Partilhar via

Utilizar variáveis de ambiente para segredos do Azure Key Vault

As variáveis de ambiente permitem a referência aos segredos armazenados no Azure Key Vault. Estes segredos são então disponibilizados para utilização em fluxos e conectores personalizados do Power Automate. Repare que os segredos não estão disponíveis para utilização noutras personalizações ou, geralmente, através da API.

Os segredos reais só são armazenados no Azure Key Vault e a variável de ambiente referencia a localização do segredo do Key Vault. A utilização de segredos do Azure Key Vault com variáveis de ambiente requer que configure o Azure Key Vault para que o Power Platform possa ler os segredos específicos que pretende referenciar.

As variáveis ambientais que referenciam segredos não estão atualmente disponíveis no seletor de conteúdos dinâmicos para utilização em fluxos do Power Automate.

Configurar o Azure Key Vault

Para utilizar os segredos do Azure Key Vault com o Power Platform, a subscrição do Azure que tem o cofre tem de ter o fornecedor de recursos do PowerPlatform registado e o utilizador que cria a variável de ambiente tem de ter permissões apropriadas para o recurso do Azure Key Vault.

Importante

  • Há alterações recentes ao direito de acesso usado para afirmar permissões de acesso no Azure Key Vault. As instruções anteriores incluíam a atribuição da função de Leitor do Key Vault. Se tiver configurado o seu cofre de chaves anteriormente com a função de Leitor do Key Vault, certifique-se de que adiciona a função de Utilizador dos Segredos do Key Vault para garantir que os seus utilizadores e o Microsoft Dataverse têm permissão suficiente para obter os segredos.
  • Reconhecemos que o nosso serviço está a utilizar API de controlo de acesso baseado em funções do Azure para avaliar a atribuição de direito de acesso mesmo que ainda tenha o seu cofre de chaves configurado para utilizar o modelo de permissão de política de acesso ao cofre. Para simplificar a configuração, recomendamos que mude o modelo de permissão do cofre para o controlo de acesso baseado em funções do Azure. Pode fazer isto no separador Configuração do acesso.

  1. Registar o fornecedor de recursos do Microsoft.PowerPlatform na sua subscrição do Azure. Siga estas medidas para verificar e configurar: Fornecedores de recursos e tipos de recursos

    Registe o fornecedor do Power Platform no Azure

  2. Crie um cofre do Azure Key Vault. Considere utilizar um cofre separado para cada ambiente do Power Platform para minimizar a ameaça em caso de falha de segurança. Considere configurar o cofre de chaves para utilizar o controlo de acesso baseado em funções do Azure para o Modelo de permissão. Mais informações: Melhores práticas para usar o Azure Key Vault, Início Rápido — Criar um Azure Key Vault com o portal do Azure

  3. Os utilizadores que criarem ou utilizarem variáveis de ambiente do tipo segredo têm de ter permissão para obterem o conteúdo do segredo. Para conceder a um novo utilizador a capacidade de utilizar o segredo, selecione a área Controlo de acesso (IAM), selecione Adicionar e, em seguida, selecione Adicionar atribuição de funções na lista pendente. Mais informações: Fornecer acesso a chaves, certificados e segredos do Key Vault com um controlo de acesso baseado em funções do Azure

    Ver os meus acessos no Azure

  4. No assistente Adicionar atribuição de funções, deixe o tipo de atribuição predefinida como Funções de tarefa e continue no separador Função. Localize a Função de utilizador de Segredos do Key Vault e selecione-a. Continue no separador membros e selecione a ligação Selecionar membros e localize o utilizador no painel lateral. Quando tiver o utilizador selecionado e apresentado na secção de membros, continue no separador rever e atribuir e conclua o assistente.

  5. O Azure Key Vault tem de ter a função Utilizador de Segredos do Key Vault concedida ao principal de serviço do Dataverse. Se não existir para este cofre, adicione uma nova política de acesso utilizando o mesmo método que utilizou anteriormente para a permissão de utilizador final, utilizando apenas a identidade da aplicação do Dataverse em vez de utilizar o utilizador. Se tiver vários principais de serviço do Dataverse no inquilino, recomendamos que os selecione a todos e guarde a atribuição de função. Depois de atribuída a função, reveja cada item listado do Dataverse na lista de atribuições de funções e selecione o nome Dataverse para ver os detalhes. Se o ID da Aplicação não for 00000007-0000-0000-c000-000000000000**, selecione a identidade e, em seguida, selecione Remover para o remover da lista.

