Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Power Platform suporta o uso da Rede Virtual do Azure para aceder a recursos dentro da sua rede virtual sem expô-los à Internet pública.
Sugestão
Este artigo fornece um cenário de exemplo e uma arquitetura de exemplo generalizada para ilustrar como proteger o acesso do Power Platform a recursos do Azure com a Rede Virtual do Azure. O exemplo de arquitetura pode ser modificado para muitos cenários e setores diferentes.
Diagrama da arquitetura
Workflow
O passos a seguir descrevem o fluxo de trabalho mostrado no diagrama de arquitetura de exemplo:
Aplicação de gestão de casos: uma aplicação de tela ou condicionada por modelo do Power Apps usa um conector personalizado do Power Platform para aceder uma base de dados de back-end ou serviço alojado no Azure. A configuração é gerida ao nível do ambiente para se ligar a uma rede virtual do Azure específica, conforme necessário. Por exemplo, o ambiente de programação pode não precisar de usar uma rede virtual, mas o de teste e de produção sim.
Pedido de pesquisa: um pedido de pesquisa da aplicação usa um conector personalizado do Power Platform para aceder à API de back-end alojada no Azure.
Pedir autorização: a API de back-end é protegida pelo Microsoft Entra ID e é o Microsoft Entra ID que autentica o utilizador na aplicação. O conector usa OAuth para autorizar o acesso do utilizador aceder à API de back-end. O conector obtém o ID de cliente e o segredo de um Azure Key Vault usando variáveis de ambiente do Power Platform.
Acesso à rede: a API de back-end está alojada numa rede virtual do Azure e não permite acesso à rede pública. A rede virtual delega uma sub-rede para o ambiente do Power Platform, permitindo que o pedido e a resposta da API atravessem a rede sem usar a rede pública do Azure.
Pesquisa da API de back-end: a API de back-end recebe um pedido de pesquisa e efetua uma pesquisa na base de dados no contexto do utilizador que fez o pedido.
Componentes
Ambiente do Power Platform: contém recursos do Power Platform. O ambiente é o limite para o acesso a dados e segurança. Os ambientes do Power Platform podem ser configurados para usar a integração da Rede Virtual do Azure, o que permite que os recursos do Power Platform comuniquem com os recursos do Azure numa rede virtual.
Power Apps: implementa a experiência de utilizador da solução. Os utilizadores iniciam sessão numa aplicação de tela ou condicionada por modelo com o Microsoft Entra ID.
Conectores personalizados do Power Platform: defina as operações que estão disponíveis para aplicações do Power Platform a partir dos serviços a que se ligam.
Rede Virtual do Azure: suporta conectividade híbrida com outras capacidades de rede do Azure e no local para fornecer uma rede virtual na nuvem. As redes virtuais podem delegar uma sub-rede a recursos do Power Platform, permitindo que os recursos do Power Platform e do Azure interajam através de uma rede privada sem enviar tráfego através de redes públicas.
Azure Key Vault: armazena as credenciais necessárias para ligar a APIs de back-end usando OAuth. Semelhante às APIs de back-end, os recursos do Power Platform acedem ao Azure Key Vault através da rede virtual.
Detalhes do cenário
As organizações com necessidades de segurança elevada têm de garantir uma comunicação segura entre sistemas internos e serviços cloud. Utilize os controlos de segurança disponíveis e integre redes virtuais entre recursos do Power Platform e do Azure como parte da sua arquitetura da solução.
Implementar controlos de segurança de rede entre componentes de aplicação, geralmente, apresenta desafios, especialmente quando estão em diferentes níveis de abstração de tecnologia. Com a Rede Virtual do Azure, pode criar soluções com componentes do Power Platform e do Azure sem a complexidade de uma solução com várias redes típica. A arquitetura de exemplo usa a delegação de sub-rede de rede virtual para permitir que os recursos do Power Platform e do Azure trabalhem juntos em soluções que usam os pontos fortes de ambos os produtos, sem sacrificar a simplicidade nem a segurança.
Considerações
Estas considerações implementam os pilares do Well-Architected do Power Platform, um conjunto de princípios orientadores que melhoram a qualidade de uma carga de trabalho. Mais informações em Well-Architected do Microsoft Power Platform.
Fiabilidade
Redundância: a infraestrutura do Power Platform é criada para usar uma região primária e uma de ativação pós-falha sem ação explícita do cliente. Por exemplo, se o seu ambiente do Power Platform estiver no EUA Oeste, a região de ativação pós-falha será EUA Leste. Para alcançar a melhor resiliência, configure uma rede virtual em ambas as regiões do Azure emparelhadas e estabeleça uma ligação de peering entre elas. Esta configuração permite uma ativação pós-falha de recursos do Azure totalmente integrada em caso de desastre. Mais informações em Continuidade de negócio e recuperação após desastre e Cenários de amostra para preparação e configuração da Rede Virtual.
Segurança
Controlo de acesso a dados: as APIs, o arquivo de dados e outros recursos do Azure para a solução são isolados e só podem ser acedidos a partir de aplicações em execução no ambiente do Power Platform ligado à rede virtual.
Segmentação intencional e perímetros: a integração da Rede Virtual do Azure permite que os recursos do Power Platform e do Azure comuniquem de forma segura, isolados de outras interferências de rede de nuvem. Esta configuração impede que ambientes de nível inferior, como ambientes de programação, se liguem acidentalmente a recursos de teste ou de produção do Azure, o que ajuda a manter um ciclo de vida de desenvolvimento seguro. Com a rede virtual configurada num ambiente do Power Platform, controla o tráfego de saída do Power Platform. Mais informações em Melhores práticas para proteger ligações de saída de serviços do Power Platform.
Encriptação: os dados que se movem dos serviços do Power Platform para os do Azure na rede virtual não atravessam a internet pública.
Excelência Operacional
Gestão ciclo de vida das aplicações (ALM): a integração é configurada ao nível do ambiente do Power Platform. As redes virtuais do Azure correspondentes constituem uma zona de destino completa para toda a solução e podem isolar fases de programação, teste e produção ou específicas do ciclo de vida nos processos ALM da sua organização.
Eficiência de Desempenho
Recolher dados de desempenho: o serviço do Azure Monitor recolhe e agrega métricas e registos de todos os componentes do seu sistema, o que fornece uma vista de disponibilidade, desempenho e resiliência. Saiba mais em Monitorizar a Rede Virtual do Azure.
Contribuidores
A Microsoft mantém este artigo. Este artigo foi escrito pelos contribuidores a seguir.
Principais autores:
- Rahul Kannathusseril, Gestor Principal do Programa
- Henry Luo, Gestor de Programa Sénior
Próximos passos
Siga estes passos de alto nível para criar uma solução de ponto a ponto:
Crie uma API REST alojada no Azure usando a sua técnica preferida. Proteja a API com o Microsoft Entra ID. Mais informações em Configurar o seu Serviço de Aplicações ou a aplicação de Funções do Azure para utilizar o início de sessão do Microsoft Entra.
Crie variáveis de ambiente do Power Platform para reter o ID de cliente e o segredo do Azure Key Vault. Mais informações em Utilizar variáveis de ambiente para segredos do Azure Key Vault.
Crie um conector personalizado para a sua API. Introdução com um tutorial.
Defina o conector personalizado para usar OAuth 2.0 com o Azure Active Directory (Microsoft Entra ID) e ative o suporte de principal de serviço.
Configure o ID de cliente e o segredo para usarem os valores das variáveis de ambiente criadas no passo 2.
Crie uma aplicação de tela no Power Apps para fornecer uma interface de pesquisa.
