Crea credenziali di Azure Key Vault

  • Articolo

La pagina Credenziali in Power Automate consente di creare, modificare e condividere credenziali di accesso utilizzando Azure Key Vault e usarle nelle connessioni a flussi desktop.

Puoi anche creare credenziali con CyberArk® (anteprima).

Importante

  • Al momento, questa funzionalità non è disponibile per i cloud governativi statunitensi.

Prerequisiti

Le credenziali usano i segreti archiviati in Azure Key Vault. Per consentirti di creare credenziali, il tuo amministratore deve prima configurare Azure Key Vault.

In poche parole, l’amministratore deve garantire:

  1. Il provider delle risorse di Microsoft Power Platform è registrato nella sottoscrizione di Azure.
  2. È presente un Azure Key Vault che contiene i segreti da usare nelle credenziali.
  3. L'entità servizio Dataverse dispone delle autorizzazioni per utilizzare i segreti.
  4. Gli utenti che creano la variabile di ambiente dispongono delle autorizzazioni appropriate per la risorsa Azure Key Vault.
  5. L'ambiente Power Automate e la sottoscrizione di Azure devono trovarsi nello stesso tenant.

Per configurare Azure Key Vault, segui i passaggi descritti in Configurare Azure Key Vault.

Crea le credenziali

Per creare le credenziali:

  1. Vai alla pagina Credenziali.
  2. Seleziona Altro nel menu di spostamento a sinistra, quindi seleziona Scopri tutto.
  3. In Dati, seleziona Credenziali. Puoi bloccare la pagina nel menu di spostamento a sinistra per renderla più accessibile.

Nella pagina delle credenziali, ora puoi creare le tue prime credenziali.

Screenshot della definizione del nome delle credenziali.

Per creare le tue credenziali, devi fornire le seguenti informazioni:

  • Nome credenziali: immetti un nome per le credenziali
  • Descrizione (facoltativa)

Dopo aver selezionato Avanti, devi selezionare Azure Key Vault come archivio di credenziali.

Nell'ultimo passaggio della procedura guidata, inserisci seleziona nome utente e password o creane di nuove:

  • Nome utente: per selezionare un nome utente, puoi utilizzare il menu a discesa. Se non disponi di variabili di ambiente, seleziona Nuovo:

    • Nome visualizzato. Immetti un nome per la variabile di ambiente.

    • Nome. Il nome univoco viene generato automaticamente da Nome visualizzato, ma puoi cambiarlo.

    • Valore. Popola il nome visualizzato dell'utente. Per gli utenti locali, fornisci il nome utente. Per gli utenti del dominio, fornisci <DOMAIN\username> oppure <username@domain.com>.

      Screenshot della definizione del nome utente delle credenziali.

Nota

Il nome utente delle credenziali è una variabile di ambiente di testo. Puoi anche creare una variabile di testo dalla pagina delle soluzioni e selezionarla come nome utente.

  • Password: per selezionare una password, puoi utilizzare il menu a discesa. Se non disponi di variabili di ambiente per i segreti, seleziona Nuovo:
    • Nome visualizzato. Immetti un nome per la variabile di ambiente.
    • Nome. Il nome univoco viene generato automaticamente da Nome visualizzato, ma puoi cambiarlo.
    • ID sottoscrizione di Azure: ID della sottoscrizione di Azure associato all'insieme di credenziali delle chiavi.
    • Nome gruppo di risorse. Gruppo di risorse di Azure in cui si trova l'insieme di credenziali delle chiavi che contiene il segreto.
    • Nome Azure Key Vault. Nome dell'insieme di credenziali delle chiavi che contiene il segreto.
    • Nome segreto. Nome del segreto presente in Azure Key Vault.

Screenshot della definizione della password delle credenziali.

Nota

L'ID sottoscrizione, il nome del gruppo di risorse e il nome dell'insieme di credenziali delle chiavi sono disponibili nella pagina Panoramica dell'insieme di credenziali delle chiavi del portale di Azure. Il nome del segreto può essere trovato nella pagina dell'insieme di credenziali delle chiavi nel portale di Azure selezionando Segreti in Impostazioni. La convalida dell'accesso utente per il segreto viene eseguita in background. Se l'utente non dispone almeno dell'autorizzazione di lettura, viene visualizzato questo errore di convalida: "Questa variabile non è stata salvata correttamente. L'utente non è autorizzato a leggere i segreti dal "percorso Azure Key Vault". "Le password utilizzano variabili di ambiente dei segreti. Puoi anche creare una variabile per i segreti dalla pagina delle soluzioni e selezionarla come password.

Creare connessioni a flussi desktop usando credenziali

Nota: per il momento le credenziali sono supportate solo nelle connessioni a un flusso desktop.

Puoi ora usare le credenziali in Connessioni a flussi desktop

Visualizza dove vengono utilizzati i segreti

Dalla pagina Soluzioni è possibile recuperare tutte le dipendenze delle variabili di ambiente segrete. Ciò consente di comprendere dove vengono usati i segreti di Azure Key Vault prima di modificarli.

  • Seleziona una variabile ambiente.
  • Seleziona l'opzione avanzata e seleziona Mostra dipendenze.
  • Puoi vedere:
    • Le credenziali che utilizzano questa variabile di ambiente.
    • Le connessioni utilizzano questa variabile di ambiente.

