Povolení a vyžádání přístupu za běhu pro spravované aplikace Azure

Uživatelé vaší spravované aplikace se nemusí zdráhat udělit trvalý přístup ke spravované skupině prostředků. Jako vydavatel spravované aplikace můžete chtít, aby uživatelé přesně věděli, kdy potřebujete získat přístup ke spravovaným prostředkům. Aby uživatelé měli větší kontrolu nad udělením přístupu ke spravovaným prostředkům, poskytuje spravované aplikace Azure funkci označovanou jako přístup za běhu (JIT).

Přístup JIT umožňuje požádat o přístup se zvýšenými oprávněními k prostředkům spravované aplikace pro účely řešení potíží nebo údržby. Vždy máte k prostředkům přístup jen pro čtení, ale pro určité časové období můžete mít větší přístup.

Pracovní postup pro udělení přístupu je následující:

1. Přidáte spravovanou aplikaci na marketplace a určíte, že přístup JIT je k dispozici.

2. Během nasazování uživatel povolí přístup JIT pro danou instanci spravované aplikace.

3. Po nasazení může uživatel změnit nastavení přístupu JIT.

4. Žádost o přístup odešlete, když potřebujete řešit potíže nebo aktualizovat spravované prostředky.

5. Příjemce vaši žádost schválí.

Tento článek se zaměřuje na akce, které vydavatelé provádějí, aby povolili přístup podle potřeby a odesílali žádosti. Informace o schvalování žádostí o přístup podle potřeby najdete v tématu Schválení přístupu za běhu ve spravovaných aplikacích Azure.

Přidání kroku přístupu JIT do uživatelského rozhraní

Do souboru CreateUiDefinition.json zahrňte krok, který uživatelům umožní povolit přístup JIT. Pokud chcete podporovat funkci JIT pro vaši nabídku, přidejte do souboru CreateUiDefinition.json následující obsah.

V části "steps":

{
  "name": "jitConfiguration",
  "label": "JIT Configuration",
  "subLabel": {
    "preValidation": "Configure JIT settings for your application",
    "postValidation": "Done"
  },
  "bladeTitle": "JIT Configuration",
  "elements": [
    {
      "name": "jitConfigurationControl",
      "type": "Microsoft.Solutions.JitConfigurator",
      "label": "JIT Configuration"
    }
  ]
}

Ve výstupech:

"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"

Povolení přístupu JIT

Při vytváření nabídky v Partnerském centru se ujistěte, že povolíte přístup JIT.

1. Přihlaste se k portálu komerčního marketplace v Partnerském centru.

2. Pokyny k vytvoření nové spravované aplikace najdete v postupu v tématu Vytvoření nabídky aplikací Azure.

3. Na stránce Technická konfigurace zaškrtněte políčko Povolit přístup za běhu (JIT).

   

Do uživatelského rozhraní jste přidali krok konfigurace JIT a povolili jste přístup JIT v nabídce komerčního marketplace. Když uživatelé nasadí spravovanou aplikaci, můžou pro svou instanci zapnout přístup JIT.

Vyžádat si přístup

Pokud potřebujete získat přístup ke spravovaným prostředkům příjemce, odešlete žádost o konkrétní roli, čas a dobu trvání. Příjemce pak musí žádost schválit.

Odeslání žádosti o přístup podle potřeby:

1. Vyberte JIT Access pro spravovanou aplikaci, ke které potřebujete přístup.

2. Vyberte Oprávněné role a u požadované role vyberte Aktivovat ve sloupci AKCE.

   

3. Ve formuláři Aktivovat roli vyberte čas spuštění a dobu trvání, aby byla vaše role aktivní. Výběrem možnosti Aktivovat odešlete požadavek.

   

4. Podívejte se na oznámení a podívejte se, že se nová žádost JIT příjemci úspěšně odeslala.

   

   Teď musíte počkat, až příjemce vaši žádost schválí.

5. Pokud chcete zobrazit stav všech žádostí JIT pro spravovanou aplikaci, vyberte JIT Access a Request History.

   

Známé problémy

Id objektu zabezpečení účtu žádajícího o přístup PODLE POTŘEBY musí být explicitně zahrnuto v definici spravované aplikace. Účet nelze zahrnout pouze prostřednictvím skupiny, která je zadaná v balíčku. Toto omezení bude opraveno v budoucí verzi.

Další kroky

Další informace o schvalování žádostí o přístup podle potřeby najdete v tématu Schválení přístupu za běhu ve spravovaných aplikacích Azure.