创建 Azure Key Vault 凭据

通过 Power Automate 中的凭据页面，可以使用 Azure 密钥保管库创建、编辑和共享登录凭据，并将其用于桌面流或桌面流连接。

您也可以使用 CyberArk® 创建凭据（预览）。

先决条件

凭据使用存储在 Azure Key Vault 中的密码。 若要创建凭据，您的管理员必须先设置 Azure 密钥保管库。

总之，管理员需要确保：

1. Microsoft Power Platform 资源提供程序已在 Azure 订阅中注册。
2. 有一个 Azure Key Vault，其中包含要在凭据中使用的密码。
3. Dataverse 服务主体具有使用密码的权限。
4. 创建环境变量的用户对 Azure Key Vault 资源拥有适当的权限。
5. Power Automate 环境和 Azure 订阅必须在同一个租户上。

要配置 Azure Key Vault，请按照配置 Azure Key Vault 中描述的步骤操作。

基于证书的身份验证（预览版）

基于 Microsoft Entra ID 证书的身份验证是一种单因素身份验证，可让您满足多因素身份验证 (MFA) 要求。 不要使用基于密码的身份验证，而要使用基于证书的身份验证 (CBA)，根据数字证书来验证您的身份。

要使用 CBA，请遵循配置基于证书的身份验证中的步骤。 否则，请开始创建凭据。

创建凭据

要创建您的凭据：

1. 转到凭据页面。 如果您没有看到凭据页面，请按照下列步骤操作：

   1. 选择左侧导航中的更多，然后选择查找全部。
   2. 在数据下，选择凭据。 可以将页面固定到左侧导航中，使其更易于访问。

2. 在凭据页面上，通过选择新凭据创建您的第一个凭据。

定义凭据名称

提供以下信息以创建您的凭据：

• 凭据名称：输入凭据的名称
• 描述（可选）

选择凭据存储

1. 选择下一步后，选择要使用凭证的位置。
2. 选择连接、桌面流或网络作为使用凭据的位置。
3. 如果出现提示，请选择 Azure Key Vault 作为凭证存储类型，然后选择下一步。

选择凭据值

在向导的最后一步中，选择凭据值。 根据使用凭据的位置，可能有两种类型的受支持身份验证：

1. 用户名和密码：存储在保险库中的密码是一个密码。
2. 基于证书的身份验证：存储在保险库中的密码是一个证书。

• 用户名：选择用户名，您可以使用下拉功能。 如果您没有任何环境变量，请选择新建：

  • 显示名称。 输入环境变量的名称。

  • 名称. 唯一名称会自动从显示名称生成，但您可以更改它。

  • 值。 填充用户的名称。 对于本地用户，请提供用户名。 对于域用户，请提供 <DOMAIN\username> 或 <username@___domain.com>。

    

• 密码：要选择密码，您可以使用下拉菜单。 如果您没有任何密码环境变量，请选择新建：
  • 显示名称。 输入环境变量的名称。
  • 名称. 唯一名称会自动从显示名称生成，但您可以更改它。
  • 订阅 id。与密钥保管库关联的 Azure 订阅 ID。
  • 资源组名称。 包含机密的密钥保管库所在的 Azure 资源组。
  • Azure 密钥保管库名称。 包含机密的密钥保管库的名称。
  • 密码名称。 Azure Key Vault 中机密的名称。

使用凭据创建桌面流连接

您现在可以在桌面流连接中使用您的凭据

在桌面流操作中使用凭据（预览）

1. 确保有一台已注册计算机供桌面流运行。 从此计算机检索凭据。

   备注

   凭据需要在已注册的计算机上才能在运行时正常工作，即使是对本地有人参与或调试运行。

2. 在桌面流设计器中，选择 Power Automate 机密变量（预览）模块，然后选择获取凭据（预览）操作。

3. 指定要检索的凭据。 您只会看到在桌面流中定义为可用的凭据。 在公开预览版中，只支持使用 Azure 密钥保管库或 CyberArk 作为保管库的凭据。

4. 定义所创建变量的名称。 此变量标记为“敏感”，无法更改。 这意味着此变量的值不会存储在日志中。

   备注

   无论以何种方式生成（获取凭据（预览）操作或将凭据变量重新分配给继承相同变量类型的新凭据变量），凭据类型变量始终强制执行敏感。 这同样适用于凭据变量的“Password”属性。