  6. Se tiver ativado a Firewall do Azure Key Vault, tem de permitir o acesso de endereços IP do Power Platform ao seu cofre de chaves. O Power Platform não está incluído na opção "Só Serviços Fidedignos". Aceda a Power Platform URLs e intervalos de endereços IP para os endereços IP atuais usados no serviço.

  7. Se ainda não o fez, adicione um segredo ao seu novo cofre. Mais informações: Início Rápido do Azure – Definir e obter um segredo do Key Vault utilizando o portal do Azure

Criar uma nova variável de ambiente para o segredo do Key Vault

Uma vez configurado o Azure Key Vault e tiver um segredo registado no seu cofre, pode agora referenciá-lo dentro do Power Apps utilizando uma variável de ambiente.

Nota

  • A validação de acesso ao utilizador para o segredo é efetuada em segundo plano. Se o utilizador não tiver, pelo menos, permissão de leitura, este erro de validação é apresentado: "Esta variável não foi guardada corretamente. O utilizador não está autorizado a ler segredos do "caminho do Azure Key Vault"."
  • Atualmente, o Azure Key Vault é a única loja de segredos que é suportada com variáveis de ambiente.
  • O Azure Key Vault tem de estar no mesmo inquilino que a subscrição do Power Platform.

  1. Inicie sessão no Power Apps e, na área Soluções, abra a solução não gerida que está a usar para o desenvolvimento.

  2. Selecione Nova>Mais>Variável de ambiente.

  3. Introduza Nome a apresentar e, opcionalmente, uma Descrição para a variável de ambiente.

  4. Selecione o Tipo de Dados como Segredo e Loja de Segredos como Azure Key Vault.

  5. Escolha entre as seguintes opções:

    • Selecione Nova referência de valor do Azure Key Vault. Após a informação ser adicionada no passo seguinte e guardada, é criado um registo de valor de variável de ambiente.
    • Expanda Mostrar valor predefinido para apresentar os campos para criar um Segredo do Azure Key Vault predefinido. Após a informação ser adicionada no passo seguinte e guardada, a demarcação de valor predefinido é adicionada ao registo de definição de variável de ambiente.

  6. Introduza as informações seguintes:

    • ID de Subscrição do Azure: o ID de subscrição do Azure associado ao cofre de chaves.

    • Nome do Grupo de Recursos: o grupo de recursos do Azure onde está localizado o cofre de chaves que contém o segredo.

    • Nome do Azure Key Vault: o nome do cofre de chaves que contém o segredo.

    • Nome Secreto: o nome do segredo localizado no Azure Key Vault.

      Gorjeta

      O ID de subscrição, o nome do grupo de recursos e o nome do cofre de chaves podem ser encontrados na página Descrição geral do portal do Azure do cofre de chaves. O nome do segredo pode ser encontrado na página do cofre de chaves no portal do Azure selecionando Segredos sob Definições.

  7. Selecione Guardar.

Criar um fluxo do Power Automate para testar o segredo da variável de ambiente

Um cenário simples para demonstrar como usar um segredo obtido a partir do Azure Key Vault é criar um fluxo do Power Automate para usar o segredo para autenticar contra um serviço Web.

Nota

O URI para o serviço Web neste exemplo não é um serviço Web funcional.

  1. Inicie sessão no Power Apps, selecione Soluções e, em seguida, abra a solução não gerida que pretende. Se o item não estiver no painel lateral, selecione ...Mais e, em seguida, selecione o item pretendido.

  2. Selecione Novo>Automatização>Fluxo de cloud>Instantâneo.

  3. Introduza um nome para o fluxo, selecione Acionar manualmente um fluxo e, em seguida, selecione Criar.

  4. Selecione Novo passo, selecione o conector do Microsoft Dataverse e, em seguida, no separador Ações, selecione Efetuar uma ação independente.

  5. Selecione a ação chamada RetrieveEnvironmentVariableSecretValue da lista pendente.

  6. Forneça o nome exclusivo da variável de ambiente (não o nome a apresentar) adicionado na secção anterior, para este exemplo, utilizamos new_TestSecret.

