Usare le variabili di ambiente per i segreti di Azure Key Vault

Le variabili di ambiente consentono di fare riferimento ai segreti archiviati in Azure Key Vault. Questi segreti vengono quindi resi disponibili per l'uso nei flussi di Power Automate, ad esempio i connettori personalizzati. I segreti non sono disponibili per l'uso in altre personalizzazioni o in generale tramite l'API.

I segreti effettivi vengono archiviati in Azure Key Vault e la variabile di ambiente fa riferimento alla posizione del segreto nel Key Vault. L'uso dei segreti di Azure Key Vault con le variabili di ambiente richiede la configurazione di Azure Key Vault in modo che Power Platform possa leggere i segreti specifici a cui si desidera fare riferimento.

Le variabili di ambiente che fanno riferimento ai segreti non sono attualmente disponibili dal selettore di contenuto dinamico per l'uso nei flussi.

Configurare Azure Key Vault

Per usare i segreti di Azure Key Vault con Power Platform, la sottoscrizione di Azure con l'insieme di credenziali deve avere il provider di risorse PowerPlatform registrato e l'utente che crea la variabile di ambiente deve disporre delle autorizzazioni appropriate per la risorsa di Azure Key Vault.

Nota

  • Di recente è stato modificato il ruolo di sicurezza usato per asserire le autorizzazioni di accesso all'interno di Azure Key Vault. Le istruzioni precedenti includevano l'assegnazione del ruolo Lettore Key Vault. Se l'insieme di credenziali delle chiavi è stato configurato in precedenza con il ruolo Lettore Key Vault, assicurarsi di aggiungere il ruolo Utente Segreti Key Vault per assicurarsi che gli utenti e Dataverse dispongano di autorizzazioni sufficienti per recuperare i segreti.
  • Riconosciamo che il nostro servizio usa le API di controllo degli accessi in base al ruolo di Azure per valutare l'assegnazione ruolo di sicurezza anche se l'insieme di credenziali delle chiavi è ancora configurato per l'uso del modello di autorizzazione dei criteri di accesso dell'insieme di credenziali. Per semplificare la configurazione, è consigliabile passare il modello di autorizzazione dell'insieme di credenziali al controllo degli accessi in base al ruolo di Azure. Questa operazione può essere eseguita nella scheda Configurazione accesso.
  1. Esegui la registrazione del provider di risorse Microsoft.PowerPlatform nella sottoscrizione di Azure. Segui questi passaggi per verificare e configurare provider di risorse e tipi di risorse

    Registrazione del Power Platform in Azure

  2. Crea un insieme di credenziali di Azure Key Vault. Prendi in considerazione l'utilizzo di un insieme di credenziali separato per ogni ambiente Power Platform per ridurre al minimo la minaccia in caso di violazione. Prendere in considerazione la configurazione dell'insieme di credenziali delle chiavi per l'utilizzo del controllo degli accessi in base al ruolo di Azure per il modello di autorizzazione. Ulteriori informazioni: Procedure consigliate per l'uso di Azure Key Vault, Guida introduttiva: creare un'istanza di Azure Key Vault con il portale di Azure

  3. Gli utenti che creano o utilizzano variabili di ambiente di tipo segreto devono disporre dell'autorizzazione per recuperare i contenuti del segreto. Per concedere a un nuovo utente la possibilità di utilizzare il segreto, seleziona l'area Controllo degli accessi (IAM), seleziona Aggiungi, quindi Aggiungi assegnazione di ruolo dal menu a discesa. Ulteriori informazioni: Fornire l'accesso all'insieme di credenziali delle chiavi, certificati e segreti di Key Vault con un controllo degli accessi in base al ruolo di Azure

    Visualizza accesso personale in Azure

  4. Nella procedura guidata Aggiungi assegnazione ruolo, lascia il tipo di assegnazione predefinito su Ruoli funzioni lavorative e continua fino alla scheda Ruolo. Individua il ruolo utente Segreti Key Vault e selezionalo. Passa alla scheda membri e seleziona il collegamento Seleziona membri e individua l'utente nel riquadro laterale. Dopo aver selezionato e mostrato l'utente nella sezione dei membri, passa alla scheda di revisione e assegnazione e completa la procedura guidata.

