Povolení a vyžádání přístupu za běhu pro spravované aplikace Azure
Uživatelé vaší spravované aplikace se můžou zdráhat udělit vám trvalý přístup ke spravované skupině prostředků. Jako vydavatel spravované aplikace můžete dát přednost tomu, aby uživatelé přesně věděli, kdy ke spravovaným prostředkům potřebujete přístup. Aby měli uživatelé větší kontrolu nad udělením přístupu ke spravovaným prostředkům, poskytují spravované aplikace Azure funkci označovanou jako přístup za běhu (JIT). Přístup JIT umožňuje požádat o přístup se zvýšenými oprávněními k prostředkům spravované aplikace pro účely řešení potíží nebo údržby. K prostředkům máte vždy přístup jen pro čtení, ale pro určité časové období můžete mít větší přístup.
Pracovní postup pro udělení přístupu je následující:
Přidáte spravovanou aplikaci na marketplace a určíte, že přístup JIT je k dispozici.
Během nasazení uživatel povolí přístup JIT pro danou instanci spravované aplikace.
Po nasazení může příjemce změnit nastavení přístupu PODLE POTŘEBY.
Žádost o přístup odešlete, když potřebujete vyřešit potíže se spravovanými prostředky nebo je aktualizovat.
Příjemce vaši žádost schválí.
Tento článek se zaměřuje na akce, které vydavatelé provádějí, aby umožnili přístup jit a odesílali žádosti. Informace o schvalování žádostí o přístup podle potřeby najdete v tématu Schválení přístupu za běhu ve spravovaných aplikacích Azure.
Přidání kroku přístupu JIT do uživatelského rozhraní
Do souboru CreateUiDefinition.json přidejte krok, který uživatelům umožní povolit přístup JIT. Pokud chcete u své nabídky podporovat možnost JIT, přidejte do souboru CreateUiDefinition.json následující obsah.
V "steps" (kroky):
{
"name": "jitConfiguration",
"label": "JIT Configuration",
"subLabel": {
"preValidation": "Configure JIT settings for your application",
"postValidation": "Done"
},
"bladeTitle": "JIT Configuration",
"elements": [
{
"name": "jitConfigurationControl",
"type": "Microsoft.Solutions.JitConfigurator",
"label": "JIT Configuration"
}
]
}
V "outputs":
"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"
Povolení přístupu JIT
Při vytváření nabídky v Partnerském centru nezapomeňte povolit přístup JIT.
Přihlaste se k portálu komerčního marketplace v Partnerském centru.
Pokyny k vytvoření nové spravované aplikace najdete v tématu Vytvoření nabídky aplikací Azure.
Na stránce Technická konfigurace zaškrtněte políčko Povolit přístup za běhu (JIT).
Přidali jste do uživatelského rozhraní krok konfigurace JIT a povolili jste přístup podle potřeby v nabídce komerčního marketplace. Když uživatelé nasadí vaši spravovanou aplikaci, můžou pro svou instanci zapnout přístup PODLET.
Vyžádání přístup
Když potřebujete získat přístup ke spravovaným prostředkům příjemce, odešlete žádost o určitou roli, čas a dobu trvání. Příjemce pak musí žádost schválit.
Odeslání žádosti o přístup PODLE POTŘEBY:
Vyberte Přístup PODLE POTŘEBY pro spravovanou aplikaci, ke které potřebujete přístup.
Vyberte Oprávněné role a u požadované role ve sloupci AKCE vyberte Aktivovat .
Ve formuláři Aktivovat roli vyberte počáteční čas a dobu trvání, po které má být vaše role aktivní. Výběrem možnosti Aktivovat žádost odešlete.
Prohlédněte si oznámení, abyste viděli, že se nový požadavek JIT úspěšně odeslal příjemci.
Teď musíte počkat, až příjemce vaši žádost schválí.
Pokud chcete zobrazit stav všech požadavků JIT pro spravovanou aplikaci, vyberte Přístup podle potřeby a Historie požadavků.
Známé problémy
ID objektu zabezpečení účtu, který žádá o přístup podle potřeby, musí být explicitně zahrnuto v definici spravované aplikace. Účet není možné zahrnout jenom prostřednictvím skupiny, která je zadaná v balíčku. Toto omezení bude opraveno v budoucí verzi.
Další kroky
Informace o schvalování žádostí o přístup podle potřeby najdete v tématu Schválení přístupu za běhu ve spravovaných aplikacích Azure.