Aktivera och begära just-in-time-åtkomst för Azure Managed Applications
Användare av ditt hanterade program kan vara ovilliga att ge dig permanent åtkomst till den hanterade resursgruppen. Som utgivare av ett hanterat program kanske du föredrar att användarna vet exakt när du behöver komma åt de hanterade resurserna. För att ge konsumenterna större kontroll över att ge åtkomst till hanterade resurser tillhandahåller Azure Managed Applications en funktion som kallas just-in-time-åtkomst (JIT). MED JIT-åtkomst kan du begära förhöjd åtkomst till ett hanterat programs resurser för felsökning eller underhåll. Du har alltid skrivskyddad åtkomst till resurserna, men under en viss tidsperiod kan du få större åtkomst.
Arbetsflödet för att bevilja åtkomst är:
Du lägger till ett hanterat program på Marketplace och anger att JIT-åtkomst är tillgänglig.
Under distributionen aktiverar konsumenten JIT-åtkomst för den instansen av det hanterade programmet.
Efter distributionen kan konsumenten ändra inställningarna för JIT-åtkomst.
Du skickar en begäran om åtkomst när du behöver felsöka eller uppdatera de hanterade resurserna.
Konsumenten godkänner din begäran.
Den här artikeln fokuserar på de åtgärder som utgivare vidtar för att aktivera JIT-åtkomst och skicka begäranden. Mer information om hur du godkänner JIT-åtkomstbegäranden finns i Godkänna just-in-time-åtkomst i Azure Managed Applications.
Lägg till JIT-åtkomststeg i användargränssnittet
I filen CreateUiDefinition.json tar du med ett steg som gör att konsumenter kan aktivera JIT-åtkomst. Om du vill ha stöd för JIT-funktionen för ditt erbjudande lägger du till följande innehåll i filen CreateUiDefinition.json.
I "steg":
{
"name": "jitConfiguration",
"label": "JIT Configuration",
"subLabel": {
"preValidation": "Configure JIT settings for your application",
"postValidation": "Done"
},
"bladeTitle": "JIT Configuration",
"elements": [
{
"name": "jitConfigurationControl",
"type": "Microsoft.Solutions.JitConfigurator",
"label": "JIT Configuration"
}
]
}
I "outputs":
"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"
Aktivera JIT-åtkomst
När du skapar ditt erbjudande i Partnercenter kontrollerar du att du aktiverar JIT-åtkomst.
Logga in på portalen för den kommersiella marknadsplatsen i Partnercenter.
Om du vill ha vägledning om hur du skapar ett nytt hanterat program följer du stegen i Skapa ett Azure-programerbjudande.
På sidan Teknisk konfiguration markerar du kryssrutan Aktivera jit-åtkomst (just-in-time).
Du har lagt till ett JIT-konfigurationssteg i användargränssnittet och har aktiverat JIT-åtkomst i erbjudandet för den kommersiella marknadsplatsen. När konsumenter distribuerar ditt hanterade program kan de aktivera JIT-åtkomst för sin instans.
Begär åtkomst
När du behöver komma åt konsumentens hanterade resurser skickar du en begäran om en specifik roll, tid och varaktighet. Konsumenten måste sedan godkänna begäran.
Så här skickar du en JIT-åtkomstbegäran:
Välj JIT-åtkomst för det hanterade program som du behöver komma åt.
Välj Berättigade roller och välj Aktivera i kolumnen ACTION för den roll du vill ha.
I formuläret Aktivera roll väljer du en starttid och varaktighet för att din roll ska vara aktiv. Välj Aktivera för att skicka begäran.
Visa meddelandena för att se att den nya JIT-begäran har skickats till konsumenten.
Nu måste du vänta tills konsumenten godkänner din begäran.
Om du vill visa status för alla JIT-begäranden för ett hanterat program väljer du JIT-åtkomst och historik för begäranden.
Kända problem
Huvud-ID:t för kontot som begär JIT-åtkomst måste uttryckligen inkluderas i definitionen för det hanterade programmet. Kontot kan inte bara inkluderas via en grupp som anges i paketet. Den här begränsningen kommer att åtgärdas i en framtida version.
Nästa steg
Mer information om hur du godkänner begäranden om JIT-åtkomst finns i Godkänna just-in-time-åtkomst i Azure Managed Applications.