Duy trì lưu trữ Kho lưu trữ khóa Azure

Tổng quan

Dữ liệu nhạy cảm với doanh nghiệp thường được sử dụng một cách bảo mật. Điều đó có nghĩa là một chức năng hoặc ứng dụng làm việc với dữ liệu này phải hỗ trợ mã hóa dữ liệu, làm việc với các chứng chỉ, v.v. Vì phiên bản đám mây của Microsoft Dynamics 365 for Finance and Operations không hỗ trợ lưu trữ cục bộ các chứng chỉ, khách hàng cần sử dụng kho lưu trữ tín liệu khóa trong trường hợp này. Azure Kho lưu trữ khóa cung cấp cơ hội nhập khóa mã hóa, chứng chỉ cho Azure và để quản lý chúng. Thông tin bổ sung về Azure Kho lưu trữ khóa: Azure Kho lưu trữ khóa.

Dữ liệu sau đây là bắt buộc để xác định việc tích hợp giữa Microsoft Dynamics 365 for Finance and Operations và Azure Kho lưu trữ khóa:

• URL tín liệu khóa (tên DNS),

• ID Máy khách (mã định danh ứng dụng),

• Danh sách các chứng chỉ có tên của họ,

• Khóa bí mật (giá trị khóa).

Dưới đây, bạn có thể tìm thấy mô tả chi tiết về các bước thiết lập:

Tạo dung lượng Kho lưu trữ khóa lưu trữ

1. Mở cổng thông tin Microsoft Azure bằng cách sử dụng liên kết: https://ms.portal.azure.com/.

2. Bấm vào nút "Tạo tài nguyên" trên bảng điều khiển bên trái để tạo tài nguyên mới. Chọn nhóm "Bảo mật + Danh tính" và loại tài nguyên "Kho lưu trữ khóa".

3. Trang "Tạo tín liệu khóa" được mở. Ở đây, bạn nên xác định các thông số lưu trữ tín liệu khóa, rồi bấm vào nút "Tạo":

• Xác định "Tên" của tín liệu khóa. Tham số này được tham chiếu trong "Thiết lập Azure Kho lưu trữ khóa Client" dưới dạng<KeyVaultName>.

• Chọn đăng ký của bạn.

• Chọn một nhóm tài nguyên. Nó giống như một thư mục nội bộ bên trong kho lưu trữ tín liệu khóa. Cả hai có thể sử dụng một nhóm tài nguyên hiện có hoặc tạo một nhóm tài nguyên mới.

• Chọn vị trí của bạn.

• Chọn một mức giá.

• Bấm "Tạo".

• Ghim tín liệu Khóa đã tạo vào Bảng điều khiển.

Tải lên chứng chỉ

Quy trình tải lên kho lưu trữ tín liệu chính phụ thuộc vào loại chứng chỉ.

Nhập chứng chỉ *.pfx

1. Các chứng chỉ có phần mở rộng *.pfx có thể được tải lên Kho lưu trữ khóa Azure bằng cách sử dụng tập lệnh PowerShell.

• Cài đặt mô-đun AzureRM cho PowerShell theo hướng dẫn sau: https://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0

• Chạy tập lệnh trong PowerShell như trong ví dụ được hiển thị dưới đây:

Connect-AzAccount

$pfxFilePath = '< Localpath> '

$pwd = ''

$secretName = ' <tên> '

$keyVaultName = ' <keyvault> '

$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection

$collection. Import($pfxFilePath, $pwd,[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::Exportable)

$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12

$clearBytes = $collection. Export($pkcs 12ContentType)

$fileContentEncoded = [System.Convert]::ToBase64String($clearBytes)

$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force

$secretContentType = 'application/x-pkcs12'

Set-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName -SecretValue $Secret -ContentType $secretContentType

Nơi:

<Localpath> - đường dẫn cục bộ đến tệp bằng chứng chỉ, ví dụ: C:\<smth>.pfx

<tên> - tên của chứng chỉ, ví dụ: <smth>

<hỗ trợ> - tên của kho lưu trữ tín liệu Khóa

Nếu yêu cầu mật khẩu, hãy thêm mật khẩu đó vào thẻ $pwd

1. Đặt thẻ cho chứng chỉ được tải lên tín liệu Azure Key.

• Trong cổng thông tin Microsoft Azure, bấm vào nút "Bảng điều khiển" và chọn tín liệu Khóa thích hợp để mở.

• Nhấp vào ô "Bí mật".

• Tìm một bí mật thích hợp bằng tên chứng chỉ và mở nó.

• Mở tab "Thẻ".

• Đặt Tên thẻ = "kiểu" và giá trị Tag = "chứng chỉ".

Lưu ý: Tên thẻ và giá trị Tag phải được điền vào mà không có dấu ngoặc kép và viết thường.

• Bấm vào nút OK và lưu bí mật được cập nhật.

Nhập các chứng chỉ khác

1. Bấm vào nút "Bảng điềukhiển" trên bảng điều khiển bên trái để xem tín liệu khóa được tạo trước đó.

2. Chọn tín liệu Khóa thích hợp để mở. Tab "Tổng quan" hiển thị các thông số cần thiết của kho lưu trữ tín liệu khóa, bao gồm một "tên DNS".

