Partilhar via

Adicionar certificados a mensagens B2B seguras em fluxos de trabalho para Azure Logic Apps

Aplica-se a: Azure Logic Apps (Consumo + Padrão)

As integrações business-to-business (B2B) frequentemente trocam mensagens com dados sensíveis, como ordens de compra, faturas e acordos de parceiros comerciais. Sem encriptação e assinatura adequadas, estas mensagens ficam vulneráveis a adulteração e usurpação de identidade. Para enfrentar este risco, pode adicionar certificados de segurança para ações B2B a utilizar nos seus fluxos de trabalho. Os certificados são documentos digitais que desempenham as seguintes tarefas:

  • Valide as identidades dos parceiros nas trocas de mensagens.
  • Encripta ou desencripta mensagens para que só o parceiro pretendido as possa ler.
  • Assine digitalmente as mensagens para que o destinatário possa verificar o remetente.

Este guia mostra como adicionar certificados e estabelecer acordos para especificar os certificados para as ações B2B a utilizar. Para mensagens AS2, as definições do acordo controlam os certificados que as ações AS2 usam automaticamente. As tuas ações de fluxo de trabalho não precisam de fazer mais nada para usar certificados.

Nota

O pipeline AS2 trata de segurança, certificados e não repudiação, e o protocolo AS2 requer encriptação e assinaturas digitais. Para mensagens AS2, configuras os certificados ao nível do acordo. Os acordos AS2 têm Definições de Envio e Receção que expõem as definições de certificados para este fim. Para mais informações, consulte Reference para as definições de mensagens AS2 em Azure Logic Apps.

Outros pipelines e protocolos como X12, EDIFACT e RosettaNet tratam da segurança noutros níveis, por exemplo, ao nível do transporte ou do adaptador. Estes acordos têm Definições de Envio e Receção que expõem definições para definir o formato, a estrutura e as regras de processamento da mensagem. Pipelines EDI como X12 e EDIFACT tratam da análise sintática, validação e confirmações. Para obter mais informações, consulte:

Pré-requisitos

  • Uma conta Azure e subscrição. Crie uma conta Azure gratuita.

  • Um recurso de conta de integração.

    Utiliza-se este recurso para definir e armazenar artefactos B2B para integração empresarial e fluxos de trabalho B2B.

    • Tanto a sua conta de integração como o recurso da aplicação lógica devem existir na mesma subscrição do Azure e na mesma região do Azure.

    • A sua conta de integração precisa de conter os seguintes artefactos B2B:

      • Dois ou mais parceiros comerciais, normalmente a sua organização e pelo menos outra organização.

      • Um acordo entre estes parceiros.

        • Cada acordo requer um parceiro anfitrião e um parceiro convidado. Normalmente, a sua organização é a parceira anfitriã, enquanto outra organização é a parceira convidada.

        • Ambos os parceiros devem usar o mesmo qualificador de identidade empresarial compatível que seja adequado ao tipo de acordo, por exemplo, AS2.

  • Os certificados das suas organizações parceiras convidadas e da organização parceira anfitriã. Pode utilizar os seguintes certificados:

    Tipo Descrição
    Certificado privado ou auto-assinado Um ficheiro de certificado (.pfx) que cria para tratar das seguintes tarefas para a sua organização:

    - Descifra as mensagens que o teu parceiro te envia.
    - Assina digitalmente as mensagens que envias ao teu parceiro.

    Este certificado exige que adicione uma chave privada correspondente a um cofre de chaves no Azure para desencriptar e assinar as suas mensagens. Para mais informações, continue a ler os pré-requisitos relevantes.
    Certidão pública Um ficheiro de certificado (.cer) para tratar das seguintes tarefas para o seu parceiro convidado:

    - Encripta as mensagens que envias ao teu parceiro.
    - Validar a assinatura digital nas mensagens que o seu parceiro lhe envia.

    Pode adquirir estes certificados junto de uma autoridade pública de certificação de internet (CA). Os certificados parceiros não requerem chaves privadas, por isso pode usar certificados apenas públicos para este fim.

    Para certificados privados, cumprir os seguintes requisitos:

    1. Em Azure Key Vault, cria um recurso de cofre de chaves, adiciona uma chave privada e obtém o nome da chave.

    2. Autorize o Azure Logic Apps a realizar operações no seu cofre de chaves.

      Para conceder acesso ao principal de serviço Azure Logic Apps, utilize o controlo de acesso baseado em papéis do Azure para gerir o acesso ao seu cofre de chaves. Para mais informações, consulte Fornecer acesso a chaves, certificados e segredos do Key Vault com controlo de acesso baseado em função do Azure.

      Nota

      Se usar políticas de acesso com o seu cofre de chaves, considere migrar para o modelo de permissões de controlo de acesso baseado em funções Azure.

      Se receber o erro "Autorize as logic apps a executar operações no Key Vault concedendo acesso à entidade de serviço '7cd684f4-8a78-49b0-91ec-6a35d38739ba' para as operações 'list', 'get', 'decrypt' e 'sign'.", o seu certificado pode não ter a propriedade Uso da Chave definida como Encapsulamento de Dados. Se sim, pode ser necessário recriar o certificado e definir a propriedade Key Usage para Data Cifrarment.

      Para verificar o certificado, abra-o, selecione a guia Detalhes e revise a propriedade Uso da chave .

