Utiliser les variables d’environnement pour les secrets Azure Key Vault

Les variables d’environnement permettent de référencer les clés secrètes stockées dans Azure Key Vault. Ces clés secrètes sont ensuite mises à disposition pour être utilisées avec les composants , tels que les flux Power Automate et les connecteurs personnalisés. Notez que les secrets ne sont pas disponibles pour une utilisation dans d’autres personnalisations ou généralement via l’API.

Les clés secrètes sont uniquement stockées dans Azure Key Vault et la variable d’environnement font simplement référence à l’emplacement de la clé secrète du coffre-fort de clés. L’utilisation de clés secrètes Azure Key Vault avec des variables d’environnement nécessite que vous configuriez Azure Key Vault afin que Power Platform puisse lire les clés secrètes spécifiques que vous souhaitez référencer.

Les variables d’environnement qui font référence à des secrets ne sont actuellement pas disponibles à partir du sélecteur de contenu dynamique pour être utilisées dans les flux.

Configurer Azure Key Vault

Pour utiliser les clés secrètes Azure Key Vault avec Power Platform, l’abonnement Azure qui possède le coffre-fort doit avoir le fournisseur de ressources PowerPlatform enregistré et l’utilisateur qui crée la variable d’environnement doit disposer des autorisations appropriées sur la ressource Azure Key Vault.

Notes

  • Nous avons récemment modifié le rôle de sécurité que nous utilisons pour affirmer les autorisations d’accès dans Azure Key Vault. Les instructions précédentes incluaient l’attribution du rôle Lecteur Key Vault. Si vous avez déjà configuré votre coffre de clés avec le rôle Lecteur Key Vault, assurez-vous d’ajouter le rôle Utilisateur de clés secrètes Key Vault Secrets pour vous assurer que vos utilisateurs et Dataverse auront des autorisations suffisantes pour récupérer les clés secrètes.
  • Nous reconnaissons que notre service utilise les API de contrôle d’accès en fonction du rôle Azure pour évaluer l’attribution rôle de sécurité même si votre coffre de clés est toujours configuré pour utiliser le modèle d’autorisation de la stratégie d’accès au coffre. Pour simplifier votre configuration, nous vous recommandons de basculer votre modèle d’autorisation de coffre vers le contrôle d’accès en fonction du rôle Azure. Vous pouvez y parvenir dans l’onglet Configuration de l’accès.
  1. Enregistrez le fournisseur de ressources Microsoft.PowerPlatform dans votre abonnement Azure. Suivez ces étapes pour vérifier et configurer : Fournisseurs de ressources et types de ressources

    Enregistrer le fournisseur Power Platform dans Azure

  2. Créez un coffre-fort Azure Key Vault. Pensez à utiliser un coffre-fort distinct pour chaque environnement Power Platform afin de réduire le risque de violation. Envisagez de configurer votre coffre de clés pour utiliser le Contrôle d’accès basé sur les rôles Azure pour le Modèle d’autorisation. Pour plus d’informations : Bonnes pratiques d’utilisation d’Azure Key Vault, Démarrage rapide – Créer un coffre de clés Azure avec le portail Azure

  3. Les utilisateurs qui créent ou utilisent des variables d’environnement de type secret doivent être autorisés à récupérer le contenu des clés secrètes. Pour accorder à un nouvel utilisateur la possibilité d’utiliser la clé secrète, sélectionnez la zone Contrôle d’accès (IAM), sélectionnez Ajouter, puis sélectionnez Ajouter une attribution de rôle dans le menu déroulant. Plus d’informations : Fournir un accès aux clés, certificats et clés secrètes Key Vault avec un contrôle d’accès basé sur les rôles Azure

    Afficher mon accès dans Azure

  4. Sur l’assistant Ajouter une attribution de rôle, laissez le type d’affectation par défaut comme Rôles de poste et continuez avec l’onglet Rôle. Localisez le Rôle utilisateur des clés secrètes Key Vault et sélectionnez-le. Passez à l’onglet Membres et sélectionnez le lien Sélectionner les membres et localisez l’utilisateur dans le volet latéral. Lorsque l’utilisateur est sélectionné et affiché dans la section des membres, passez à l’onglet de révision et d’attribution et terminez l’assistant.

