Visão geral
Normalmente, os dados confidenciais da empresa são utilizados de forma segura. Significa que uma funcionalidade ou aplicação que trabalha com estes dados tem de suportar a encriptação de dados, trabalhar com certificados, etc. Como a versão em nuvem do Microsoft Dynamics 365 para Finanças e Operações não suporta um armazenamento local de certificados, os clientes precisam de utilizar um armazenamento de cofre chave neste caso. O Azure Key Vault fornece a oportunidade de importar chaves criptográficas, certificados para o Azure e geri-los. Informações adicionais sobre os serviços do Azure Key Vault: O que é o Azure Key Vault.
Os seguintes dados são necessários para definir a integração entre o Microsoft Dynamics 365 para Finanças e Operações e o Azure Key Vault:
-
URL do cofre chave (nome DNS),
-
ID de Cliente (identificador de aplicação),
-
Lista dos certificados com os respetivos nomes
-
Chave secreta (valor chave).
Abaixo, encontrará uma descrição detalhada dos passos de configuração:
Criar um armazenamento Key Vault armazenamento
-
Abra o Microsoft portal do Azure através da ligação: Https://ms.portal.azure.com/.
-
Clique no botão "Criar um recurso" no painel esquerdo para criar um novo recurso. Selecionar o grupo "Segurança + Identidade" e o tipo de Key Vault".
-
A página "Criar cofre de chave" é aberta. Aqui, deve definir parâmetros chave de armazenamento do cofre e, em seguida, clicar no botão "Criar":
-
Especifique "Nome" do cofre de chave. Este parâmetro é referido como "A configurar o Azure Key Vault Client" como<KeyVaultName>.
-
Selecione a sua subscrição.
-
Selecionar um grupo de recursos. É como um diretório interno dentro do armazenamento chave do cofre. Pode utilizar um grupo de recursos existente ou criar um novo.
-
Selecione a sua localização.
-
Selecione uma escalão de preços.
-
Clique em "Criar".
-
Pin the created Key vault to the Dashboard.
Carregar um certificado
O procedimento de carregamento para o armazenamento do cofre chave depende de um tipo de certificado.
Importar os certificados *.pfx
-
Os certificados com extensão *.pfx podem ser carregados para o Azure Key Vault com um script-powerShell.
-
Instale o módulo AzureRM para PowerShell ao seguir esta instrução: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
Execute um script no PowerShell como no exemplo apresentado abaixo:
Connect-AzAccount
$pfxFilePath = ' <Localpath> '
$pwd = ''
$secretName = '< nome> '
$keyVaultName = ' <keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection. Exportar($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
Onde:
<Localpath> - caminho local para o ficheiro com certicate, por exemplo C:\<smth>.pfx
<nome> - nome do certificado (por exemplo, <e>
<-chave> - nome do armazenamento do cofre chave
Se for necessária uma palavra-passe, adicione-a à etiqueta $pwd
-
Defina uma etiqueta para o certificado carregado para o cofre chave do Azure.
-
No Microsoft portal do Azure, clique no botão "Dashboard" e selecione o cofre chave adequado para o abrir.
-
Clique no mtil "Segredos".
-
Encontre um segredo adequado através do nome do certificado e abra-o.
-
Abrir o separador "Etiquetas".
-
Defina Nome da etiqueta = "tipo" e Valor da etiqueta = "certificado".
Nota: o Nome da etiqueta e o valor etiqueta têm de ser preenchidos sem aspas e em minúsculas.
-
Clique no botão OK e guarde o segredo atualizado.
Importar dos outros certificados
-
Clique no botão "Dashboard" no painel esquerdo para ver o cofre chave criado anteriormente.
-
Selecione o Cofre de chaves adequado para o abrir. O separador "Visão Geral" mostra parâmetros essenciais do armazenamento do cofre chave, incluindo um "Nome DNS".