  7. Selecione ...>Renomear para renomear a ação para que possa ser mais facilmente referenciada na ação seguinte. Nesta captura de ecrã, foi renomeado para GetSecret.

    Configuração do fluxo instantâneo para testar um segredo de variável de ambiente

  8. Selecione ...>Definições para apresentar as definições de ação GetSecret.

  9. Ative a opção Saídas Seguras nas definições e, em seguida, selecione Concluído. Isto é para evitar que a saída da ação seja exposta no histórico de execuções do fluxo.

    Ativar a definição de saídas seguras para a ação

  10. Selecione Novo passo, pesquise e selecione o conector HTTP.

  11. Selecione o Método como GET e introduza o URI para o serviço Web. Neste exemplo, é utilizado o serviço web fictício httpbin.org.

  12. Selecione Mostrar opções avançadas, selecione a Autenticação como Base e, em seguida, introduza o Nome de utilizador.

  13. Selecione o campo Palavra-Passe e, em seguida, no separador Conteúdo dinâmico sob o nome do passo do fluxo acima (GetSecret neste exemplo), selecione RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue que é adicionado como expressão outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] ou body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Criar um novo passo utilizando o conector HTTP

  14. Selecione ...>Definições para apresentar as definições de ação HTTP.

  15. Ative as opções Entradas Seguras e Saídas Seguras nas definições e, em seguida, selecione Concluído. A ativação destas opções impede a exposição das entradas e saídas da ação no histórico de execuções do fluxo.

  16. Selecione Guardar para criar o fluxo.

  17. Executar manualmente o fluxo para o testar.

    Utilizar o histórico de execuções do fluxo, as saídas podem ser verificadas.

    Saída do fluxo

Utilizar segredos de variável de ambiente no Microsoft Copilot Studio

Os segredos da variável de ambiente no Microsoft Copilot Studio funcionam de forma um pouco diferente. Precisa de executar os passos nas seções em Configurar o Azure Key Vault e Criar uma nova variável de ambiente para o segredo do Key Vault para usar segredos com variáveis de ambiente.

Fornecer acesso ao Copilot Studio ao Azure Key Vault

Siga estes passos:

  1. Regresse ao seu Azure Key Vault.

  2. O Copilot Studio precisa de aceder ao cofre de chaves. Para conceder ao Copilot Studio a capacidade de usar o segredo, selecione Controlo de acesso (IAM) na navegação à esquerda, selecione Adicionar e, em seguida, selecione Adicionar atribuição de função.

    Ver os meus acessos no Azure

  3. Selecione a função Utilizador dos Segredos do Key Vault e, em seguida, selecione Seguinte.

  4. Selecione Selecionar Membros, procure Microsoft Copilot Studio Service, selecione-o e escolha Selecionar.

  5. Selecione Rever + atribuir na parte inferior do ecrã. Reveja as informações e selecione Rever + atribuir novamente se estiver tudo correto.

Adicione uma etiqueta para permitir que um copiloto aceda ao segredo no Azure Key Vault

Ao concluir os passos anteriores nesta secção, o Copilot Studio agora tem acesso ao Azure Key Vault, mas ainda não pode usá-lo. Para concluir a tarefa, siga estes passos:

  1. Aceda ao Microsoft Copilot Studio e abra o agente que pretende usar para o segredo da variável de ambiente ou crie um novo.

  2. Abra um tópico de agente ou crie um novo.

  3. Selecione o ícone + para adicionar um nó e, em seguida, selecione Enviar uma mensagem.

  4. Selecione a opção Inserir variável {x} no nó Enviar uma mensagem.

  5. Selecione o separador Ambiente. Selecione o segredo da variável de ambiente que criou no passo Criar uma nova variável de ambiente para o segredo do Key Vault.

  6. Selecione Guardar para guardar o tópico.

  7. No painel de teste, teste o seu tópico usando uma das frases iniciais do tópico em que acabou de adicionar o nó Enviar uma mensagem com o segredo da variável de ambiente. Deve deparar-se com um erro parecido com este:

    Mensagem de erro: O bot não tem permissão para usar a variável de ambiente. Para adicionar o bot à lista de permitidos, adicione uma etiqueta

    Isto significa que precisa de regressar ao Azure Key Vault e editar o segredo. Deixe o Copilot Studio aberto, porque volta aqui mais tarde.

