Condividi tramite

Abilitare e richiedere l'accesso JIT per le applicazioni gestite di Azure

  • Articolo

Gli utenti dell'applicazione gestita potrebbero essere riluttanti a concedere l'accesso permanente al gruppo di risorse gestite. È possibile che l'editore di un'applicazione gestita preferisca che gli utenti sappiano esattamente quando deve poter accedere alle risorse gestite. Per garantire agli utenti un maggiore controllo sugli accessi alle risorse gestite, le applicazioni gestite di Azure offrono una funzionalità denominata accesso JIT (Just-In-Time).

L'accesso JIT consente di richiedere l'accesso con privilegi elevati alle risorse di un'applicazione gestita per la risoluzione dei problemi o la manutenzione. L'accesso alle risorse è sempre in sola lettura, ma per un periodo di tempo specifico è possibile richiedere un accesso di livello maggiore.

Il flusso di lavoro per concedere l'accesso è:

  1. Aggiungere un'applicazione gestita al marketplace e specificare che l'accesso JIT è disponibile.

  2. Durante la distribuzione, l'utente abilita l'accesso JIT per tale istanza dell'applicazione gestita.

  3. Dopo la distribuzione, l'utente può modificare le impostazioni per l'accesso JIT.

  4. Quando è necessario risolvere i problemi relativi alle risorse gestite o aggiornarle, inviare una richiesta di accesso.

  5. L'utente approva la richiesta.

Questo articolo descrive le azioni eseguite dagli editori per abilitare l'accesso JIT e inviare le richieste. Per informazioni sull'approvazione delle richieste di accesso JIT, vedere Approvare l'accesso JIT nelle applicazioni gestite di Azure.

Aggiungere il passaggio di accesso JIT all'interfaccia utente

Nel file CreateUiDefinition.json includere un passaggio che consenta agli utenti di abilitare l'accesso JIT. Per supportare la funzionalità JIT per l'offerta, aggiungere il contenuto seguente al file CreateUiDefinition.json.

In "steps":

{
  "name": "jitConfiguration",
  "label": "JIT Configuration",
  "subLabel": {
    "preValidation": "Configure JIT settings for your application",
    "postValidation": "Done"
  },
  "bladeTitle": "JIT Configuration",
  "elements": [
    {
      "name": "jitConfigurationControl",
      "type": "Microsoft.Solutions.JitConfigurator",
      "label": "JIT Configuration"
    }
  ]
}

In "outputs":

"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"

Abilitare l'accesso JIT

Quando si crea l'offerta nel Centro per i partner, assicurarsi di abilitare l'accesso JIT.

  1. Accedere al portale del marketplace commerciale nel Centro per i partner.

  2. Per indicazioni sulla creazione di una nuova applicazione gestita, eseguire i passaggi descritti in Creare un'offerta di applicazione Azure.

  3. Nella pagina Configurazione tecnica selezionare la casella di controllo Abilita accesso JIT.

    Abilitare l'accesso JIT alla VM

È stato aggiunto un passaggio di configurazione JIT all'interfaccia utente ed è stato abilitato l'accesso JIT nell'offerta del marketplace commerciale. Quando gli utenti distribuiscono l'applicazione gestita, possono attivare l'accesso JIT per la loro istanza.

Richiedere l'accesso

Quando è necessario accedere alle risorse gestite dell'utente, si invia una richiesta per un ruolo, un'ora e una durata specifici. L'utente deve quindi approvare la richiesta.

Per inviare una richiesta di accesso JIT:

  1. Selezionare Accesso JIT per l'applicazione gestita a cui è necessario accedere.

  2. Selezionare Ruoli idonei e quindi Attiva nella colonna AZIONE per il ruolo desiderato.

    Attivare la richiesta di accesso

  3. Nel modulo Attiva ruolo selezionare un'ora di inizio e una durata per il ruolo da attivare. Selezionare Attiva per inviare la richiesta.

    Attivare l'accesso

  4. Visualizzare le notifiche per verificare che la nuova richiesta JIT sia stata inviata correttamente all'utente.

    Notifica

    È ora necessario attendere che l'utente approvi la richiesta.

  5. Per visualizzare lo stato di tutte le richieste JIT per un'applicazione gestita, selezionare Accesso JIT e Cronologia richieste.

    Visualizzare lo stato.

Problemi noti

L'ID dell'entità di sicurezza dell'account che richiede l'accesso JIT deve essere incluso in modo esplicito nella definizione dell'applicazione gestita. L'account può essere incluso solo tramite un gruppo specificato nel pacchetto. Questa limitazione verrà corretta in una versione futura.

Passaggi successivi

Per informazioni sull'approvazione delle richieste di accesso JIT, vedere Approvare l'accesso JIT nelle applicazioni gestite di Azure.