Compartir a través de

Acceso seguro Power Platform a los recursos dentro de la red virtual

Power Platform admite el uso de Azure Virtual Network para acceder a los recursos de la red virtual sin exponerlos a la red pública de Internet.

Propina

Este artículo proporciona un escenario de ejemplo y una arquitectura de ejemplo generalizada para ilustrar cómo proteger el acceso de Power Platform a recursos de Azure con Azure Virtual Network. El ejemplo de arquitectura se puede modificar para muchos escenarios y sectores diferentes.

Diagrama de arquitectura

Diagrama de arquitectura que muestra el acceso seguro de Power Platform a los recursos de Azure.

Workflow

Los pasos siguientes describen el flujo de trabajo que se muestra en el diagrama de arquitectura de ejemplo:

  1. Aplicación de administración de casos: Una o aplicación de lienzo o basada en modelo de Power Apps utiliza un conector personalizado de Power Platform para acceder a una base de datos back-end o servicio hospedado en Azure. La configuración se administra a nivel de entorno para conectarse a una red virtual de Azure específica según sea necesario. Por ejemplo, es posible que el entorno de desarrollo no necesite utilizar una red virtual, pero las pruebas y la producción sí.

  2. Solicitud de búsqueda: una solicitud de búsqueda de la aplicación utiliza un conector personalizado de Power Platform para acceder a la API de back-end alojada en Azure.

  3. Autorización de solicitud: la API de back-end está protegida por Microsoft Entra ID, y Microsoft Entra ID autentica al usuario en la aplicación. El conector utiliza OAuth para autorizar el acceso del usuario a la API de back-end. El conector obtiene el identificador y el secreto de cliente de una Azure Key Vault mediante variables de entorno de Power Platform.

  4. Acceso a la red: la API de back-end se hospeda en una red virtual Azure y no permite el acceso a la red pública. La red virtual delega una subred para el entorno de Power Platform, lo que permite que la solicitud y la respuesta de la API atraviesen la red sin usar la red pública Azure.

  5. Búsqueda en la API de back-end: la API de back-end recibe la solicitud de búsqueda y realiza una búsqueda en la base de datos en el contexto del usuario que realizó la solicitud.

Componentes

Entorno de Power Platform: contiene recursos de Power Platform. El entorno es el límite para el acceso y la seguridad de los datos. Los entornos de Power Platform se pueden configurar para usar la integración de red virtual de Azure, que permite que los recursos de Power Platform se comuniquen con los recursos de Azure de una red virtual.

Power Apps: implementa la experiencia de usuario de la solución. Los usuarios inician sesión en un lienzo o aplicación basada en modelo con Microsoft Entra ID.

Conectores personalizados de Power Platform: defina las operaciones que están disponibles para las aplicaciones de Power Platform desde los servicios a los que se conectan.

Azure Virtual Network: admite conectividad híbrida con capacidades de red locales y otras capacidades de red Azure para proporcionar una red virtual en la nube. Las redes virtuales pueden delegar una subred a los recursos de Power Platform, lo que permite a Power Platform y los recursos de Azure interactuar a través de una red privada sin enviar tráfico a través de redes públicas.

Azure Key Vault: Almacena las credenciales necesarias para conectarse a las API de back-end utilizando OAuth. De forma similar a las API de back-end, los recursos de Power Platform acceden al Azure Key Vault a través de la red virtual.

Detalles del escenario

Las organizaciones con altas necesidades de seguridad deben garantizar una comunicación segura entre los sistemas internos y los servicios en la nube. Use los controles de seguridad disponibles e integre redes virtuales entre Power Platform y recursos de Azure como parte de la arquitectura de su solución.

La implementación de controles de seguridad de red entre componentes de aplicación a menudo presenta desafíos, especialmente cuando están en diferentes niveles de abstracción tecnológica. Con Azure Virtual Network, puede crear soluciones con componentes de Power Platform y Azure sin la complejidad de una solución multired típica. La arquitectura de ejemplo usa la delegación de subred de red virtual para permitir que los recursos de Power Platform y Azure trabajen juntos en soluciones que usan los puntos fuertes de ambos productos sin sacrificar la simplicidad y la seguridad.

