ภาพรวม
โดยปกติแล้วข้อมูลที่สําคัญทางธุรกิจจะถูกใช้ในวิธีที่ปลอดภัย หมายความว่าฟังก์ชันการทํางานหรือแอปพลิเคชันที่ทํางานกับข้อมูลนี้ต้องรองรับการเข้ารหัสข้อมูล การทํางานกับใบรับรอง เป็นต้น เนื่องจากเวอร์ชันระบบคลาวด์ของ Microsoft Dynamics 365 for Finance and Operations ไม่สนับสนุนที่เก็บใบรับรองภายใน เครื่อง ลูกค้าจึงต้องใช้ที่เก็บข้อมูลของชุดเก็บคีย์ในกรณีนี้ Key Vault Azure ให้โอกาสในการนําเข้าคีย์การเข้ารหัสลับ ใบรับรองไปยัง Azure และเพื่อจัดการคีย์เหล่านั้น ข้อมูลเพิ่มเติมเกี่ยวกับ Azure Key Vault: Azure Key Vault คืออะไร
จําเป็นต้องมีข้อมูลต่อไปนี้เพื่อกําหนดการรวมระหว่าง Microsoft Dynamics 365 for Finance and Operations และ Azure Key Vault:
-
URL ของชุดเก็บคีย์ (ชื่อ DNS)
-
รหัสไคลเอ็นต์ (ตัวระบุแอปพลิเคชัน),
-
รายชื่อใบรับรองที่มีชื่อ
-
คีย์ลับ (ค่าคีย์)
ด้านล่างนี้คุณสามารถค้นหาคําอธิบายโดยละเอียดของขั้นตอนการตั้งค่า:
สร้างที่เก็บข้อมูลKey Vault
-
เปิดพอร์ทัล Microsoft Azure โดยใช้ลิงก์: https://ms.portal.azure.com/
-
คลิกปุ่ม "สร้างทรัพยากร" บนแผงด้านซ้ายเพื่อสร้างทรัพยากรใหม่ เลือกกลุ่ม "ความปลอดภัย + ข้อมูลประจําตัว" และชนิดทรัพยากร "Key Vault"
-
หน้า "สร้างชุดเก็บข้อมูลประจําตัวหลัก" จะเปิดขึ้น ที่นี่คุณควรกําหนดพารามิเตอร์การจัดเก็บคีย์ Vault จากนั้นคลิกปุ่ม "สร้าง":
-
ระบุ "Name" ของชุดเก็บข้อมูลประจําตัวหลัก พารามิเตอร์นี้อ้างอิงใน "การตั้งค่า Azure Key Vault Client" เป็น <KeyVaultName>
-
เลือกการสมัครใช้งานของคุณ
-
เลือกกลุ่มทรัพยากร ซึ่งเหมือนกับไดเรกทอรีภายในภายในที่เก็บนิรภัยหลัก คุณอาจใช้กลุ่มทรัพยากรที่มีอยู่หรือสร้างกลุ่มทรัพยากรใหม่
-
เลือกตําแหน่งที่ตั้งของคุณ
-
เลือกระดับการกําหนดราคา
-
คลิก "สร้าง"
-
ปักหมุดชุดเก็บคีย์ที่สร้างขึ้นไปยังแดชบอร์ด
อัปโหลดใบรับรอง
ขั้นตอนการอัปโหลดไปยังที่เก็บข้อมูลของชุดเก็บคีย์จะขึ้นอยู่กับชนิดของใบรับรอง
การนําเข้าใบรับรอง *.pfx
-
ใบรับรองที่มีส่วนขยาย *.pfx สามารถอัปโหลดไปยังKey Vault Azure ได้โดยใช้สคริปต์ PowerShell
-
ติดตั้งโมดูล AzureRM สําหรับ PowerShell โดยทําตามคําแนะนํานี้: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
เรียกใช้สคริปต์ใน PowerShell ดังตัวอย่างที่แสดงด้านล่าง:
Connect-AzAccount
$pfxFilePath = ' >Localpath< '
$pwd = ''
$secretName = ' ชื่อ<> '