    3. Na sua conta de integração, adicione um certificado público associado à chave privada no seu cofre de chaves.

  • O recurso e o fluxo de trabalho da aplicação Logic onde queres usar o certificado.

    • O fluxo de trabalho pode começar com qualquer gatilho que funcione melhor para o teu cenário.

    • Liga a tua conta de integração ao recurso da tua app Logic.

      Este link é obrigatório para aplicações de lógica de consumo, mas opcional para aplicações de lógica Standard. No entanto, a ligação permite partilhar a mesma conta de integração e artefactos B2B em várias aplicações de Lógica de Consumo e Padrão.

    Para obter mais informações, consulte:

Adicione o seu certificado privado

Para adicionar o certificado da sua organização à sua conta de integração, siga estes passos:

  1. Confirme que cumpriu os pré-requisitos para chaves privadas, incluindo adicionar o certificado público correspondente ao seu cofre de chaves.

  2. Na caixa de pesquisa do portal Azure, introduza integration accounts e depois selecione Contas de Integração.

  3. Na página de Contas de Integração , selecione a conta de integração onde quer adicionar o seu certificado.

  4. Na barra lateral da conta de integração, em Definições, selecione Certificados.

  5. Na barra de ferramentas da página de Certificados , selecione Adicionar.

  6. No painel Adicionar Certificado , forneça a seguinte informação:

    Propriedade Necessário Valor Descrição
    Nome Sim < nome-do-certificado> O nome do certificado.
    Tipo de certificado Sim Privado O tipo de certificado.
    Certificado Sim < nome-ficheiro-certificado> 1. Ao lado da caixa de Certificado , selecione o ícone da pasta.
    2. Encontre e selecione o ficheiro de certificado (.pfx) associado à chave privada no seu cofre de chaves e depois selecione Abrir.
    Grupo de Recursos Sim < integration-account-resource-group> O grupo de recursos da conta de integração.
    Key Vault Sim < chave-cofre-nome> O nome do cofre de chaves.
    Nome da chave Sim < nome-chave> O nome da chave privada.

    O exemplo seguinte mostra informações de certificados privados:

    Captura de ecrã mostra o portal Azure, a conta de integração, a barra de ferramentas da página de Certificados com Adicionar selecionado e o painel de Adicionar Certificado com detalhes privados do certificado.

  7. Quando terminar, selecione OK.

    Depois de Azure validar a sua seleção, o seu certificado aparece na página Certificates, por exemplo:

    Captura de ecrã que mostra a conta de integração e a página de Certificados com o certificado privado.

Adicionar certificado público parceiro

Para adicionar o certificado público do seu parceiro à sua conta de integração, siga estes passos:

  1. Na caixa de pesquisa do portal Azure, introduza integration accounts e depois selecione Contas de Integração.

  2. Na página de Contas de Integração , selecione a conta de integração onde quer adicionar o seu certificado.

  3. Na barra lateral da conta de integração, em Definições, selecione Certificados.

  4. Na barra de ferramentas da página de Certificados , selecione Adicionar.

  5. No painel Adicionar Certificado , forneça a seguinte informação:

    Propriedade Necessário Valor Descrição
    Nome Sim < nome-do-certificado> O nome do certificado.
    Tipo de certificado Sim Público O tipo de certificado.
    Certificado Sim < nome-ficheiro-certificado> 1. Ao lado da caixa de Certificado , selecione o ícone da pasta.
    2. Encontre e selecione o ficheiro de certificado (.cer) do seu parceiro e depois selecione Abrir.

    O exemplo seguinte mostra informações de exemplo sobre certificados públicos:

    Captura de ecrã mostra o portal Azure, a conta de integração, a barra de ferramentas da página de Certificados com Adicionar selecionado e o painel de Adicionar Certificado com detalhes públicos do certificado.

  6. Quando terminar, selecione OK.

    Depois de Azure validar a sua seleção, o seu certificado aparece na página Certificates, por exemplo:

    A captura de ecrã mostra a conta de integração e a página de Certificados com o certificado público.

Configurar certificados para acordos AS2

Depois de adicionar os certificados que pretende, os acordos AS2 exigem que especifique manualmente os certificados a usar nas Definições de Receção e Envio do acordo para assinar e encriptar mensagens.

Para concluir esta tarefa, siga estes passos:

  1. No portal Azure, abra a sua conta de integração.

  2. Na barra lateral da conta de integração, em Definições, selecione Acordos.

  3. Na página de Acordos , selecione o acordo AS2. Na barra de ferramentas da página de Acordos , selecione Editar.

  4. No painel de Editar, selecione as seguintes opções e forneça a informação necessária, com base na capacidade que pretende ativar:

    Painel de definições Descrição
    Configurações de recebimento - A mensagem deve ser assinada: Selecione esta opção e depois selecione o certificado para validar a assinatura do seu parceiro nas mensagens recebidas.

    - A mensagem deve estar encriptada: Selecione esta opção e depois selecione o certificado para desencriptar mensagens do seu parceiro.
    Configurações de envio - Ativar a assinatura de mensagens: Selecione esta opção e depois selecione o algoritmo e o certificado para assinar as mensagens que enviar.

    - Ativar encriptação de mensagens: Selecione esta opção e depois selecione o algoritmo e o certificado para encriptar mensagens que envia.

    Para mais informações, consulte Reference para as definições de mensagens AS2 em Azure Logic Apps.

Conteúdo relacionado

  • Last updated on