  5. Azure Key Vault deve disporre del ruolo Utente Segreti Key Vault concesso all'entità servizio Dataverse. Se non esiste per questo vault, aggiungi un nuovo criterio di accesso utilizzando lo stesso metodo utilizzato in precedenza per l'autorizzazione dell'utente finale, utilizzando solo l'identità dell'applicazione Dataverse anziché l'utente. Se nel tenant sono presenti più entità servizio Dataverse, è consigliabile selezionarle tutte e salvare l'assegnazione di ruolo. Una volta assegnato il ruolo, rivedi ogni elemento Dataverse elencato nell'elenco delle assegnazioni di ruolo e seleziona il nome Dataverse per visualizzare i dettagli. Se l'ID applicazione non è 00000007-0000-0000-c000-000000000000 seleziona l'identità e Rimuovi per rimuoverlo dall'elenco.

  6. Se hai abilitato il firewall di Azure Key Vault dovrai consentire l'accesso agli indirizzi IP di Power Platform all'insieme di credenziali delle chiavi Power Platform non è incluso nell'opzione "Solo servizi attendibili". Pertanto, fare riferimento all'articolo URL e intervalli di indirizzi IP di Power Platform per gli indirizzi IP correnti utilizzati nel servizio.

  7. Se non l'hai già fatto, aggiungi un segreto al tuo nuovo insieme di credenziali. Altre informazioni Avvio rapido Azure: Impostare e recuperare un segreto da Azure Key Vault tramite il portale di Azure

Creare una nuova variabile di ambiente per il segreto di Key Vault

Dopo aver configurato Azure Key Vault e aver registrato un segreto nell'insieme di credenziali, potrai farvi riferimento all'interno di Power Apps tramite una variabile di ambiente.

Nota

  • La convalida dell'accesso utente per il segreto viene eseguita in background. Se l'utente non dispone almeno dell'autorizzazione di lettura, viene visualizzato questo errore di convalida: "Questa variabile non è stata salvata correttamente. L'utente non è autorizzato a leggere i segreti dal "percorso Azure Key Vault"."
  • Attualmente, Azure Key Vault è l'unico archivio di segreti supportato con le variabili di ambiente.
  • Azure Key Vault deve trovarsi nello stesso tenant del tuo abbonamento a Power Platform.
  1. Accedi a Power Apps e nell'area Soluzioni apri la soluzione non gestita che stai usando per lo sviluppo.

  2. Seleziona Nuovo > Altro > Variabile di ambiente.

  3. Immetti un valore in Nome visualizzato e se lo desideri un valore in Descrizione per la variabile d'ambiente.

  4. Imposta Tipo di dati su Segreto e Archivio segreti su Azure Key Vault.

  5. Scegli una delle seguenti opzioni:

    • Seleziona Nuovo riferimento al valore di Azure Key Vault. Dopo che le informazioni sono state aggiunte nel passaggio successivo e salvate, viene creato un record valore della variabile di ambiente.
    • Espandere Mostra valore predefinito per visualizzare i campi per creare un Segreto predefinito di Azure Key Vault. Dopo che le informazioni sono state aggiunte nel passaggio successivo e salvate, la demarcazione di valore predefinito viene aggiunta al record definizione della variabile di ambiente.
  6. Immettere le informazioni seguenti:

    • ID sottoscrizione di Azure : ID della sottoscrizione di Azure associato all'insieme di credenziali delle chiavi.

    • Nome gruppo di risorse : gruppo di risorse di Azure in cui si trova l'insieme di credenziali delle chiavi che contiene il segreto.

    • Azure Key Vault Name : nome dell'insieme di credenziali delle chiavi che contiene il segreto.

    • Nome segreto: nome del segreto presente in Azure Key Vault.