$keyVaultName = ' >keyvault< '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection Export($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType
ที่:
<localpath> - เส้นทางภายในไปยังไฟล์ที่มี certicate เช่น C:\<smth>.pfx
ชื่อ<> - ชื่อของใบรับรอง เช่น <smth>
<> keyvault - ชื่อของที่เก็บนิรภัยคีย์
ถ้าจําเป็นต้องใช้รหัสผ่าน ให้เพิ่มลงในแท็ก $pwd
-
ตั้งค่าแท็กสําหรับใบรับรองที่อัปโหลดไปยังชุดเก็บข้อมูลประจําตัวคีย์ Azure
-
ในพอร์ทัล Microsoft Azure คลิกปุ่ม "แดชบอร์ด" และเลือกชุดเก็บข้อมูลประจําตัวคีย์ที่เหมาะสมเพื่อเปิด
-
คลิกที่ไทล์ "ความลับ"
-
ค้นหาความลับที่เหมาะสมตามชื่อใบรับรองแล้วเปิด
-
เปิดแท็บ "แท็ก"
-
ตั้งค่าชื่อแท็ก = "type" และค่าแท็ก = "certificate"
หมายเหตุ: ต้องเติมชื่อแท็กและค่าแท็กโดยไม่มีเครื่องหมายอัญประกาศและเป็นตัวพิมพ์เล็ก
-
คลิกปุ่ม ตกลง และบันทึกความลับที่อัปเดตแล้ว
การนําเข้าใบรับรองอื่นๆ
-
คลิกปุ่ม "แดชบอร์ด" บนแผงด้านซ้ายเพื่อดูชุดเก็บข้อมูลประจําตัวหลักที่สร้างขึ้นก่อนหน้านี้
-
เลือกชุดเก็บคีย์ที่เหมาะสมเพื่อเปิด แท็บ "ภาพรวม" แสดงพารามิเตอร์ที่จําเป็นของที่เก็บข้อมูลในชุดเก็บคีย์ รวมถึง "ชื่อ DNS"
หมายเหตุ: ชื่อ DNS เป็นพารามิเตอร์บังคับสําหรับการรวมกับชุดเก็บข้อมูลประจําตัวหลัก ดังนั้นจึงควรระบุไว้ในแอปพลิเคชัน และอ้างอิงใน "การตั้งค่า Azure Key Vault Client" เป็นพารามิเตอร์<Key Vault URL>
-
คลิกที่ไทล์ "ความลับ"
-
คลิกปุ่ม "สร้าง/นําเข้า" บนหน้า "ความลับ" เพื่อเพิ่มใบรับรองใหม่ไปยังที่เก็บนิรภัยคีย์ ทางด้านขวาของหน้า คุณควรกําหนดพารามิเตอร์ใบรับรอง:
-
เลือกค่า "ด้วยตนเอง" ในเขตข้อมูล "ตัวเลือกการอัปโหลด"
-
ป้อนชื่อใบรับรองในฟิลด์ "ชื่อ"
หมายเหตุ: ชื่อลับ เป็นพารามิเตอร์บังคับสําหรับการรวมกับชุดเก็บข้อมูลประจําตัวหลัก ดังนั้นจึงควรระบุไว้ในแอปพลิเคชัน ซึ่งอ้างอิงอยู่ใน "การตั้งค่า Azure Key Vault Client" เป็นพารามิเตอร์ <SecretName>
-
เปิดใบรับรองสําหรับการแก้ไขและคัดลอกเนื้อหาทั้งหมด รวมถึงแท็กเริ่มต้นและแท็กปิด
-
วางเนื้อหาที่คัดลอกในเขตข้อมูล "ค่า"
-
เปิดใช้งานใบรับรอง
-
กดปุ่ม "สร้าง"
-
คุณสามารถอัปโหลดใบรับรองหลายเวอร์ชันและจัดการได้ในที่เก็บข้อมูลของชุดเก็บคีย์ ถ้าคุณต้องการอัปโหลดเวอร์ชันใหม่สําหรับใบรับรองที่มีอยู่ ให้เลือกใบรับรองที่เหมาะสม แล้วคลิกปุ่ม "เวอร์ชันใหม่"