Lưu ý: Tên DNS là tham số bắt buộc để tích hợp với tín liệu khóa, do đó, nó nên được chỉ định trong ứng dụng và được tham chiếu trong "Thiết lập Azure Kho lưu trữ khóa Client" làm tham <Kho lưu trữ khóa URL> số.

1. Nhấp vào ô "Bí mật".

2. Bấm vào nút "Tạo/Nhập" trên trang "Bí mật" để thêm chứng chỉ mới vào kho lưu trữ tín liệu khóa. Ở bên phải của trang, bạn nên xác định các tham số chứng chỉ:

• Chọn giá trị "Thủ công" trong trường "Tùy chọn tải lên".

• Nhập tên chứng chỉ vào trường "Tên".

Lưu ý: Tên Bí mật là một tham số bắt buộc để tích hợp với tín liệu khóa, do đó nó nên được chỉ định trong ứng dụng. It is referred in "Setting up Azure Kho lưu trữ khóa Client" as <SecretName> parameter.

• Mở chứng chỉ để chỉnh sửa và sao chép tất cả nội dung của nó, bao gồm các thẻ bắt đầu và đóng.

• Dán nội dung đã sao chép vào trường "Giá trị".

• Bật chứng chỉ.

• Nhấn nút "Tạo".

1. Bạn có thể tải lên một số phiên bản của chứng chỉ và quản lý chúng trong kho lưu trữ tín liệu khóa. Nếu bạn cần tải lên một phiên bản mới cho một chứng chỉ hiện có, sau đó chọn một chứng chỉ thích hợp và bấm vào nút "Phiên bản mới".

Lưu ý: Phiên bản hiện tại nên được xác định trong thiết lập ứng dụng và được gọi trong "Thiết lập Azure Kho lưu trữ khóa Client" là <SecretVersion> số.

Tạo điểm nhập cho ứng dụng của bạn

Tạo một điểm nhập cho ứng dụng của bạn sử dụng lưu trữ tín liệu khóa.

1. Mở cổng thông tin kế thừa https://manage.windowsazure.com/.

2. Bấm vào "Azure Active Directory" từ ngăn bên trái và chọn panel của bạn.

3. Trong thư mục hiện hoạt đã mở, chọn tab "Đăng ký ứng dụng".

4. Bấm vào nút "Đăng ký ứng dụng mới" trên bảng điều khiển dưới cùng để tạo mục nhập ứng dụng mới.

5. Chỉ định "Tên" của ứng dụng và chọn kiểu thích hợp.

Lưu ý: Trên trang này, bạn cũng có thể xác định "Đăng nhập URL", đó sẽ có định dạng http://<AppName>, trong đó <AppName> là tên ứng dụng được chỉ định trên trang trước đó. <appName> được xác định trong các chính sách truy nhập cho kho lưu trữ tín liệu khóa.

1. Bấm vào nút "Tạo".

Đặt cấu hình ứng dụng của bạn

1. Mở tab "Đăng ký ứng dụng".

2. Tìm ứng dụng thích hợp. Trường "ID Ứng dụng" có cùng giá trị với tham số của<Kho lưu trữ khóa Client>.

3. Bấm vào nút "Cài đặt", rồi mở tab "Phím".

4. Tạo khóa. Nó được sử dụng cho một truy cập bảo mật vào kho lưu trữ tín liệu chính từ ứng dụng.

• Điền vào trường "Mô tả".

• Bạn có thể tạo một khóa với khoảng thời gian bằng một hoặc hai năm. Sau khi bấm vào nút "Lưu" ở phần dưới cùng của trang, Giá trị Phím sẽ hiển thị.

Lưu ý: Giá trị Khóa là tham số bắt buộc để tích hợp với tín liệu khóa. Nó sẽ được sao chép và sau đó được chỉ định trong ứng dụng. Nó được gọi trong "Thiết lập Azure Kho lưu trữ khóa Client" làm một <Kho lưu trữ khóa số bí> chính.

1. Sao chép giá trị "ID Máy khách" từ cấu hình. Quy tắc này phải được chỉ định trong ứng dụng và được tham chiếu trong "Thiết lập Azure Kho lưu trữ khóa Client" dưới dạng tham<Kho lưu trữ khóa client> của bạn.

Thêm ứng dụng vào kho lưu trữ tín liệu chính

Thêm ứng dụng của bạn vào kho lưu trữ tín liệu chính được tạo trước đó.

1. Quay lại cổng thông tin Microsoft Azure (https://ms.portal.azure.com/),

2. Mở kho lưu trữ tín liệu khóa của bạn và bấm vào ô "Chính sách truy nhập".

3. Bấm vào nút "Thêm mới" và chọn tùy chọn "Chọn chính". Sau đó, bạn sẽ tìm thấy ứng dụng của bạn theo tên của nó. Khi tìm thấy ứng dụng, hãy bấm vào nút "Chọn".

4. Điền vào trường "Cấu hình từ mẫu" và bấm vào nút Ok.

Lưu ý: Trên trang này, bạn cũng có thể thiết lập các quyền khóa nếu cần.