Adición de certificados a mensajes B2B seguros en flujos de trabajo para Azure Logic Apps

Se aplica a: Azure Logic Apps (Consumo + Estándar)

Las integraciones de negocio a negocio (B2B) a menudo intercambian mensajes con datos confidenciales, como pedidos de compra, facturas y acuerdos de socios comerciales. Sin el cifrado y la firma adecuados, estos mensajes son vulnerables a alteraciones y suplantaciones. Para solucionar este riesgo, puede agregar certificados de seguridad para las acciones B2B que se usarán en los flujos de trabajo. Los certificados son documentos digitales que realizan las siguientes tareas:

  • Valide las identidades de socios en los intercambios de mensajes.
  • Cifre o descifre mensajes para que solo el asociado deseado pueda leerlos.
  • Firmar digitalmente los mensajes para que el receptor pueda comprobar el remitente.

En esta guía se muestra cómo agregar certificados y configurar contratos para especificar los certificados para las acciones B2B que se van a usar. Para los mensajes AS2, la configuración del contrato controla los certificados que usan automáticamente las acciones de AS2. No es necesario realizar ninguna acción adicional en las acciones de flujo de trabajo para utilizar certificados.

Nota:

La canalización AS2 controla la seguridad, los certificados y el no repudio, y el protocolo AS2 requiere cifrado y firmas digitales. En el caso de los mensajes AS2, configuras certificados digitales en el nivel de contrato. Los contratos AS2 tienen configuraciones de envío y configuraciones de recepción que exponen la configuración del certificado para este propósito. Para obtener más información, consulte Referencia para la configuración de mensajes AS2 en Azure Logic Apps.

Otras canalizaciones y protocolos como X12, EDIFACT y RosettaNet controlan la seguridad en otros niveles, por ejemplo, en el nivel de transporte o adaptador. Estos contratos tienen Configuración de envío y Configuración de recepción que exponen configuraciones para definir el formato del mensaje, la estructura y las reglas de procesamiento. Flujos de trabajo EDI como X12 y EDIFACT gestionan el análisis, la validación y las confirmaciones. Para obtener más información, consulte:

Requisitos previos

  • Una cuenta y una suscripción de Azure. Obtener una cuenta gratuita de Azure.

  • Un recurso de cuenta de integración.

    Este recurso se usa para definir y almacenar artefactos B2B para flujos de trabajo de integración empresarial y B2B.

    • Tanto la cuenta de integración como el recurso de aplicación lógica deben existir en la misma suscripción de Azure y en la misma región de Azure.

    • La cuenta de integración debe tener los siguientes artefactos B2B:

      • Dos o más socios comerciales, normalmente su organización y al menos una otra.

      • Un acuerdo entre estos asociados.

        • En cada contrato hacen falta un asociado anfitrión y un asociado invitado. Normalmente, la organización es el asociado host, mientras que otra organización es el asociado invitado.

        • Ambos socios deben usar el mismo calificador de identidad empresarial o uno compatible que sea adecuado para el tipo de acuerdo, por ejemplo, AS2.

  • Los certificados de las organizaciones asociadas invitadas y de la organización asociada anfitriona. Puede usar los siguientes certificados:

    Tipo Descripción
    Certificado privado o autofirmado Un archivo de certificado (.pfx) que cree para controlar las siguientes tareas para su organización:

    - Descifrar los mensajes que su asociado le envía.
    - Firmar digitalmente los mensajes que envía a su asociado.

    Este certificado requiere que agregue una clave privada correspondiente a un almacén de claves en Azure para descifrar y firmar los mensajes. Para obtener más información, siga leyendo los requisitos previos pertinentes.
    Certificado público Un archivo de certificado (.cer) para controlar las siguientes tareas para el asociado invitado:

    - Cifrar los mensajes que envías a tu asociado.
    - Valide la firma digital en los mensajes que su asociado le envía.

    Puede comprar estos certificados desde una entidad de certificación (CA) de Internet pública. Los certificados de asociado no requieren claves privadas, por lo que puede usar certificados solo públicos para este propósito.

    Para los certificados privados, complete los siguientes requisitos:

    1. En Azure Key Vault, cree un recurso de almacén de claves, agregar una clave privada y obtenga el nombre de clave.

    2. Autorice a Azure Logic Apps para realizar operaciones en su bóveda de claves.

      Para conceder acceso a la entidad de servicio de Azure Logic Apps, use el control de acceso basado en rol de Azure para administrar el acceso al almacén de claves. Para obtener más información, consulte Proporcionar acceso a claves, certificados y secretos de Key Vault con el control de acceso basado en roles de Azure.

      Nota:

      Si usa directivas de acceso con el almacén de claves, considere migrar al modelo de permisos de control de acceso basado en roles de Azure.

      Si recibe el error "Por favor, autorize a las aplicaciones lógicas a realizar operaciones en la bóveda de claves concediendo acceso para el principal de servicio de aplicaciones lógicas '7cd684f4-8a78-49b0-91ec-6a35d38739ba' para operaciones 'list', 'obtener', 'descifrar' y 'firmar'.", es posible que tu certificado no tenga la propiedad de Uso de Clave configurada en Cifradode Datos. Si es así, es posible que tenga que volver a crear el certificado y establecer la propiedad Uso de claves en Cifrado de datos.

      Para comprobar su certificado, ábralo, seleccione la pestaña Detalles y revise la propiedad Uso de claves.