Condividi una credenziale

Puoi condividere le credenziali in tuo possesso con altri utenti della tua organizzazione e concedere a tali utenti autorizzazioni specifiche per l'accesso.

  1. Accedi a Power Automate, quindi vai a Credenziali.
  2. Seleziona le credenziali dall'elenco di credenziali.
  3. Dalla barra dei comandi, seleziona Condividi.
  4. Seleziona Aggiungi utenti, immetti il nome della persona nella tua organizzazione con cui desideri condividere le credenziali e seleziona il ruolo che desideri concedere a questo utente:
    • Comproprietario (può modificare). Questo livello di accesso fornisce autorizzazioni complete a tali credenziali. I comproprietari possono usare le credenziali, condividerle con altri utenti, modificarne i dettagli ed eliminarle.
    • Utente (può solo visualizzare). Questo livello di accesso fornisce solo le autorizzazioni per utilizzare tali credenziali. Con questo accesso non sono possibili autorizzazioni di modifica, condivisione o eliminazione.
    • Utente (può visualizzare e condividere). Questo livello di accesso è lo stesso dell'opzione di sola visualizzazione, ma dà l'autorizzazione a Condividi.
  5. Seleziona Salva.

Nota

Condividendo la credenziale, vengono condivise anche tutte le variabili di ambiente utilizzate nella credenziale. La rimozione delle autorizzazioni su alcune credenziali non rimuove le autorizzazioni sulle variabili di ambiente.

Eliminare credenziali

  1. Accedi a Power Automate, quindi vai a Credenziali.
  2. Dall'elenco, seleziona le credenziali che desideri eliminare, quindi seleziona Elimina computer sulla barra dei comandi.

Nota

L'eliminazione di credenziali non elimina le variabili di ambiente associate.

Esportare una connessione a flussi desktop usando credenziali

Nota

Dovresti prima leggere l'articolo su ALM per i flussi desktop.

Puoi esportare un flusso cloud con una connessione al flusso desktop utilizzando le credenziali. È necessario importare prima la soluzione contenente le credenziali e le relative variabili di ambiente, quindi importare quella contenente il flusso cloud e il flusso desktop.

Limiti

  • Attualmente, questa funzionalità è disponibile solo per le connessioni del flusso desktop.
  • La creazione delle credenziali nella nuova finestra di progettazione non è ancora disponibile.
  • Non è possibile modificare le variabili di ambiente selezionate nelle credenziali esistenti. Se si vuole modificare il valore del nome utente e della password, è necessario aggiornare le variabili di ambiente o il segreto di Azure Key Vault.
  • L'aggiornamento delle connessioni utilizzando le credenziali è asincrono. Può essere necessario fino a un minuto affinché la connessione al flusso desktop utilizzi le nuove credenziali dopo l'aggiornamento del segreto.

Aggiorna un segreto (rotazione della password): deprecato

Nota

Questa sezione è ora deprecata. Tutte le connessioni che utilizzano le credenziali ora recuperano i segreti durante l'esecuzione del flusso. Non è più necessario creare questo flusso personalizzato per aggiornare le connessioni. Le connessioni che utilizzano credenziali create prima di aprile 2024 devono essere aggiornate per beneficiare dell'aggiornamento automatico.

Prerequisiti per l'aggiornamento di un segreto (rotazione delle password)

Nota

Questa sezione richiede autorizzazioni specifiche come quelle di amministratore di sistema dell'organizzazione, altrimenti verranno aggiornate solo le connessioni al flusso desktop.

Crea un flusso cloud utilizzando il trigger Griglia di eventi

Quando si modificano i segreti in Azure Key Vault, è necessario assicurarsi che le credenziali e le connessioni che usano questi segreti siano sempre aggiornate per evitare di interrompere le automazioni. In Power Automate è necessario creare un flusso cloud che aggiorni le credenziali quando i segreti vengono modificati in Azure Key Vault.

Questo flusso cloud contiene un trigger e un'azione:

  1. Trigger: quando si verifica un evento relativo alla risorsa (griglia di eventi)
    • Tipo di risorsa: Microsoft.KeyVault.vaults
    • Nome risorsa: fornire il nome dell'insieme di credenziali delle chiavi.
    • Sottoscrizione: fornire il nome della sottoscrizione.
    • Tipo di evento: Microsoft.KeyVault.SecretNewVersionCreated
  2. Azione: eseguire un'azione non associata (Dataverse)
    • Nome dell'azione: NotifyEnvironmentVariableSecretChange
    • KeyVaultUrl: Argomento
    • Nome segreto: Oggetto

Screenshot dell'azione Dataverse.

Se usi un Key Vault per tutti i segreti, è necessario un solo flusso cloud. Se disponi di più Key Vault, è necessario duplicare il flusso cloud e aggiornare il nome della risorsa.

Per garantire che il flusso cloud funzioni correttamente con Azure Key Vault:

  1. Vai al Key Vault.
  2. Seleziona Eventi.
  3. In Sottoscrizioni eventi, controlla se puoi vedere un webhook LogicApps.

Screenshot delle sottoscrizioni agli eventi in Azure Key Vault.