5. 选择保存后，在另一个操作中使用凭据。 所有 Power Automate 操作都可以使用凭据。

6. 在操作字段中，选择变量选择器。 在流程变量列表中，查找您的凭据并展开它。 您可以看到属性用户名和密码。 选择您要在此操作（双击）中使用的属性。

7. 运行流。

查看密码的使用位置

从解决方案页面，您可以检索所有密码环境变量的依赖关系。 这有助于您在编辑 Azure Key Vault 密码之前了解它们的使用位置。

• 选择一个环境变量。
• 选择高级选项，然后选择显示依赖关系。
• 您可以看到：
  • 使用此环境变量的凭据。
  • 使用此环境变量的连接。

共享凭据

您可以与组织中的其他用户共享您拥有的凭据，并授予这些用户特定的访问权限。

1. 登录到 Power Automate，然后转到凭据。
2. 从凭据列表中选择您的凭据。
3. 在命令栏上，选择共享。
4. 选择添加人员，输入您组织中要与其共享凭据的人员的姓名，然后选择您要授予此用户的角色：
   • 共同所有者（可以编辑）。 此访问级别授予该凭据完全权限。 共同所有者可以使用凭据、与其他人共享凭据、编辑凭据的详细信息以及删除凭据。
   • 用户（只能查看）。 此访问级别仅授予使用凭据的权限。 此访问权限不支持编辑、共享或删除权限。
   • 用户（可以查看和共享）。 此访问级别与只能查看选项相同，但授予共享权限。
5. 选择保存。

删除凭据

1. 登录到 Power Automate，然后转到凭据。
2. 从列表中选择要删除的凭据，然后选择命令栏上的删除机器。

使用凭据导出桌面流连接

您可以使用凭据通过桌面流连接导出云端流。 您应该首先导入包含凭据和相关环境变量的解决方案，然后导入包含云端流和桌面流的解决方案。

限制

• 目前，此功能仅适用于桌面流连接。
• 您不能在现有凭据中编辑选定的用户名和密码。 如果您想要更改用户名和密码的值，您需要更新环境变量或 Azure Key Vault 密码。
• 如果您的环境使用受管身份访问 Azure Data Lake，则该身份也用于访问 Azure 密钥保管库。 只有一个企业政策可以同时连接到 Dataverse 环境。 确保托管标识对 Azure Key Vault 资源具有适当的权限。

更新密钥（密码轮换）- 已弃用

更新密钥（密码轮换）的必备条件

• 确保事件网格在 Azure 中注册为资源提供程序。 了解有关资源提供程序的更多信息。
• 确保在 Power Automate 中使用事件网格触发器的用户拥有事件网格参与者权限。 了解更多

使用 Event Grid 触发器创建云端流

当您在 Azure Key Vault 中编辑密码时，您希望确保使用这些密码的凭据和连接始终是最新的，以避免破坏您的自动化。 在 Power Automate 中，您需要创建一个云端流，当 Azure Key Vault 中的密码发生更改时，该云端流将更新凭据。

此云端流包含一个触发器和一项操作：

1. 触发器：当资源事件发生时（事件网格）
   • 资源类型：Microsoft.KeyVault.vaults
   • 资源名称：提供密钥库的名称。
   • 订阅：提供订阅的名称。
   • 事件类型：Microsoft.KeyVault.SecretNewVersionCreated
2. 操作：执行未绑定操作 (Dataverse)
   • 操作名称：NotifyEnvironmentVariableSecretChange
   • KeyVaultUrl：主题
   • 密码名称：Subject

如果您使用一个密钥保管库来保存所有的密码，那么您只需要一个云端流。 如果您有几个密钥保管库，您需要复制云端流并更新资源名称。

要确保您的云端流与 Azure Key Vault 一起正常使用：

1. 转至密钥保管库。
2. 选择事件。
3. 在活动订阅中，检查您是否能看到 LogicApps webhook。