    3. En la cuenta de integración, agregue un certificado público asociado a la clave privada en el almacén de claves.

  • El recurso y el flujo de trabajo de la aplicación lógica donde desea usar el certificado.

    • El flujo de trabajo puede comenzar con cualquier desencadenador que funcione mejor para su escenario.

    • Vincule la cuenta de integración al recurso de la aplicación lógica.

      Este vínculo es necesario para las aplicaciones lógicas de consumo, pero opcional para las aplicaciones lógicas estándar. Sin embargo, vincular te permite compartir la misma cuenta de integración y artefactos B2B a través de múltiples aplicaciones de Lógica de Consumo y Estándar.

    Para obtener más información, consulte:

Añada su certificado privado

Para agregar el certificado de la organización a la cuenta de integración, siga estos pasos:

  1. Confirme que cumple los requisitos previos para las claves privadas, incluida la adición del certificado público correspondiente al almacén de claves.

  2. En el cuadro de búsqueda Azure portal, escriba integration accounts y seleccione Cuentas de integración.

  3. En la página Cuentas de integración, seleccione la cuenta de integración en la que desea agregar el certificado.

  4. En la barra lateral de la cuenta de integración, en Configuración, seleccione Certificados.

  5. En la barra de herramientas de la página Certificados , seleccione Agregar.

  6. En el panel Agregar certificado , proporcione la siguiente información:

    Propiedad Obligatorio Valor Descripción
    Nombre < nombre-certificado> Nombre del certificado.
    Tipo de certificado Privado Tipo de certificado.
    Certificate < nombre-archivo-certificado> 1. Junto al cuadro Certificado , seleccione el icono de carpeta.
    2. Busque y seleccione el archivo de certificado (.pfx) asociado a la clave privada en el almacén de claves y, a continuación, seleccione Abrir.
    Grupo de recursos < grupo-de-recursos-de-la-cuenta-de-integración> El grupo de recursos de la cuenta de integración.
    Almacén de claves < nombre-bóveda-llave> El nombre del almacén de claves.
    Nombre de clave < key-name> Nombre de clave privada.

    En el ejemplo siguiente se muestra información de certificado privado de ejemplo:

    Screenshot muestra el portal de Azure, la cuenta de integración, la barra de herramientas de la página Certificados con Agregar seleccionado y el panel Agregar certificado con detalles privados del certificado.

  7. Cuando termine, seleccione Aceptar.

    Después de Azure valide la selección, el certificado aparece en la página Certificates, por ejemplo:

    Captura de pantalla que muestra la página Cuenta de integración y Certificados con el certificado privado.

Adición de un certificado público de asociado

Para agregar el certificado público del asociado a la cuenta de integración, siga estos pasos:

  1. En el cuadro de búsqueda Azure portal, escriba integration accounts y seleccione Cuentas de integración.

  2. En la página Cuentas de integración, seleccione la cuenta de integración en la que desea agregar el certificado.

  3. En la barra lateral de la cuenta de integración, en Configuración, seleccione Certificados.

  4. En la barra de herramientas de la página Certificados , seleccione Agregar.

  5. En el panel Agregar certificado , proporcione la siguiente información:

    Propiedad Obligatorio Valor Descripción
    Nombre < nombre-certificado> Nombre del certificado.
    Tipo de certificado Public Tipo de certificado.
    Certificate < nombre-archivo-certificado> 1. Junto al cuadro Certificado , seleccione el icono de carpeta.
    2. Busque y seleccione el archivo de certificado (.cer) del partner y, a continuación, seleccione Abrir.

    En el siguiente ejemplo se muestra la información de un certificado público de ejemplo.

    Screenshot muestra el portal de Azure, la cuenta de integración, la barra de herramientas de la página Certificados con Agregar seleccionado y el panel Agregar certificado con detalles públicos del certificado.

  6. Cuando termine, seleccione Aceptar.

    Después de Azure valide la selección, el certificado aparece en la página Certificates, por ejemplo:

    Captura de pantalla que muestra la cuenta de integración y la página Certificados con el certificado público.

Configuración de certificados para contratos AS2

Después de agregar los certificados que desee, los contratos AS2 requieren que especifique manualmente los certificados que se usarán en la configuración de recepción del contrato y la configuración de envío para firmar y cifrar mensajes.

Para completar esta tarea, siga estos pasos:

  1. En el portal Azure, abra la cuenta de integración.

  2. En la barra lateral de la cuenta de integración, en Configuración, seleccione Contratos.

  3. En la página Contratos , seleccione el contrato AS2. En la barra de herramientas de la página Contratos , seleccione Editar.

  4. En el panel Editar , seleccione las siguientes opciones y proporcione la información necesaria, en función de la funcionalidad que desea habilitar:

    Panel de Configuración Descripción
    Configuración de recepción - Se debe firmar el mensaje: seleccione esta opción y, a continuación, seleccione el certificado para validar la firma del asociado en los mensajes recibidos.

    - Se debe cifrar el mensaje: seleccione esta opción y, a continuación, seleccione el certificado para descifrar los mensajes de su asociado.
    Configuración de envío - Habilitar firma de mensajes: seleccione esta opción y, a continuación, seleccione el algoritmo y el certificado para firmar los mensajes que envíe.

    - Habilitar cifrado de mensajes: seleccione esta opción y, a continuación, seleccione el algoritmo y el certificado para cifrar los mensajes que envíe.

    Para obtener más información, consulte Referencia para la configuración de mensajes AS2 en Azure Logic Apps.

Contenido relacionado

  • Last updated on