Consideraciones

Estas consideraciones implementan los pilares de Power Platform Well-Architected, un conjunto de principios rectores que mejoran la calidad de una carga de trabajo. Obtenga más información en Microsoft Power Platform Well-Architected.

Confiabilidad

Redundancia: la infraestructura de Power Platform está diseñada para utilizar una región principal y una región de conmutación por error sin que el cliente realice ninguna acción explícita. Por ejemplo, si su entorno de Power Platform está en Oeste de EE. UU., la región de conmutación por error es Este de EE. UU. Para lograr la mejor resiliencia, configure una red virtual en ambas regiones de Azure emparejadas y establezca una conexión de emparejamiento entre ellas. Esta configuración permite una conmutación por error sin problemas de los recursos de Azure en caso de desastre. Obtenga más información en Continuidad empresarial y recuperación ante desastres y Escenarios de ejemplo para la instalación y configuración de Virtual Network.

Seguridad

Control de acceso a datos: las API, el almacén de datos y otros recursos Azure para la solución están aislados y solo se puede acceder a ellos desde las aplicaciones que se ejecutan en el entorno de Power Platform conectado a la red virtual.

Segmentación y perímetros intencionales: la integración de Azure Virtual Network permite que Power Platform y los recursos de Azure se comuniquen de forma segura, aislados de otras interferencias de la red en la nube. Esta configuración evita que los entornos de nivel inferior, como los entornos de desarrollo, se conecten accidentalmente a recursos de Azure de prueba o producción, lo que ayuda a mantener un ciclo de vida de desarrollo seguro. Con la red virtual configurada en un entorno de Power Platform, puede controlar el tráfico de Power Platform saliente. Más información en Prácticas recomendadas para proteger las conexiones salientes de los servicios de Power Platform.

Cifrado: los datos que se mueven desde Power Platform a servicios Azure en la red virtual no atraviesan la red pública de Internet.

Excelencia operativa

Administración del ciclo de vida de las aplicaciones (ALM): la integración se configura en el nivel de entorno de Power Platform. Las redes virtuales de Azure correspondientes conforman una zona de aterrizaje completa para toda la solución y pueden aislar el desarrollo, la prueba y la producción o etapas específicas del ciclo de vida en los procesos ALM de su organización.

Eficiencia en el rendimiento

Recopilar datos de rendimiento: el servicio Azure Monitor recopila y agrega métricas y registros de todos los componentes del sistema, lo que le proporciona una visión de la disponibilidad, el rendimiento y la resiliencia. Más información en Monitorizar la red virtual de Azure.

Colaboradores

Microsoft mantiene este artículo. Los siguientes colaboradores escribieron este artículo.

Autores principales:

Pasos siguientes

Siga estos pasos de alto nivel para crear una solución integral:

  1. Configurar soporte de Virtual Network para Power Platform.

  2. Cree una API REST alojada en Azure utilizando su técnica preferida. Proteja la API con Microsoft Entra ID. Obtenga más información en Configurar el servicio de aplicaciones o la aplicación Azure Functions para usar el inicio de sesión de Microsoft Entra.

  3. Cree variables de entorno de Power Platform para contener el identificador de cliente y secreto en Azure Key Vault. Más información en: Usar variables de entorno para secretos de Azure Key Vault.

  4. Crear un conector personalizado para su API. Comenzar con un tutorial.

  5. Defina el conector personalizado para usar OAuth 2.0 con Azure Active Directory (Microsoft Entra ID) y active la compatibilidad con la entidad de servicio.

    Captura de pantalla de la configuración de autenticación de seguridad del conector personalizado que muestra el uso de OAuth 2.0.

  6. Configure el ID del cliente y el secreto del cliente para utilizar los valores de las variables de entorno que creó en el paso 2.

    Captura de pantalla de la configuración de seguridad del conector personalizado que muestra el campo ID de cliente establecido en una variable de entorno.

  7. Cree una aplicación de lienzo en Power Apps para proporcionar una interfaz de búsqueda.

  • Last updated on