Abilitare e richiedere l'accesso JUST-In-Time per le applicazioni gestite di Azure

  • Articolo

I consumer dell'applicazione gestita potrebbero essere riluttanti a concedere l'accesso permanente al gruppo di risorse gestite. In qualità di editore di un'applicazione gestita, è preferibile che gli utenti conoscano esattamente quando è necessario accedere alle risorse gestite. Per offrire ai consumer un maggiore controllo sulla concessione dell'accesso alle risorse gestite, Le applicazioni gestite di Azure offrono una funzionalità denominata accesso JIT (Just-In-Time). L'accesso JIT consente di richiedere l'accesso con privilegi elevati alle risorse di un'applicazione gestita per la risoluzione dei problemi o la manutenzione. L'accesso alle risorse è sempre in sola lettura, ma per un periodo di tempo specifico è possibile richiedere un accesso di livello maggiore.

Il flusso di lavoro per concedere l'accesso è:

  1. Si aggiunge un'applicazione gestita al marketplace e si specifica che l'accesso JIT è disponibile.

  2. Durante la distribuzione, il consumer abilita l'accesso JIT per l'istanza dell'applicazione gestita.

  3. Dopo la distribuzione, il consumer può modificare le impostazioni per l'accesso JIT.

  4. Si invia una richiesta di accesso quando è necessario risolvere i problemi o aggiornare le risorse gestite.

  5. L'utente approva la richiesta.

Questo articolo è incentrato sulle azioni eseguite dagli editori per abilitare l'accesso JIT e inviare richieste. Per informazioni sull'approvazione delle richieste di accesso JIT, vedere Approvare l'accesso JIT nelle applicazioni gestite di Azure.

Aggiungere il passaggio di accesso JIT all'interfaccia utente

Nel file CreateUiDefinition.json includere un passaggio che consente ai consumer di abilitare l'accesso JIT. Per supportare la funzionalità JIT per l'offerta, aggiungere il contenuto seguente al file CreateUiDefinition.json.

In "steps":

{
    "name": "jitConfiguration",
    "label": "JIT Configuration",
    "subLabel": {
        "preValidation": "Configure JIT settings for your application",
        "postValidation": "Done"
    },
    "bladeTitle": "JIT Configuration",
    "elements": [
        {
          "name": "jitConfigurationControl",
          "type": "Microsoft.Solutions.JitConfigurator",
          "label": "JIT Configuration"
        }
    ]
}

In "outputs":

"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"

Abilitare l'accesso JIT

Quando si crea l'offerta nel Centro per i partner, assicurarsi di abilitare l'accesso JIT.

  1. Accedere al portale del Marketplace commerciale nel Centro per i partner.

  2. Per indicazioni sulla creazione di una nuova applicazione gestita, seguire la procedura descritta in Creare un'offerta di applicazione Azure.

  3. Nella pagina Configurazione tecnica selezionare la casella di controllo Abilita accesso JIT (Just-In-Time ).

    Abilitare l'accesso JIT alla VM

È stato aggiunto un passaggio di configurazione JIT all'interfaccia utente e si è abilitato l'accesso JIT nell'offerta del marketplace commerciale. Quando i consumer distribuiscono l'applicazione gestita, possono attivare l'accesso JIT per l'istanza.

Richiedere l'accesso

Quando è necessario accedere alle risorse gestite del consumer, inviare una richiesta per un ruolo, un tempo e una durata specifici. Il consumer deve quindi approvare la richiesta.

Per inviare una richiesta di accesso JIT:

  1. Selezionare JIT Access (Accesso JIT ) per l'applicazione gestita a cui è necessario accedere.

  2. Selezionare Ruoli idonei e selezionare Attiva nella colonna AZIONE per il ruolo desiderato.

    Attivare la richiesta di accesso

  3. Nel modulo Attiva ruolo selezionare un'ora di inizio e una durata per il ruolo da attivare. Selezionare Attiva per inviare la richiesta.

    Attivare l'accesso

  4. Visualizzare le notifiche per verificare che la nuova richiesta JIT sia stata inviata correttamente al consumer.

    Notifica

    A questo momento, è necessario attendere che l'utente approvi la richiesta.

  5. Per visualizzare lo stato di tutte le richieste JIT per un'applicazione gestita, selezionare Accesso JIT e Cronologia richieste.

    Visualizzare lo stato

Problemi noti

L'ID principale dell'account che richiede l'accesso JIT deve essere incluso in modo esplicito nella definizione dell'applicazione gestita. L'account non può essere incluso solo tramite un gruppo specificato nel pacchetto. Questa limitazione verrà risolta in una versione futura.

Passaggi successivi

Per informazioni sull'approvazione delle richieste di accesso JIT, vedere Approvare l'accesso JIT nelle applicazioni gestite di Azure.