Activer et demander l’accès juste à temps pour les applications managées Azure

  • Article

Les consommateurs de votre application managée être réticents à vous accorder un accès permanent au groupe de ressources managé. En tant qu'éditeur d'une application managée, vous préférerez peut-être que les consommateurs sachent précisément quand vous avez besoin d'accéder aux ressources managées. Pour donner aux consommateurs un plus grand contrôle sur l'octroi de l'accès aux ressources managées, le service Applications managées Azure propose une fonctionnalité appelée accès juste-à-temps (JIT). L'accès JIT vous permet de demander un accès élevé aux ressources d'une application managée à des fins de résolution des problèmes ou de maintenance. Vous bénéficiez toujours d'un accès en lecture seule aux ressources, mais pour une durée spécifique, votre accès est étendu.

Voici la procédure à suivre pour accorder l’accès :

  1. Vous ajoutez une application managée à la Place de marché et précisez que l’accès JAT est disponible.

  2. Pendant le déploiement, le consommateur active l’accès JAT pour cette instance de l’application managée.

  3. Après le déploiement, le consommateur peut modifier les paramètres d’accès JAT.

  4. Vous envoyez une requête d’accès lorsqu'il vous faut détecter un problème ou mettre à jour les ressources managées.

  5. Le consommateur approuve votre requête.

Le présent article porte sur les mesures prises par les éditeurs pour permettre l’accès JAT et soumettre des requêtes. Pour en savoir plus sur l'approbation des requêtes d'accès JIT, consultez Approuver l'accès juste-à-temps dans les applications managées Azure.

Ajouter l’étape d’accès JIT à l’interface utilisateur

Dans votre fichier CreateUiDefinition.json, incluez une étape qui permet aux consommateurs d'activer l'accès JIT. Pour prendre en charge la fonctionnalité JIT dans votre offre, ajoutez le contenu suivant à votre fichier CreateUiDefinition.json.

Dans « steps » :

{
    "name": "jitConfiguration",
    "label": "JIT Configuration",
    "subLabel": {
        "preValidation": "Configure JIT settings for your application",
        "postValidation": "Done"
    },
    "bladeTitle": "JIT Configuration",
    "elements": [
        {
          "name": "jitConfigurationControl",
          "type": "Microsoft.Solutions.JitConfigurator",
          "label": "JIT Configuration"
        }
    ]
}

Dans « outputs » :

"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"

Activer l’accès JIT

Lors de la création de votre offre dans l'Espace partenaires, veillez à activer l'accès JIT.

  1. Connectez-vous au portail Place de marché commerciale de l'Espace partenaires.

  2. Pour créer une application managée, suivez la procédure décrite dans Créer une offre d'application Azure.

  3. Sur la page Configuration technique, cochez la case Activer l'accès juste à temps (JIT) .

    Activer l’accès juste-à-temps

Vous avez ajouté une étape de configuration JIT à votre interface utilisateur et activé l'accès JIT dans l'offre de la Place de marché commerciale. Lorsque les consommateurs déploient votre application managée, ils peuvent activer l’accès JIT pour leur instance.

Demander l'accès

Lorsque vous avez besoin d'accéder aux ressources managées du consommateur, vous envoyez une requête portant sur un rôle, une heure et une durée spécifiques. Le consommateur doit ensuite approuver votre requête.

Pour envoyer une requête d’accès JIT :

  1. Sélectionnez Accès JIT pour l’application managée à laquelle vous souhaitez accéder.

  2. Sélectionnez Rôles éligibles, puis Activer dans la colonne ACTION du rôle souhaité.

    Activer la requête d’accès

  3. Dans le formulaire Activer le rôle , sélectionnez une heure de début et la durée pendant laquelle votre rôle sera actif. Sélectionnez Activer pour envoyer la requête.

    Activer l'accès

  4. Afficher les notifications pour vérifier que la nouvelle requête JIT a bien été envoyée au consommateur.

    Notification

    Vous devez maintenant attendre que le consommateur approuve votre requête.

  5. Pour afficher l’état de toutes les requêtes JIT d'une application managée, sélectionnez Accès JIT et Historique des requêtes.

    Afficher l’état

Problèmes connus

L’ID du principal du compte qui demande l’accès JIT doit être explicitement inclus dans la définition de l'application managée. Le compte ne peut pas être inclus via un groupe spécifié dans le package. Cette limite sera corrigée dans une prochaine version.

Étapes suivantes

Pour en savoir plus sur l'approbation des requêtes d'accès JIT, consultez Approuver l'accès juste-à-temps dans les applications managées Azure.