Включение и запрос JIT-доступа для Управляемых приложений Azure
Потребители управляемого приложения не всегда охотно предоставляют постоянный доступ к группе управляемых ресурсов. Как издатель управляемого приложения вы можете сделать так, чтобы потребители точно знали, когда вам необходим доступ к управляемым ресурсам. Чтобы потребители могли лучше контролировать предоставление доступа к управляемым ресурсам, в Управляемых приложениях Azure предусмотрена функция, именуемая JIT-доступом. JIT-доступ позволяет запрашивать доступ с повышенными привилегиями к ресурсам управляемого приложения для устранения неполадок или обслуживания. Вы всегда имеете доступ к ресурсам только для чтения, но на определенный период времени у вас может быть доступ более высокого уровня.
Рабочий процесс для предоставления доступа:
Вы добавляете управляемое приложение в marketplace и указываете, что возможен JIT-доступ.
Во время развертывания потребитель включает JIT-доступ для этого экземпляра управляемого приложения.
После развертывания потребитель может изменить параметры JIT-доступа.
Вы отправляете запрос на доступ, когда вам требуется устранить неполадки или обновить управляемые ресурсы.
Потребитель утверждает ваш запрос.
В этой статье основное внимание уделяется действиям издателей для включения JIT-доступа и отправки запросов. Об утверждении запросов на JIT-доступ см. статье Утверждение JIT-доступа в Управляемых приложениях Azure.
Добавление шага JIT-доступа в пользовательский интерфейс
В файле CreateUiDefinition.json вставьте шаг, позволяющий потребителям включать JIT-доступ. Чтобы обеспечить поддержку JIT-функции для вашего предложения, добавьте следующее содержимое в файл CreateUiDefinition.json.
В разделе "steps":
{
"name": "jitConfiguration",
"label": "JIT Configuration",
"subLabel": {
"preValidation": "Configure JIT settings for your application",
"postValidation": "Done"
},
"bladeTitle": "JIT Configuration",
"elements": [
{
"name": "jitConfigurationControl",
"type": "Microsoft.Solutions.JitConfigurator",
"label": "JIT Configuration"
}
]
}
В разделе "outputs":
"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"
Включение JIT-доступа
При создании предложения в Центре партнеров убедитесь, что JIT-доступ включен.
Войдите на портал коммерческой платформы в Центре партнеров.
Инструкции по созданию нового управляемого приложения см. в разделе Создание предложения для приложения Azure.
На странице Техническая конфигурация установите флажок Включить JIT-доступ.
Вы добавили в пользовательский интерфейс шаг JIT-конфигурации и включили JIT-доступ в предложении коммерческой платформы. Когда потребители развертывают управляемое приложение, они могут включить JIT-доступ для своего экземпляра.
Запрос доступа
Если вам нужен доступ к управляемым ресурсам потребителя, вы отправляете запрос на определенную роль, время и длительность. Потребитель должен утвердить этот запрос.
Чтобы отправить запрос на JIT-доступ, выполните следующие действия.
Выберите JIT-доступ для управляемого приложения, к которому необходимо получить доступ.
Выберите Подходящие роли и щелкните Активировать в столбце ДЕЙСТВИЕ для нужной роли.
В форме Активация роли выберите время начала и длительность активации роли. Щелкните Активировать, чтобы отправить запрос.
Просмотрите уведомления, чтобы убедиться, что новый JIT-запрос успешно отправлен потребителю.
Теперь необходимо подождать, пока потребитель утвердит ваш запрос.
Чтобы просмотреть состояние всех JIT-запросов для управляемого приложения, выберите JIT-доступ и Журнал запросов.
Известные проблемы
ИДЕНТИФИКАТОР субъекта учетной записи, запрашивающей JIT-доступ, необходимо явно добавить в определение управляемого приложения. Учетную запись нельзя добавить только через группу, указанную в пакете. Это ограничение будет снято в будущих выпусках.
Дальнейшие действия
Об утверждении запросов на JIT-доступ см. статье Утверждение JIT-доступа в Управляемых приложениях Azure.