  5. Azure Key Vault doit avoir le rôle Utilisateur des clés secrètes Key Vault attribué au principal de service Dataverse . Si elle n’existe pas pour ce coffre, ajoutez une nouvelle stratégie d’accès en utilisant la même méthode que vous avez précédemment utilisée pour l’autorisation de l’utilisateur final, en utilisant uniquement l’identité d’application Dataverse au lieu de l’utilisateur. Si vous avez plusieurs principaux de service Dataverse dans votre client, nous vous recommandons de les sélectionner tous et d’enregistrer l’attribution de rôle. Une fois le rôle attribué, passez en revue chaque élément Dataverse répertorié dans la liste des attributions de rôle et sélectionnez le nom Dataverse pour afficher les détails. Si l’ID d’application n’est pas 00000007-0000-0000-c000-000000000000, sélectionnez l’identité, puis sélectionnez Supprimer pour la supprimer de la liste.

  6. Si vous avez activé le Pare-feu Azure Key Vault, vous devez autoriser les adresses IP Power Platform à accéder à votre coffre de clés. Power Platform n’est pas inclus dans l’option Services de confiance uniquement. Par conséquent, reportez-vous à l’article URL et plages d’adresses IP de Power Platform pour connaître les adresses IP actuellement utilisées dans le service.

  7. Si vous ne l’avez pas déjà fait, ajoutez une clé secrète à votre nouveau coffre-fort. En savoir plus : Démarrage rapide : Définir et extraire un secret du coffre de clés Azure avec le portail Azure

Créer une variable d’environnement pour la clé secrète Key Vault

Une fois Azure Key Vault configuré et une clé secrète enregistrée dans votre coffre-fort, vous pouvez désormais le référencer dans Power Apps en utilisant une variable d’environnement.

Notes

  • La validation de l’accès utilisateur pour la clé secrète s’effectue en arrière-plan. Si l’utilisateur n’a pas au moins l’autorisation de lecture, cette erreur de validation s’affiche : Cette variable n’a pas été enregistrée correctement. L’utilisateur n’est pas autorisé à lire les clés secrètes à partir du « chemin d’accès Azure Key Vault ». L’utilisateur n’est pas autorisé à lire les secrets du Chemin Azure Key Vault.
  • Actuellement, Azure Key Vault est le seul magasin de clés secrètes pris en charge avec les variables d’environnement.
  • Le coffre-fort Azure doit être dans le même client que votre abonnement Power Platform.
  1. Connectez-vous à Power Apps, et dans la zone Solutions, ouvrez la solution non gérée que vous utilisez pour le développement.

  2. Sélectionnez Nouveau > Plus > Variable d’environnement.

  3. Entrez un Nom complet et (en option) une Description pour la variable d’environnement.

  4. Sélectionnez le Type de données comme Clé secrète et Magasin de clés secrètes comme Azure Key Vault.

  5. Sélectionnez l’une des options suivantes :

    • Sélectionnez Nouvelle référence de valeur Azure Key Vault. Une fois les informations ajoutées à l’étape suivante et enregistrées, un enregistrement value de variable d’environnement est créé.
    • Développez Afficher la valeur par défaut, pour afficher les champs pour créer une clé secrète Azure Key Vault par défaut. Une fois les informations ajoutées à l’étape suivante et enregistrées, la démarcation de la valeur par défaut est ajoutée à l’enregistrement definition de variable d’environnement.
  6. Saisissez les informations suivantes :

    • ID d’abonnement Azure : ID d’abonnement Azure associé au coffre de clés.

    • Nom du groupe de ressources : groupe de ressources Azure où se trouve le coffre de clés qui contient la clé secrète.

    • Nom Azure Key Vault : nom du coffre de clés qui contient la clé secrète.

    • Nom de la clé secrète: nom de la clé secrète qui se trouve dans Azure Key Vault.

      Conseil

      L’ID d’abonnement, le nom du groupe de ressources et le nom du coffre de clés sont disponibles sur la page Présentation du coffre de clés sur le portail Azure. Le nom de la clé secrète est disponible sur la page du coffre de clés dans le portail Azure en sélectionnant Clés secrètes sous Paramètres.

