Aktivieren und Anfordern des Just-In-time-Zugriffs für Azure Managed Applications

Consumer Ihrer verwalteten Anwendung scheuen sich möglicherweise, Ihnen permanenten Zugriff auf die Gruppe der verwalteten Ressourcen zu gewähren. Als Herausgeber einer verwalteten Anwendung bevorzugen Sie es möglicherweise, dass die Consumer genau wissen, wann Sie auf die verwalteten Ressourcen zugreifen müssen. Damit Consumer eine umfassendere Kontrolle über die Erteilung des Zugriffs auf verwaltete Ressourcen haben, bietet Azure Managed Applications ein Feature namens Just-In-Time-Zugriff (JIT). Der JIT-Zugriff ermöglicht es Ihnen, erhöhte Zugriffsrechte auf die Ressourcen einer verwalteten Anwendung zur Problembehandlung oder Wartung anzufordern. Sie verfügen immer über Lesezugriff auf die Ressourcen, aber für einen bestimmten Zeitraum können Sie über erhöhte Zugriffsrechte verfügen.

Der Workflow für die Erteilung des Zugriffs ist:

  1. Sie fügen dem Marketplace eine verwaltete Anwendung hinzu und geben an, dass der JIT-Zugriff verfügbar ist.

  2. Während der Bereitstellung aktiviert der Consumer den JIT-Zugriff für diese Instanz der verwalteten Anwendung.

  3. Nach der Bereitstellung kann der Consumer die Einstellungen für den JIT-Zugriff ändern.

  4. Sie senden eine Zugriffsanforderung, wenn Sie für die verwalteten Ressourcen die Problembehandlung oder Aktualisierung durchführen müssen.

  5. Der Consumer genehmigt Ihre Anforderung.

Dieser Artikel konzentriert sich auf die Maßnahmen, die Herausgeber durchführen, um den JIT-Zugriff zu ermöglichen und Anforderungen zu übermitteln. Informationen zum Genehmigen von JIT-Zugriffsanforderungen finden Sie unter Genehmigen des Just-In-time-Zugriffs in Azure Managed Applications.

Hinzufügen des Schritts für den JIT-Zugriff zur Benutzeroberfläche

Nehmen Sie in die Datei „CreateUiDefinition.json“ einen Schritt auf, in dem Consumer JIT-Zugriff aktivieren können. Damit Ihr Angebot die JIT-Funktionen unterstützt, fügen Sie den folgenden Inhalt zu Ihrer Datei „CreateUiDefinition.json“ hinzu:

Unter „steps“ (Schritte):

{
    "name": "jitConfiguration",
    "label": "JIT Configuration",
    "subLabel": {
        "preValidation": "Configure JIT settings for your application",
        "postValidation": "Done"
    },
    "bladeTitle": "JIT Configuration",
    "elements": [
        {
          "name": "jitConfigurationControl",
          "type": "Microsoft.Solutions.JitConfigurator",
          "label": "JIT Configuration"
        }
    ]
}

Unter „outputs“ (Ausgaben):

"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"

Aktivieren des JIT-Zugriffs

Aktivieren Sie beim Erstellen Ihres Angebots in Partner Center unbedingt JIT-Zugriff.

  1. Melden Sie sich in Partner Center beim kommerziellen Marketplace-Portal an.

  2. Anleitungen zum Erstellen einer neuen verwalteten Anwendung finden Sie unter Erstellen eines Azure-Anwendungsangebots.

  3. Aktivieren Sie auf der Seite Technische Konfiguration das Kontrollkästchen Just-in-Time-Zugriff (JIT) aktivieren.

    Aktivieren des Just-in-Time-Zugriffs

Sie haben Ihrer Benutzeroberfläche einen JIT-Konfigurationsschritt hinzugefügt und den JIT-Zugriff für das Angebot im kommerziellen Marketplace aktiviert. Wenn Consumer Ihre verwaltete Anwendung bereitstellen, können sie den JIT-Zugriff für ihre Instanz aktivieren.

Zugriff anfordern

Wenn Sie auf die verwalteten Ressourcen des Consumers zugreifen müssen, senden Sie eine Anforderung für eine bestimmte Rolle, Zeit und Dauer. Der Consumer muss dann die Anforderung genehmigen.

So senden Sie eine JIT-Zugriffsanforderung

  1. Wählen Sie JIT-Zugriff für die verwaltete Anwendung, auf die Sie zugreifen müssen.

  2. Wählen Sie Berechtigte Rollen und dann Aktivieren in der Spalte „AKTION“ für die gewünschte Rolle aus.

    Aktivieren der Zugriffsanforderung

  3. Wählen Sie im Formular Rolle aktivieren eine Startzeit und Dauer aus, für die Ihre Rolle aktiv ist. Wählen Sie Aktivieren aus, um die Anforderung zu senden.

    Aktivieren des Zugriffs

  4. Überprüfen Sie die Benachrichtigungen, um sicherzustellen, dass die neue JIT-Anforderung erfolgreich an den Consumer gesendet wurde.

    Benachrichtigung

    Jetzt müssen Sie warten, bis der Consumer Ihre Anforderung genehmigt hat.

  5. Um den Status aller JIT-Anforderungen für eine verwaltete Anwendung anzuzeigen, wählen Sie JIT-Zugriff und Anforderungsverlauf aus.

    Anzeigen des Status

Bekannte Probleme

Die Prinzipal-ID des Kontos, das den JIT-Zugriff anfordert, muss in der Definition der verwalteten Anwendung explizit angegeben werden. Das Konto kann nicht nur über eine Gruppe einbezogen werden, die im Paket angegeben ist. Diese Einschränkung wird in einer späteren Version behoben.

Nächste Schritte

Informationen zum Genehmigen von JIT-Zugriffsanforderungen finden Sie unter Genehmigen des Just-In-time-Zugriffs in Azure Managed Applications.