概觀
商務機密資料通常會以安全的方式使用。 這表示使用此資料的功能或應用程式必須支援資料加密、使用憑證等。由於雲端版本的 Microsoft Dynamics 365 財務與營運不支援本機憑證儲存空間,因此客戶需要在此情況下使用重要的保存庫儲存空間。 Azure 金鑰保存庫提供將密碼編譯金鑰、憑證匯入 Azure 及管理它們的機會。 Azure 金鑰保存庫的其他資訊:什麼是 Azure 金鑰保存庫。
需要下列資料,才能定義 Microsoft Dynamics 365 財務與營運與 Azure 金鑰保存庫之間的整合:
-
金鑰庫 URL (DNS 名稱) 、
-
[用戶端識別碼] (應用程式識別碼) ,
-
含其名稱的憑證清單,
-
私人金鑰 (金鑰值) 。
您可以在下方找到設定步驟的詳細描述:
建立金鑰保存庫儲存空間
-
使用連結開啟 Microsoft Azure 入口網站:HTTPs://ms.portal.azure.com/。
-
按一下左側面板上的 [建立資源] 按鈕以建立新資源。 選擇 [安全性 + 身分識別] 群組和 「金鑰保存庫」資源類型。
-
[建立索引鍵庫] 頁面隨即開啟。 在這裡,您應該定義重要的保存庫儲存參數,然後按一下 [建立] 按鈕:
-
指定索引鍵庫的「名稱」。 此參數在「設定 Azure 金鑰保存庫用戶端」中稱為<KeyVaultName>。
-
選取您的訂閱。
-
選擇資源群組。 它就像金鑰保存庫儲存空間內的內部目錄。 您可以使用現有的資源群組或建立新的資源群組。
-
選取您的位置。
-
選取定價層級。
-
按一下 [建立]。
-
將建立的索引鍵庫釘選到儀表板。
上傳憑證
索引鍵庫儲存空間的上傳程式取決於憑證類型。
*.pfx 憑證的匯入
-
副檔名 *.pfx 的憑證可以使用 PowerShell 腳本上傳至 Azure 金鑰保存庫。
-
依照下列指示安裝適用于 PowerShell 的模組 AzureRM: HTTPs://learn.microsoft.com/ru-ru/powershell/azure/install-azurerm-ps?view=azurermps-5.4.0
-
在 PowerShell 中執行腳本,如下列範例所示:
Connect-AzAccount
$pfxFilePath = ' <Localpath> '
$pwd = ''
$secretName = '< name> '
$keyVaultName = '< keyvault> '
$collection = New-ObjectSystem.Security.Cryptography.X509Certificates.X509Certificate2Collection
$collection。匯入 ($pfxFilePath、$pwd、[System.Security.Cryptography.X509Certificates.X509KeyStorageFlags]::可匯出)
$pkcs 12ContentType =[System.Security.Cryptography.X509Certificates.X509ContentType]::P kcs12
$clearBytes = $collection。匯出 ($pkcs 12ContentType)
$fileContentEncoded = [System.Convert]::ToBase64String ($clearBytes)
$secret = ConvertTo-SecureString -String $fileContentEncoded -AsPlainText –Force
$secretContentType = 'application/x-pkcs12'
Set-AzKeyVaultSecret -VaultName $keyVaultName -名稱$secretName -SecretValue $Secret -ContentType $secretContentType
其中:
<Localpath> - 檔案的本機路徑,例如 C:\<smth>.pfx
