Włączanie i żądanie dostępu just in time dla aplikacji zarządzanych platformy Azure
Użytkownicy aplikacji zarządzanej mogą niechętnie przyznać ci stały dostęp do zarządzanej grupy zasobów. Wydawca aplikacji zarządzanej może preferować, aby użytkownicy wiedzieli dokładnie, kiedy musisz uzyskać dostęp do zasobów zarządzanych. Aby zapewnić konsumentom większą kontrolę nad udzielaniem dostępu do zasobów zarządzanych, usługa Azure Managed Applications udostępnia funkcję o nazwie dostęp just in time (JIT).
Dostęp JIT umożliwia zażądanie podwyższonego poziomu dostępu do zasobów aplikacji zarządzanej na potrzeby rozwiązywania problemów lub konserwacji. Zawsze masz dostęp tylko do odczytu do zasobów, ale w określonym przedziale czasu możesz mieć większy dostęp.
Przepływ pracy na potrzeby udzielania dostępu to:
Dodasz aplikację zarządzaną do witryny Marketplace i określ, że dostęp do trybu JIT jest dostępny.
Podczas wdrażania użytkownik umożliwia dostęp JIT dla tego wystąpienia aplikacji zarządzanej.
Po wdrożeniu użytkownik może zmienić ustawienia dostępu JIT.
Żądanie dostępu należy wysłać, gdy musisz rozwiązać problemy lub zaktualizować zarządzane zasoby.
Użytkownik zatwierdza twoje żądanie.
Ten artykuł koncentruje się na akcjach, które wydawcy podejmują, aby umożliwić dostęp do JIT i przesyłanie żądań. Aby dowiedzieć się więcej na temat zatwierdzania żądań dostępu JIT, zobacz Zatwierdzanie dostępu just in time w aplikacjach zarządzanych platformy Azure.
Dodawanie kroku dostępu JIT do interfejsu użytkownika
W pliku CreateUiDefinition.json dołącz krok umożliwiający użytkownikom dostęp JIT. Aby zapewnić obsługę funkcji JIT dla oferty, dodaj następującą zawartość do pliku CreateUiDefinition.json.
W sekcji "kroki":
{
"name": "jitConfiguration",
"label": "JIT Configuration",
"subLabel": {
"preValidation": "Configure JIT settings for your application",
"postValidation": "Done"
},
"bladeTitle": "JIT Configuration",
"elements": [
{
"name": "jitConfigurationControl",
"type": "Microsoft.Solutions.JitConfigurator",
"label": "JIT Configuration"
}
]
}
W obszarze "outputs":
"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"
Włączanie dostępu JIT
Podczas tworzenia oferty w Centrum partnerskim upewnij się, że włączono dostęp JIT.
Zaloguj się do portalu komercyjnej platformy handlowej w Centrum partnerskim.
Aby uzyskać wskazówki dotyczące tworzenia nowej aplikacji zarządzanej, wykonaj kroki opisane w artykule Tworzenie oferty aplikacji platformy Azure.
Na stronie Konfiguracja techniczna zaznacz pole wyboru Włącz dostęp just in time (JIT).
Dodano krok konfiguracji trybu JIT do interfejsu użytkownika i włączono dostęp JIT w ofercie komercyjnej platformy handlowej. Gdy użytkownicy wdrażają aplikację zarządzaną, mogą włączyć dostęp JIT dla swojego wystąpienia.
Żądanie dostępu
Jeśli musisz uzyskać dostęp do zasobów zarządzanych przez użytkownika, wysyłasz żądanie dotyczące określonej roli, czasu i czasu trwania. Użytkownik musi następnie zatwierdzić żądanie.
Aby wysłać żądanie dostępu JIT:
Wybierz pozycję Dostęp JIT dla aplikacji zarządzanej, do której chcesz uzyskać dostęp.
Wybierz pozycję Kwalifikujące się role, a następnie wybierz pozycję Aktywuj w kolumnie AKCJA dla żądanej roli.
W formularzu Aktywowanie roli wybierz godzinę rozpoczęcia i czas trwania, przez który twoja rola ma być aktywna. Wybierz pozycję Aktywuj , aby wysłać żądanie.
Wyświetl powiadomienia, aby zobaczyć, że nowe żądanie JIT zostało pomyślnie wysłane do odbiorcy.
Teraz musisz poczekać, aż odbiorca zatwierdzi żądanie.
Aby wyświetlić stan wszystkich żądań JIT dla aplikacji zarządzanej, wybierz pozycję Dostęp JIT i historia żądań.
Znane problemy
Identyfikator podmiotu zabezpieczeń konta żądającego dostępu JIT musi być jawnie uwzględniony w definicji aplikacji zarządzanej. Konto nie może być uwzględniane tylko za pośrednictwem grupy określonej w pakiecie. To ograniczenie zostanie naprawione w przyszłej wersji.
Następne kroki
Aby dowiedzieć się więcej na temat zatwierdzania żądań dostępu JIT, zobacz Zatwierdzanie dostępu just in time w aplikacjach zarządzanych platformy Azure.