seus nomes,
-
Chave secreta (valor da chave).
Abaixo, você pode encontrar uma descrição detalhada das etapas de configuração:
Criar um Key Vault armazenamento
-
Abra o microsoft portal do Azure usando o link: https://ms.portal.azure.com/.
-
Clique no botão "Criar um recurso" no painel esquerdo para criar um novo recurso. Escolha o grupo "Segurança + Identidade" e o tipo de recurso "Key Vault".
-
A página "Criar cofre de chaves" é aberta. Aqui, você deve definir os parâmetros de armazenamento do cofre de chaves e clicar no botão "Criar":
-
Especifique "Nome" do cofre de chaves. Esse parâmetro é referido em "Configurando o cliente Key Vault Azure" como<KeyVaultName>.
-
Selecione sua assinatura.
-
Escolha um grupo de recursos. É como um diretório interno dentro do armazenamento do cofre de chaves. Você pode usar um grupo de recursos existente ou criar um novo.
-
Selecione sua localização.
-
Selecione um tipo de preço.
-
Clique em "Criar".
-
Fixe o cofre de chaves criado no Painel.
Carregar um certificado
O procedimento de upload para o armazenamento do cofre de chaves depende de um tipo de certificado.
Importação dos certificados *.pfx
-
Os certificados com extensão *.pfx podem ser carregados no Azure Key Vault usando um script do PowerShell.
-
Instale o módulo AzureRM para PowerShell seguindo esta instrução: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
Execute um script no PowerShell, como no exemplo mostrado abaixo:
Connect-AzAccount
$pfxFilePath = '< Localpath> '
$pwd = ''
$secretName = '< nome> '
$keyVaultName = '< keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Onde:
<localpath> - caminho local para o arquivo com certicate, por exemplo, C:\<smth>.pfx
<nome> - nome do certificado, por exemplo, <smth>
<keyvault> - nome do armazenamento do cofre de chaves
Se a senha for necessária, adicione-a à marca $pwd
-
Defina uma marca para o certificado carregado no Azure Key Vault.
-
No Microsoft portal do Azure, clique no botão "Painel" e selecione o cofre de chaves apropriado para abri-lo.
-
Clique no bloco "Segredos".
-
Localize um segredo apropriado pelo nome do certificado e abra-o.
-
Abra a guia "Marcas".
-
Defina o nome da marca = "tipo" e o valor da marca = "certificado".
Observação: o nome da marca e o valor da marca devem ser preenchidos sem aspas e em minúsculas.
-
Clique no botão OK e salve o segredo atualizado.
Importação de outros certificados
-
Clique no botão "Painel" no painel esquerdo para ver o cofre de chaves criado anteriormente.
-
Selecione o cofre de chaves apropriado para abri-lo. A guia "Visão geral" mostra parâmetros essenciais do armazenamento do cofre de chaves, incluindo um "nome DNS".
Observação: o Nome DNS é um parâmetro obrigatório para integração com o cofre de chaves, portanto, ele deve ser especificado no aplicativo e referenciado em "Configurando o cliente do Azure Key Vault" como um parâmetro <Key Vault URL>.
-
Clique no bloco "Segredos".
-
Clique no botão "Gerar/Importar" na página "Segredos" para adicionar um novo certificado ao armazenamento do cofre de chaves. No lado direito da página, você deve definir os parâmetros do certificado:
-
Selecione o valor "Manual" no campo "Opções de carregamento".
-
Insira o nome do certificado no campo "Nome".
Observação: o Nome do Segredo é um parâmetro obrigatório para integração com o cofre de chaves, portanto, ele deve ser especificado no aplicativo. Ele é referido em "Configurando o cliente Key Vault Azure" como < secretName> parâmetro.
-
Abra um certificado para edição e copie todo o conteúdo, incluindo as marcas de início e fechamento.
-
Cole o conteúdo copiado no campo "Valor".
-
Habilite o certificado.
-
Pressione o botão "Criar".
-
É possível carregar várias versões do certificado e gerenciá-las no armazenamento do cofre de chaves. Se você precisar carregar uma nova versão para um certificado existente, selecione um certificado apropriado e clique no botão "Nova versão".
Observação: a versão atual deve ser definida na configuração do aplicativo e é referida em "Configurando o cliente Key Vault do Azure" como um parâmetro <SecretVersion>.
Criar um ponto de entrada para seu aplicativo
Crie um ponto de entrada para seu aplicativo que usa o armazenamento do cofre de chaves.
-
Abra o portal herdado https://manage.windowsazure.com/.
-
Clique em "Azure Active Directory" no painel esquerdo e selecione o seu.
-
No Active Directory aberto, escolha a guia "Registro de aplicativo".
-
Clique no botão "Novo registro de aplicativo" no painel inferior para criar uma nova entrada de aplicativo.
-
Especifique um "Nome" do aplicativo e selecione um tipo apropriado.
Observação: nesta página, você também pode definir a "URL de Logon", que deve ter um formato http://<AppName>, em que <AppName> é um nome de aplicativo especificado na página anterior. <AppName> deve ser definido nas políticas de acesso para o armazenamento do cofre de chaves.
-
Clique no botão "Criar".
Configurar seu aplicativo
-
Abra a guia "Registros de aplicativo".
-
Localize um aplicativo apropriado. O campo "ID do Aplicativo" tem o mesmo valor que o parâmetro <Key Vault Client>.
-
Clique no botão "Configurações" e abra a guia "Chaves".
-
Gere uma chave. Ele é usado para um acesso seguro ao armazenamento do cofre de chaves do aplicativo.
-
Preencha o campo "Descrição".
-
Você pode criar uma chave com o período de duração igual a um ou dois anos. Depois de clicar no botão "Salvar" na parte inferior da página, o Valor da Chave ficará visível.
Observação: o valor da chave é um parâmetro obrigatório para integração com o cofre de chaves. Ele deve ser copiado e especificado no aplicativo. Ele é referido em "Configurando o cliente Key Vault Azure" como <Key Vault chave secreta> parâmetro.
-
Copie o valor de "ID do cliente" da configuração. Ele deve ser especificado no aplicativo e referenciado em "Configurando o cliente do Azure Key Vault" como<Key Vault cliente> parâmetro.
Adicionar um aplicativo ao armazenamento do cofre de chaves
Adicione seu aplicativo ao armazenamento do cofre de chaves criado antes.
-
Voltar ao Microsoft portal do Azure (https://ms.portal.azure.com/),
-
Abra o armazenamento do cofre de chaves e clique no bloco "Políticas de acesso".
-
Clique no botão "Adicionar novo" e escolha a opção "Selecionar entidade de segurança". Em seguida, você deve encontrar seu aplicativo pelo nome. Quando o aplicativo for encontrado, clique no botão "Selecionar".
-
Preencha o campo "Configurar do modelo" e clique no botão Ok.
Observação: nesta página, você também pode configurar as permissões de chave, se necessário.