  8. Aceda ao Azure Key Vault. Na navegação à esquerda, selecione Segredos em Objetos. Selecione o segredo que pretende disponibilizar no Copilot Studio ao selecionar o nome.

  9. Selecione a versão do segredo.

  10. Selecione 0 etiquetas junto de Etiquetas. Adicione um Nome de etiqueta e um Valor de Etiqueta. A mensagem de erro no Copilot Studio deve fornecer os valores exatos dessas duas propriedades. Em Nome da Etiqueta tem de adicionar AllowedBots e em Valor da Etiqueta tem de adicionar o valor que foi apresentado na mensagem de erro. Este valor está formatado como {envId}/{schemaName}. Se houver vários copilotos que precisam ser permitidos, separe os valores com uma vírgula. Quando terminar, selecione OK.

  11. Selecione Aplicar para aplicar a etiqueta ao segredo.

  12. Regresso ao Copilot Studio. Selecione Atualizar no painel Testar o copiloto.

  13. No painel de teste, teste o tópico novamente usando uma das frases iniciais do tópico.

O valor do seu segredo deve ser mostrado no painel de teste.

Adicione uma etiqueta para permitir que todos os copilotos acedam ao segredo no Azure Key Vault

Alternativamente, pode permitir que todos os copilotos acedam ao segredo no Azure Key Vault. Para concluir a tarefa, siga estes passos:

  1. Aceda ao Azure Key Vault. Na navegação à esquerda, selecione Segredos em Objetos. Selecione o segredo que pretende disponibilizar no Copilot Studio ao selecionar o nome.
  2. Selecione a versão do segredo.
  3. Selecione 0 etiquetas junto de Etiquetas. Adicione um Nome de etiqueta e um Valor de Etiqueta. Em Nome da Etiqueta, adicione AllowedEnvironments e, em Valor da Etiqueta, adicione o ID do ambiente que pretende permitir. Quando terminar, selecione OK
  4. Selecione Aplicar para aplicar a etiqueta ao segredo.

Limitação

As variáveis de ambiente que referenciam segredos do Azure Key Vault estão atualmente limitadas para utilização com fluxos do Power Automate, agentes do Copilot Studio e conectores personalizados.

A utilização de segredos do Azure Key Vault com variáveis de ambiente requer a configuração do Azure Key Vault para que o Power Platform possa ler os segredos específicos que pretende referenciar. Esta capacidade permite o suporte para variáveis de ambiente com segredos do Azure Key Vault ligados através de uma ligação privada, o que melhora a segurança e proporciona uma integração mais robusta.

  1. Configure o suporte de Rede Virtual do Azure para o Power Platform para integrar variáveis de ambiente com segredos do Azure Key Vault sem as expor à Internet pública. Para obter instruções detalhadas, aceda a Configurar a rede virtual.

  2. Certifique-se de que a subscrição do Azure do Key Vault e de Rede Virtual do Power Platform estão no mesmo inquilino, uma vez que a integração entre inquilinos não é suportada.

  3. Verifique se o utilizador que criar as variáveis de ambiente tem as permissões apropriadas para o recurso Azure Key Vault. Para obter mais detalhes, aceda a Configurar o Azure Key Vault

  4. Crie um cofre de chaves e estabeleça uma conectividade de ligação privada. Os passos para criar o cofre de chaves devem incluir as seguintes ações:

    • Desative o acesso público.
    • Crie um ponto final privado.
    • Selecione a rede virtual e a sub-rede onde pretende que este ponto final privado seja criado. Certifique-se de que se liga à Rede Virtual (rede virtual) delegada para o Power Platform.
    • Valide a conectividade da ligação privada.

    Para obter passos detalhados, aceda a Configurar o suporte da Rede Virtual para o Power Platform.

  5. Crie segredos de variáveis de ambiente ao associar ao Azure Key Vault.

Veja também

Usar variáveis de ambiente de origem de dados em aplicações de tela
Usar variáveis de ambiente em fluxos de cloud da solução Power Automate
Descrição geral das variáveis de ambiente.

  • Last updated on