Compartilhar via

Adicionar certificados para proteger mensagens B2B em fluxos de trabalho para Aplicativos Lógicos do Azure

Aplica-se a: Aplicativos Lógicos do Azure (Consumo + Standard)

As integrações entre empresas (B2B) geralmente trocam mensagens com dados confidenciais, como pedidos de compra, faturas e contratos de parceiro comercial. Sem criptografia e assinatura adequadas, essas mensagens são vulneráveis a adulteração e representação. Para resolver esse risco, você pode adicionar certificados de segurança para ações B2B a serem usadas em seus fluxos de trabalho. Os certificados são documentos digitais que executam as seguintes tarefas:

  • Valide as identidades do parceiro em trocas de mensagens.
  • Criptografe ou descriptografe mensagens para que somente o parceiro pretendido possa lê-las.
  • Assine mensagens digitalmente para que o receptor possa verificar o remetente.

Este guia mostra como adicionar certificados e configurar contratos para especificar os certificados para ações B2B a serem usadas. Para mensagens AS2, as configurações do contrato controlam os certificados que as ações AS2 usam automaticamente. Suas ações de fluxo de trabalho não precisam fazer mais nada para usar certificados.

Observação

O pipeline AS2 lida com segurança, certificados e não repúdio, e o protocolo AS2 requer criptografia e assinaturas digitais. Para mensagens AS2, você configura certificados no nível do contrato. Os contratos AS2 têm Configurações de Envio e Configurações de Recebimento que expõem as configurações de certificado para essa finalidade. Para obter mais informações, consulte Reference para configurações de mensagem AS2 em Aplicativos Lógicos do Azure.

Outros pipelines e protocolos, como X12, EDIFACT e RosettaNet, lidam com a segurança em outros níveis, por exemplo, no nível de transporte ou adaptador. Esses contratos têm configurações de envio e de recebimento que expõem configurações para definir o formato da mensagem, a estrutura e as regras de processamento. Pipelines EDI, como X12 e EDIFACT, realizam a análise sintática, validação e reconhecimentos. Para obter mais informações, consulte:

Pré-requisitos

  • Uma conta Azure e uma assinatura. Get uma conta de Azure gratuita.

  • Um recurso de conta de integração.

    Use esse recurso para definir e armazenar artefatos B2B para integração empresarial e fluxos de trabalho B2B.

    • Sua conta de integração e o recurso de aplicativo lógico devem existir na mesma assinatura do Azure e região do Azure.

    • Sua conta de integração precisa ter os seguintes artefatos B2B:

      • Dois ou mais parceiros comerciais, geralmente sua organização e pelo menos uma outra organização.

      • Um acordo entre esses parceiros.

        • Cada contrato requer um parceiro de host e um parceiro convidado. Normalmente, sua organização é o parceiro host, enquanto outra organização é o parceiro convidado.

        • Ambos os parceiros devem usar um qualificador de identidade comercial igual ou compatível que seja apropriado para o tipo de contrato, por exemplo, AS2.

  • Os certificados das suas organizações parceiras convidadas e para a sua organização parceira anfitriã. Você pode usar os seguintes certificados:

    Tipo Descrição
    Certificado privado ou autoassinado Um arquivo de certificado (.pfx) que você cria para lidar com as seguintes tarefas para sua organização:

    - Descriptografe as mensagens enviadas pelo parceiro.
    – Assine digitalmente as mensagens enviadas ao seu parceiro.

    Esse certificado exige que você adicione uma chave privada correspondente a um cofre de chaves em Azure para descriptografar e assinar suas mensagens. Para obter mais informações, continue lendo os pré-requisitos relevantes.
    Certificado público Um arquivo de certificado (.cer) para lidar com as seguintes tarefas para seu parceiro convidado:

    - Criptografe as mensagens que você envia ao seu parceiro.
    – Valide a assinatura digital nas mensagens que seu parceiro envia para você.

    Você pode comprar esses certificados de uma AC (autoridade de certificação da Internet) pública. Os certificados de parceiro não exigem chaves privadas, portanto, você pode usar certificados somente públicos para essa finalidade.

    Para certificados privados, preencha os seguintes requisitos:

    1. Em Azure Key Vault, crie um recurso do cofre de chaves, add uma chave privada e obtenha o nome da chave.

    2. Autorize Aplicativos Lógicos do Azure a executar operações no cofre de chaves.

      Para conceder acesso à entidade de serviço dos Aplicativos Lógicos do Azure, use o controle de acesso baseado em função do Azure para gerenciar o acesso ao cofre de chaves. Para obter mais informações, consulte Fornecer acesso a chaves do Key Vault, certificados e segredos com controle de acesso baseado em funções do Azure.

      Observação

      Se você usar políticas de acesso com seu cofre de chaves, considere migrar para o modelo de permissão de controle de acesso baseado em função do Azure.

      Se você receber o erro "Autorize os aplicativos lógicos a executar operações no cofre de chaves concedendo acesso à entidade de serviço de aplicativos lógicos '7cd684f4-8a78-49b0-91ec-6a35d38739ba' para operações 'list', 'get', 'decrypt' e 'sign'.". O certificado pode não ter a propriedade Uso da Chavedefinida como Criptografia de Dados. Nesse caso, talvez seja necessário recriar o certificado e definir a propriedade Uso de Chave como Criptografia de Dados.

      Para verificar seu certificado, abra o certificado, selecione a guia Detalhes e examine a propriedade Uso da Chave.