      Suggerimento

      L'ID sottoscrizione, il nome del gruppo di risorse e il nome dell'insieme di credenziali delle chiavi sono disponibili nella pagina Panoramica dell'insieme di credenziali delle chiavi del portale di Azure. Il nome del segreto può essere trovato nella pagina dell'insieme di credenziali delle chiavi nel portale di Azure selezionando Segreti in Impostazioni.

  7. Seleziona Salva.

Creare un flusso Power Automate per testare il segreto della variabile di ambiente

Uno scenario semplice per dimostrare come usare un segreto ottenuto da Azure Key Vault consiste nel creare un flusso Power Automate per usare il segreto per l'autenticazione rispetto a un servizio Web.

Nota

L'URI per il servizio Web in questo esempio non è un servizio Web funzionante.

  1. Accedi a PowerApps, seleziona Soluzioni, quindi apri la soluzione non gestita che desideri. Se l'elemento non si trova nel riquadro del pannello laterale, seleziona …Altro, quindi l'elemento desiderato.

  2. Seleziona Nuovo > Automazione > Flusso cloud > Istantaneo.

  3. Immetti un nome per il flusso, seleziona Attiva un flusso manualmente, quindi Crea.

  4. Seleziona Nuovo passaggio, seleziona il connettore Microsoft Dataverse, quindi nella scheda Azioni seleziona Esegui un'azione non associata.

  5. Seleziona l'azione RetrieveEnvironmentVariableSecretValue dall'elenco a discesa.

  6. Specifica il nome univoco della variabile di ambiente (non il nome visualizzato) aggiunto nella sezione precedente. In questo esempio viene usato new_TestSecret.

  7. Seleziona ... > Rinomina per rinominare l'azione in modo che possa sia più facile farvi riferimento nell'azione successiva. Nello screenshot qui sotto, l'azione è stata rinominata GetSecret.

    Configurazione del flusso istantaneo per testare un segreto di una variabile di ambiente

  8. Seleziona ... > Impostazioni per visualizzare le impostazioni dell'azione GetSecret.

  9. Abilita l'opzione Output sicuri nelle impostazioni, quindi seleziona Fatto. In questo modi si evita che l'output dell'azione venga esposto nella cronologia di esecuzione del flusso.

    Abilitazione dell'impostazione per gli output sicuri per l'azione

  10. Seleziona Nuovo passaggio, cerca e seleziona il connettore HTTP.

  11. Imposta Metodo su GET e immetti un URI per il servizio Web. In questo esempio viene usato il servizio Web fittizio httpbin.org.

  12. Seleziona Mostra opzioni avanzate, imposta Autenticazione su Basic, quindi immetti un valore in Nome utente.

  13. Seleziona il campo Password, quindi nella scheda Contenuto dinamico sotto al nome del passaggio del flusso precedente (GetSecret in questo esempio) seleziona RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, che viene quindi aggiunto come espressione outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] o body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Creazione di un nuovo passaggio usando il connettore HTTP

  14. Seleziona ... > Impostazioni per visualizzare le impostazioni dell'azione HTTP.

  15. Abilita le opzioni Input sicuri e Output sicuri nelle impostazioni, quindi seleziona  Fatto. L'abilitazione di queste opzioni impedisce all'input e agli output dell'azione vengano esposti nella cronologia di esecuzione del flusso.

  16. Seleziona Salva per creare il flusso.

  17. Esegui manualmente il flusso per testarlo.

    Usando la cronologia di esecuzione del flusso, è possibile verificare gli output.

    Output del flusso

Limiti

  • Le variabili di ambiente che fanno riferimento ai segreti di Azure Key Vault sono attualmente limitate per l'uso con i flussi di Power Automate e i connettori personalizzati.

Vedi anche

Utilizzare le variabili di ambiente origine dati nelle app canvas
Utilizzare le variabili di ambiente nei flussi cloud della soluzione Power Automate
Panoramica delle variabili di ambiente.

Nota

Puoi indicarci le tue preferenze di lingua per la documentazione? Partecipa a un breve sondaggio. (il sondaggio è in inglese)

Il sondaggio richiederà circa sette minuti. Non viene raccolto alcun dato personale (Informativa sulla privacy).