<名稱> - 憑證名稱,例如 <smth>
<keyvault> - 金鑰庫儲存空間的名稱
如果需要密碼,請將它新增至標籤$pwd
-
設定上傳到 Azure 金鑰庫之憑證的標籤。
-
在 Microsoft Azure 入口網站 中,按一下 [儀表板]按鈕,然後選取適當的索引鍵庫加以開啟。
-
按一下 [機密] 磚。
-
依憑證名稱尋找適當的機密,然後開啟它。
-
開啟 [標籤] 索引卷標。
-
設定標籤名稱 = 「type」 和 Tag 值 = 「certificate」。
注意:標籤名稱和標籤值必須填入而不含引號和小寫。
-
按一下 [確定] 按鈕,然後儲存更新的機密。
匯入其他憑證
-
按一下左面板上的 [儀表板]按鈕,即可查看先前建立的索引鍵庫。
-
選取適當的金鑰庫以開啟它。 [概觀] 索引標籤會顯示金鑰保存庫儲存空間的基本參數,包括「DNS 名稱」。
注意:DNS 名稱是整合索引鍵庫的必要參數,因此應在應用程式中指定,並在「設定 Azure 金鑰保存庫用戶端」中稱為<金鑰保存庫 URL>參數。
-
按一下 [機密] 磚。
-
按一下 [機密 ] 頁面上的 [產生/匯入] 按鈕,將新憑證新增至金鑰庫儲存空間。 在頁面右側,您應定義憑證參數:
-
選取 [上傳選項] 欄位中的 [手動] 值。
-
在 [名稱] 欄位中輸入憑證名稱。
注意: 「機密名稱 」是整合金鑰庫的必要參數,因此應該在應用程式中指定。 它在「設定 Azure 金鑰保存庫用戶端」中稱為<SecretName>參數。
-
開啟要編輯的憑證,並複製其所有內容,包括開頭和結尾標籤。
-
將複製的內容貼到 [值] 欄位中。
-
啟用憑證。
-
按 [建立] 按鈕。
-
您可以上傳數個版本的憑證,並在金鑰庫儲存空間中管理它們。 如果您需要上傳現有憑證的新版本,請選取適當的憑證,然後按一下 [新增版本] 按鈕。
注意:目前版本應在應用程式設定中定義,並在「設定 Azure 金鑰保存庫用戶端」中稱為<SecretVersion>參數。
建立應用程式的進入點
為使用索引鍵庫儲存空間的應用程式建立進入點。
-
按一下左側面板中的 [Azure Active Directory],然後選取您的。
-
在開啟的 Active Directory 中,選擇 [應用程式註冊] 索引標籤。
-
按一下底部面板上的 [新增應用程式註冊] 按鈕,建立新的應用程式專案。
-
指定應用程式的「名稱」,然後選取適當的類型。
注意:您也可以在此頁面上定義「登入 URL」,該 URL 格式應為HTTP://<AppName>,其中 <AppName> 是上一頁指定的應用程式名稱。 <AppName>必須定義在重要保存庫儲存空間的存取原則中。
-
按一下 [建立] 按鈕。
設定您的應用程式
-
開啟 [應用程式註冊] 索引卷標。
-
尋找適當的應用程式。 「應用程式識別碼」欄位的值與<金鑰保存庫 Client>參數的值相同。
-
按一下 [設定]按鈕,然後開啟 [按鍵] 索引卷標。
-
產生金鑰。 它用於從應用程式安全存取金鑰保存庫儲存空間。
-
填寫 [描述] 欄位。
-
您可以建立工期等於一或兩年的金鑰。 按一下頁面底部的 [儲存] 按鈕之後, 鍵值 就會顯示。
注意: 索引鍵值 是整合索引鍵庫的必要參數。 它應該會複製,然後在應用程式中指定。 它在「設定 Azure 金鑰保存庫用戶端」中稱為<金鑰保存庫金鑰>參數。
-
從組態複製「用戶端識別碼」的值。 它應該在應用程式中指定,並在 「設定 Azure 金鑰保存庫 Client」中稱為<金鑰保存庫用戶端>參數。
將應用程式新增至金鑰保存庫儲存空間
將應用程式新增至之前建立的關鍵保存庫儲存空間。
-
返回 Microsoft Azure 入口網站 (HTTPs://ms.portal.azure.com/),
-
開啟金鑰保存庫儲存空間,然後按一下磚 [存取原則]。
-
按一下 [新增] 按鈕,然後選擇 [選取主體] 選項。 然後,您應該會依據應用程式的名稱找到它。 找到應用程式時,按一下 [選取] 按鈕。
-
填入 [從範本進行設定] 欄位,然後按一下 [確定] 按鈕。
注意:您也可以在此頁面上視需要設定金鑰許可權。