    3. Em sua conta de integração, adicione um certificado público associado à chave privada em seu cofre de chaves.

  • O recurso de aplicativo lógico e o fluxo de trabalho em que você deseja usar o certificado.

    • O fluxo de trabalho pode começar com qualquer gatilho que funcione melhor para seu cenário.

    • Vincule sua conta de integração ao recurso de aplicativo lógico.

      Esse link é necessário para aplicativos lógicos de consumo, mas opcional para aplicativos lógicos Standard. Mas, a vinculação permite compartilhar a mesma conta de integração e artefatos B2B em vários aplicativos lógicos de Consumo e Standard.

    Para obter mais informações, consulte:

Adicionar seu certificado privado

Para adicionar o certificado da sua organização à sua conta de integração, siga estas etapas:

  1. Confirme se você atendeu aos pré-requisitos para chaves privadas, incluindo a adição do certificado público correspondente ao cofre de chaves.

  2. Na caixa de pesquisa Azure portal, insira integration accounts e, em seguida, selecione Integration accounts.

  3. Na página Contas de integração , selecione a conta de integração na qual você deseja adicionar seu certificado.

  4. Na barra lateral da conta de integração, em Configurações, selecione Certificados.

  5. Na barra de ferramentas da página Certificados , selecione Adicionar.

  6. No painel Adicionar Certificado , forneça as seguintes informações:

    Propriedade Obrigatório Valor Descrição
    Nome Sim < nome do certificado> O nome do certificado.
    Tipo de certificado Sim Privada O tipo de certificado.
    Certificado Sim < certificate-file-name> 1. Ao lado da caixa Certificado , selecione o ícone de pasta.
    2. Localize e selecione o arquivo certificado (.pfx) associado à chave privada no cofre de chaves e selecione Abrir.
    Grupo de recursos Sim < integration-account-resource-group> O grupo de recursos da conta de integração.
    Key Vault Sim < key-vault-name> O nome do cofre de chaves.
    Nome da chave Sim < nome da chave> O nome da chave privada.

    O exemplo a seguir apresenta informações de um certificado privado ilustrativo:

    Screenshot mostra o portal Azure, a conta de integração, a barra de ferramentas da página Certificados com Adicionar selecionado e o painel Adicionar Certificado com detalhes do certificado privado.

  7. Quando terminar, selecione OK.

    Depois que Azure validar sua seleção, seu certificado será exibido na página Certificates, por exemplo:

    Captura de tela que mostra a conta de integração e a página Certificados com o certificado privado.

Adicionar certificado público de parceiro

Para adicionar o certificado público do parceiro à sua conta de integração, siga estas etapas:

  1. Na caixa de pesquisa Azure portal, insira integration accounts e, em seguida, selecione Integration accounts.

  2. Na página Contas de integração , selecione a conta de integração na qual você deseja adicionar seu certificado.

  3. Na barra lateral da conta de integração, em Configurações, selecione Certificados.

  4. Na barra de ferramentas da página Certificados , selecione Adicionar.

  5. No painel Adicionar Certificado , forneça as seguintes informações:

    Propriedade Obrigatório Valor Descrição
    Nome Sim < nome do certificado> O nome do certificado.
    Tipo de certificado Sim Pública O tipo de certificado.
    Certificado Sim < certificate-file-name> 1. Ao lado da caixa Certificado , selecione o ícone de pasta.
    2. Localize e selecione o arquivo de certificado (.cer) do parceiro e selecione Abrir.

    O exemplo a seguir mostra informações de um certificado público:

    Screenshot mostra o portal Azure, a conta de integração, a barra de ferramentas da página Certificados com Adicionar selecionado e o painel Adicionar Certificado com detalhes do certificado público.

  6. Quando terminar, selecione OK.

    Depois que Azure validar sua seleção, seu certificado será exibido na página Certificates, por exemplo:

    A captura de tela mostra a conta de integração e a página Certificados com o certificado público.

Configurar certificados para contratos AS2

Depois de adicionar os certificados desejados, os contratos AS2 exigem que você especifique manualmente os certificados a serem usados nas Configurações de Recebimento do contrato e envie configurações para assinatura e criptografia de mensagens.

Para concluir esta tarefa, siga estas etapas:

  1. No portal Azure, abra sua conta de integração.

  2. Na barra lateral da conta de integração, em Configurações, selecione Contratos.

  3. Na página Contratos , selecione o contrato AS2. Na barra de ferramentas da página Contratos , selecione Editar.

  4. No painel Editar , selecione as seguintes opções e forneça as informações necessárias, com base na funcionalidade que você deseja habilitar:

    Painel de configurações Descrição
    Configurações de Recebimento - A mensagem deve ser assinada: selecione essa opção e selecione o certificado para validar a assinatura do parceiro nas mensagens recebidas.

    - A mensagem deve ser criptografada: selecione essa opção e selecione o certificado para descriptografar mensagens do seu parceiro.
    Enviar Configurações - Habilite a assinatura da mensagem: selecione essa opção e selecione o algoritmo e o certificado para assinar as mensagens enviadas.

    - Habilite a criptografia de mensagens: selecione essa opção e selecione o algoritmo e o certificado para criptografar as mensagens enviadas.

    Para obter mais informações, consulte Reference para configurações de mensagem AS2 em Aplicativos Lógicos do Azure.

Conteúdo relacionado

  • Last updated on