  7. Cliquez sur Enregistrer.

Créer un flux Power Automate pour tester la clé secrète de la variable d’environnement

Un scénario simple pour montrer comment utiliser une clé secrète obtenue à partir d’Azure Key Vault consiste à créer un flux Power Automate pour utiliser la clé secrète afin de s’authentifier pour un service Web.

Notes

L’URL du service web utilisé de cet exemple n’est pas un service web fonctionnel.

  1. Connectez-vous à PowerApps, sélectionnez Solutions, puis ouvrez la solution non gérée que vous souhaitez. Si l’élément ne se trouve pas dans le volet latéral, sélectionnez …Plus, puis sélectionnez l’élément souhaité.

  2. Sélectionnez Nouveau > Automatisation > Flux de cloud > Instantané.

  3. Entrez un nom pou rle flux, sélectionnez Déclencher manuellement un flux, puis sélectionnez Créer.

  4. Sélectionnez Nouvelle étape, sélectionnez le connecteur Microsoft Dataverse, puis sur l’onglet Actions, sélectionnez Effectuer une action non liée.

  5. Sélectionnez l’action nommée RetrieveEnvironmentVariableSecretValue dans la liste déroulante.

  6. Fournissez le nom unique de la variable d’environnement (pas le nom complet) ajouté dans la section précédente, pour cet exemple new_TestSecret est utilisé.

  7. Sélectionnez ... > Renommer pour renommer l’action afin qu’elle puisse être référencée plus facilement dans l’action suivante. Dans la capture d’écran ci-dessous, elle a été renommée GetSecret.

    Configuration de flux instantané pour tester une clé secrète de variable d’environnement

  8. Sélectionnez ... > Paramètres pour afficher les paramètres d’action GetSecret.

  9. Activez l’option Sorties sécurisées dans les paramètres, puis sélectionnez Terminé. Cela permet d’éviter que la sortie de l’action ne soit exposée dans l’historique des exécutions de flux.

    Activer le paramètre de sorties sécurisées pour l’action

  10. Sélectionnez Nouvelle étape, recherchez et sélectionnez le connecteur HTTP.

  11. Sélectionnez pour Méthode GET et entrez l’URI pour le service Web. Dans cet exemple, le service Web fictif httpbin.org est utilisé.

  12. Sélectionnez Afficher les options avancées, sélectionnez Authentification comme De base, puis entrez le Nom d’utilisateur.

  13. Sélectionnez le champ Mot de passe, puis sur l’onglet Contenu dynamique sous le nom de l’étape de flux ci-dessus (GetSecret dans cet exemple), sélectionnez RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, qui est ensuite ajouté en tant qu’expression outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] ou body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Créer une étape à l’aide du connecteur HTTP

  14. Sélectionnez ... > Paramètres pour afficher les paramètres d’action HTTP.

  15. Activez les options Entrées sécurisées et Sorties sécurisées dans les paramètres, puis sélectionnez  Terminé. Activer ces options évite que l’entrée et la sortie de l’action ne soit exposée dans l’historique des exécutions de flux.

  16. Sélectionnez Enregistrer pour créer le flux.

  17. Exécutez manuellement le flux pour le tester.

    En utilisant l’historique des exécutions de flux, les sorties peuvent être vérifiées.

    Sortie de flux

Limitations

  • Les variables d’environnement faisant référence aux secrets Azure Key Vault sont actuellement limitées pour une utilisation avec les flux Power Automate et les connecteurs personnalisés.

Voir aussi

Utiliser des variables d’environnement de source de données dans les applications canevas
Utiliser les variables d’environnement dans les flux de cloud de la solution Power Automate
Présentation des variables d’environnement.

Notes

Pouvez-vous nous indiquer vos préférences de langue pour la documentation ? Répondez à un court questionnaire. (veuillez noter que ce questionnaire est en anglais)

Le questionnaire vous prendra environ sept minutes. Aucune donnée personnelle n’est collectée (déclaration de confidentialité).