啟用並要求 Azure 受控應用程式的 Just-In-Time 存取

受控應用程式的取用者可能不願意授與您受控資源群組的永久存取權。 如果您是受控應用程式的發行者,您可能希望取用者能夠確切知道您何時需要存取受控資源。 為了讓取用者更能控制受控資源的存取權授與,Azure 受控應用程式提供稱為 Just-In-Time (JIT) 存取的功能。 JIT 存取可讓您對受控應用程式的資源要求更高的存取權,以進行疑難排解或維護。 您一律會擁有資源的唯讀存取權,但在特定期間內,您可以擁有更高的存取權。

授與存取權的工作流程為:

  1. 您將受控應用程式新增至市集,並指定可使用 JIT 存取。

  2. 在部署期間,取用者會啟用該受控應用程式執行個體的 JIT 存取。

  3. 部署之後,取用者可以變更 JIT 存取的設定。

  4. 當您需要針對受控資源進行疑難排解或更新時,您可以傳送要求以進行存取。

  5. 取用者核准您的要求。

本文著重在發行者啟用 JIT 存取和提交要求所採取的動作。 若要了解如何核准 JIT 存取要求,請參閱 核准 Azure 受控應用程式中的 Just-In-Time 存取

將 JIT 存取步驟新增至 UI

在您的 CreateUiDefinition.json 檔案中,包括可讓取用者啟用 JIT 存取的步驟。 若要為您的供應項目支援 JIT 功能,請將下列內容新增至您的 CreateUiDefinition.json 檔案。

在「步驟」中:

{
    "name": "jitConfiguration",
    "label": "JIT Configuration",
    "subLabel": {
        "preValidation": "Configure JIT settings for your application",
        "postValidation": "Done"
    },
    "bladeTitle": "JIT Configuration",
    "elements": [
        {
          "name": "jitConfigurationControl",
          "type": "Microsoft.Solutions.JitConfigurator",
          "label": "JIT Configuration"
        }
    ]
}

在「輸出」中:

"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"

啟用 JIT 存取

在合作夥伴中心中建立供應項目時,請務必啟用 JIT 存取。

  1. 登入合作夥伴中心的商業市集入口網站。

  2. 如需建立新受控應用程式的指引,請遵循建立 Azure 應用程式供應項目中的步驟。

  3. 在 [技術設定] 頁面上,選取 [啟用 Just-In-Time (JIT) 存取] 核取方塊。

    Enable just-in-time access

您已在 UI 中新增 JIT 設定步驟,並已在商業市集供應項目中啟用 JIT 存取權。 當取用者部署您的受控應用程式時,他們便可以開啟其執行個體的 JIT 存取

要求存取

當您需要存取取用者的受控資源時,請傳送特定角色、時間和持續時間的要求。 接下來,便須由取用者核准要求。

若要傳送 JIT 存取要求:

  1. 針對您需要存取的受控應用程式,選取 [JIT 存取]

  2. 選取 [符合資格的角色],然後在 [動作] 資料行中針對您想要的角色選取 [啟用]

    Activate request for access

  3. 在 [啟用角色] 表單上,選取欲啟用角色的開始時間和持續時間。 選取 [啟動] 以傳送要求。

    Activate access

  4. 檢視通知,以查看新的 JIT 要求是否已成功傳送給取用者。

    Notification

    現在,您必須等待取用者核准您的要求

  5. 若要檢視受控應用程式所有 JIT 要求的狀態,請選取 [JIT 存取] 和 [要求記錄]

    View status

已知問題

要求 JIT 存取的帳戶主體識別碼必須明確包括在受控應用程式定義中。 不能僅透過封裝中所指定的群組來包括該帳戶。 未來的版本將會移除這項限制。

下一步

若要了解如何核准 JIT 存取的要求,請參閱 核准 Azure 受控應用程式中的 Just-In-Time 存取