หมายเหตุ: ควรกําหนดเวอร์ชันปัจจุบันในการตั้งค่าแอปพลิเคชัน และอ้างอิงใน "การตั้งค่า Azure Key Vault Client" เป็นพารามิเตอร์ ><SecretVersion
สร้างจุดเข้าใช้งานสําหรับแอปพลิเคชันของคุณ
สร้างจุดเข้าใช้งานสําหรับแอปพลิเคชันของคุณที่ใช้ที่เก็บข้อมูลในชุดเก็บคีย์
-
เปิด https://manage.windowsazure.com/ พอร์ทัลดั้งเดิม
-
คลิก "Azure Active Directory" จากแผงด้านซ้ายและเลือกของคุณ
-
ใน เปิด Active Directory เลือกแท็บ "การลงทะเบียนแอป"
-
คลิกปุ่ม "การลงทะเบียนแอปพลิเคชันใหม่" บนแผงด้านล่างเพื่อสร้างรายการแอปพลิเคชันใหม่
-
ระบุ "ชื่อ" ของแอพลิเคชัน และเลือกชนิดที่เหมาะสม
หมายเหตุ: ในหน้านี้ คุณอาจกําหนด "URL การเข้าสู่ระบบ" ที่ควรมีรูปแบบ http://<AppName>โดย<AppName> คือชื่อแอปพลิเคชันที่ระบุไว้ในหน้าก่อนหน้า <> AppName ต้องถูกกําหนดไว้ในนโยบายการเข้าถึงสําหรับที่เก็บนิรภัยหลัก
-
คลิกปุ่ม "สร้าง"
กําหนดค่าแอปพลิเคชันของคุณ
-
เปิดแท็บ "การลงทะเบียนแอป"
-
ค้นหาแอปพลิเคชันที่เหมาะสม เขตข้อมูล "ID แอปพลิเคชัน" มีค่าเดียวกับพารามิเตอร์ของ <Key Vault Client>
-
คลิกปุ่ม "การตั้งค่า" แล้วเปิดแท็บ "แป้น"
-
สร้างคีย์ ซึ่งใช้สําหรับการเข้าถึงที่เก็บข้อมูลในชุดเก็บคีย์อย่างปลอดภัยจากแอปพลิเคชัน
-
กรอกข้อมูลในฟิลด์ "คําอธิบาย"
-
คุณสามารถสร้างคีย์ที่มีระยะเวลาเท่ากับหนึ่งหรือสองปี หลังจากคลิกปุ่ม "บันทึก" ในส่วนล่างของหน้า ค่าคีย์ จะปรากฏให้เห็น
หมายเหตุ: ค่าคีย์ เป็นพารามิเตอร์บังคับสําหรับการรวมกับชุดเก็บข้อมูลประจําตัวหลัก คุณควรคัดลอกและระบุไว้ในใบสมัคร ซึ่งอ้างอิงอยู่ใน "การตั้งค่า Azure Key Vault Client" เป็นพารามิเตอร์>คีย์ลับ<Key Vault
-
คัดลอกค่าของ "รหัสไคลเอ็นต์" จากการกําหนดค่า ซึ่งควรระบุไว้ในแอปพลิเคชัน และอ้างอิงใน "การตั้งค่า Azure Key Vault Client" เป็นพารามิเตอร์ >Client<Key Vault
เพิ่มแอปพลิเคชันลงในที่เก็บข้อมูลของชุดเก็บคีย์
เพิ่มแอปพลิเคชันของคุณไปยังที่เก็บข้อมูลชุดเก็บคีย์ที่สร้างไว้ก่อนหน้านี้
-
ย้อนกลับไปยังพอร์ทัล Microsoft Azure (https://ms.portal.azure.com/)
-
เปิดที่เก็บนิรภัยคีย์ของคุณและคลิกที่ไทล์ "นโยบายการเข้าถึง"
-
คลิกที่ปุ่ม "เพิ่มใหม่" และเลือกตัวเลือก "เลือกหลัก" จากนั้นคุณควรค้นหาแอปพลิเคชันของคุณตามชื่อ เมื่อพบแอปพลิเคชันให้คลิกปุ่ม "เลือก"
-
กรอกเขตข้อมูล "กําหนดค่าจากเทมเพลต" และคลิกปุ่ม ตกลง
หมายเหตุ: ในหน้านี้ คุณยังอาจตั้งค่าสิทธิ์หลักหากจําเป็น