Nota: O Nome DNS é um parâmetro obrigatório para integração com o cofre chave, pelo que deve ser especificado na aplicação e referido como "A configurar o Azure Key Vault Client" como parâmetro<Key Vault URL>.
-
Clique no mtil "Segredos".
-
Clique no botão "Gerar/Importar" na página "Segredos" para adicionar um novo certificado ao armazenamento do cofre chave. No lado direito da página, deve definir os parâmetros do certificado:
-
Selecione o valor "Manual" no campo "Opções de carregamento".
-
Introduza o nome do certificado no campo "Nome".
Nota: o Nome Secreto é um parâmetro obrigatório para integração com o cofre-chave, pelo que deve ser especificado na aplicação. É referido em "A configurar o Azure Key Vault Client" como <SecretName>.
-
Abra um certificado para editar e copiar todos os seus conteúdos, incluindo as etiquetas de início e de fecho.
-
Colar o conteúdo copiado no campo "Valor".
-
Ative o certificado.
-
Prima o botão "Criar".
-
É possível carregar várias versões do certificado e geri-las no armazenamento do cofre chave. Se precisar de carregar uma nova versão para um certificado existente, selecione um certificado adequado e clique no botão "Nova versão".
Nota: a versão atual deve ser definida na configuração da aplicação e é referida como "A configurar o Azure Key Vault Client" como<SecretVersion> parâmetro.
Criar um ponto de entrada para a sua aplicação
Crie um ponto de entrada para a sua aplicação que utilize o armazenamento do cofre chave.
-
Abra o portal legado https://manage.windowsazure.com/.
-
Clique em "Azure Active Directory" no painel esquerdo e selecione o seu.
-
Em abrir o Active Directory, selecionar o separador "Registo de aplicações".
-
Clique no botão "Novo registo de aplicações" no painel inferior para criar uma nova entrada de aplicação.
-
Especifique um "Nome" da aplicação e selecione um tipo adequado.
Nota: Nesta página também poderá definir o "URL de sessão de sessão", que deverá ter um formato http://<AppName>, em que <AppName> é um nome de aplicação especificado na página anterior. <AppName> tenha de ser definido nas políticas de acesso para o armazenamento do cofre chave.
-
Clique no botão "Criar".
Configurar a sua aplicação
-
Abra o separador "Registos de aplicações".
-
Encontre uma aplicação adequada. O campo "Application ID" tem o mesmo valor que o parâmetro <Key Vault Client>.
-
Clique no botão "Definições" e, em seguida, abra o separador "Teclas".
-
Gerar uma chave. É utilizado para um acesso seguro ao armazenamento chave do cofre a partir da aplicação.
-
Preencha o campo "Descrição".
-
Pode criar uma chave com o período de duração igual a um ou dois anos. Depois de clicar no botão "Guardar" na parte inferior da página, o Valor da Chave torna-se visível.
Nota: O Valor Chave é um parâmetro obrigatório para integração com o cofre-chave. Deve ser copiado e, em seguida, especificado na aplicação. É referido como "A configurar o Azure Key Vault Cliente" como <Key Vault chave secreta> parâmetro.
-
Copie o valor de "ID de Cliente" da configuração. Deve ser especificado na aplicação e referido como "A configurar o Cliente do Azure Key Vault" como<Key Vault cliente> cliente.
Adicionar uma aplicação ao armazenamento do cofre chave
Adicione a sua aplicação ao armazenamento chave do cofre criado anteriormente.
-
Voltar ao Microsoft portal do Azure (https://ms.portal.azure.com/),
-
Abra o seu cofre chave e clique no mtil "Políticas do Access".
-
Clique no botão "Adicionar novo" e selecione a opção "Selecionar principal". Em seguida, deverá encontrar a sua aplicação pelo nome. Quando a aplicação for encontrada, clique no botão "Selecionar".
-
Preencha o campo "Configurar a partir de modelo" e clique no botão OK.
Nota: Nesta página, também poderá configurar as permissões principais, se necessário.