Ir para o conteúdo

Power Automate: Como Guardar Senhas e Chaves de API de Forma Segura⚓︎

Quando você cria um fluxo no Power Automate que precisa se conectar a outro serviço, como o ChatGPT, sempre surge a dúvida: onde colocar a "chave de API" ou a senha? Deixá-la como texto em uma variável comum expõe o dado para qualquer pessoa que edite o fluxo e o deixa registrado no histórico de execuções.

Felizmente, existe uma forma profissional e segura de resolver isso: usar o Azure Key Vault, um cofre de segredos da Microsoft.

Neste guia, vamos mostrar o passo a passo completo para você guardar uma informação sensível no Key Vault e usá-la no seu fluxo do Power Automate sem que ela fique exposta.

A Forma Correta de Conectar: Entidade de Serviço⚓︎

Para que o Power Automate possa "conversar" com seu cofre de forma segura e automatizada, usamos uma Entidade de Serviço. Pense nela como uma "identidade de robô" que damos para nossa automação, em vez de usar as credenciais de um ser humano. É essa identidade que receberá permissão para acessar o Key Vault.

Passo a Passo no Portal do Azure⚓︎

Nota Importante para o Automatiza.MG: A criação e configuração de itens no Microsoft Entra ID (antigo Azure AD) pode exigir permissões elevadas. No contexto da SEPLAG-MG, qualquer ação nesta plataforma deve ter prévia autorização e acompanhamento da equipe de TI.

1. Registrar a Aplicação (Criar a Identidade do Robô)⚓︎

  1. Acesse o Portal do Azure e navegue até Microsoft Entra ID.
  2. Vá para Registros de aplicativo e clique em + Novo registro.
  3. Dê um nome, como PowerAutomate-LeitorDeCofre. Clique em Registrar.

Após a criação, copie e guarde duas informações da tela de "Visão Geral": * ID do Aplicativo (cliente) -> Você usará no campo ID do Cliente. * ID do Diretório (locatário) -> Você usará no campo Locatário.

2. Criar a "Senha" do Robô (Duas Opções)⚓︎

A identidade do robô precisa de uma senha para se autenticar. Você pode escolher entre uma senha de texto (mais simples) ou um certificado (mais seguro).

Opção A (Mais Simples): Criar um Segredo do Cliente⚓︎

Esta é a forma mais direta, gerando uma senha de texto.

  1. Dentro do seu Registro de Aplicativo, vá para Certificados e segredos.
  2. Clique na aba Segredos do cliente e depois em + Novo segredo do cliente.
  3. Dê uma descrição (ex: "ChavePowerAutomate") e defina uma data de expiração.
  4. Clique em Adicionar. Uma nova chave será gerada.
  5. MUITO IMPORTANTE: Copie o valor do segredo (na coluna "Valor") imediatamente e guarde-o em um local seguro. Após você sair desta página, ele ficará oculto para sempre e não será possível recuperá-lo.

Opção B (Mais Avançada): Usar um Certificado⚓︎

Esta opção oferece um nível de segurança maior e pode ser um requisito em alguns ambientes. Ela substitui a senha de texto por um arquivo de certificado criptografado (.pfx). A criação deste arquivo geralmente é feita pela equipe de TI. Uma vez que você tenha o arquivo do certificado (.cer), basta fazer o upload na aba "Certificados".

3. Conceder Permissão de Acesso ao Cofre⚓︎

Por fim, vamos autorizar o robô a ler as informações no Key Vault.

  1. Vá até seu recurso Key Vault no Portal do Azure.
  2. Clique em Políticas de Acesso e em + Criar.
  3. Em Permissões de segredo, selecione Obter e Listar.
  4. Avance para Entidade de Segurança, pesquise pelo nome do seu registro de aplicativo (PowerAutomate-LeitorDeCofre) e selecione-o.
  5. Avance e clique em Criar.

Preenchendo a Conexão no Power Automate⚓︎

Ao adicionar a ação do Azure Key Vault, o Power Automate pedirá para você criar a conexão. Escolha a opção correspondente ao método de senha que você criou:

  • Se você usou a Opção A (Segredo do Cliente):

    • Locatário: Cole o ID do Diretório (locatário).
    • ID do Cliente: Cole o ID do Aplicativo (cliente).
    • Segredo do Cliente: Cole o Valor do segredo que você copiou.

  • Se você usou a Opção B (Certificado):

    • Você verá a tela que nos trouxe até aqui. Preencha os campos com os dados do certificado (.pfx e a senha dele) e os IDs de Locatário e Cliente.

Usando sua Variável Secreta no Fluxo⚓︎

Conexão pronta, agora é hora de usar sua chave de API ou senha guardada.

  1. Adicione a Ação "Obter segredo": No seu fluxo, adicione esta ação do conector Azure Key Vault. Selecione seu cofre e o nome do segredo que você guardou (ex: ChaveApiGpt).

  2. Use a Saída da Ação: Em uma ação seguinte (como uma chamada HTTP), use o conteúdo dinâmico "value" da ação "Obter segredo".

  3. O Mais Importante: Esconda o Valor nos Logs Para garantir que sua chave nunca apareça no histórico de execuções:

    • Clique nos três pontinhos (...) da sua ação "Obter segredo" e vá em Configurações. Ative "Proteger Entradas" e "Proteger Saídas".
    • Faça exatamente o mesmo para a ação que usa o segredo (ex: a ação HTTP).

Ao fazer isso, o histórico de execuções mostrará "Conteúdo não mostrado devido à configuração de segurança" no lugar da sua chave.

Problema resolvido! Sua variável está segura e seu fluxo, muito mais profissional. ✨

Comentários