Habilitación y solicitud de acceso Just-In-Time para Azure Managed Applications

Los consumidores de la aplicación administrada pueden ser reacios a concederle acceso permanente al grupo de recursos administrados. Como editor de una aplicación administrada, puede establecer que los consumidores sepan exactamente cuando necesita acceder a los recursos administrados. Para ofrecer a los consumidores mayor control sobre la concesión de acceso a los recursos administrados, Azure Managed Applications proporciona una característica denominada acceso Just-In-Time (JIT).

El acceso JIT permite solicitar acceso con privilegios elevados a recursos de la aplicación administrada con fines de solución de problemas o mantenimiento. Siempre tendrá acceso de solo lectura a los recursos, pero puede tener mayor acceso durante un período de tiempo específico.

El flujo de trabajo de concesión de acceso es el siguiente:

  1. Agrega una aplicación administrada en Marketplace y especifica que el acceso JIT esté disponible.

  2. Durante la implementación, el consumidor permite el acceso JIT a esa instancia de la aplicación administrada.

  3. Después de la implementación, el consumidor puede cambiar la configuración del acceso JIT.

  4. Envía una solicitud de acceso cuando se necesita para solucionar problemas o actualizar los recursos administrados.

  5. El consumidor aprueba la solicitud.

Este artículo se centra en las acciones que los editores llevan a cabo para habilitar el acceso JIT y enviar solicitudes. Para obtener información acerca de la aprobación de solicitudes de acceso JIT, consulte el tema sobre la aprobación del acceso Just-In-Time en Azure Managed Applications.

Agregar el paso de acceso JIT a la interfaz de usuario

En el archivo CreateUiDefinition.json, incluya un paso que permita a los consumidores habilitar el acceso JIT. Para admitir la funcionalidad JIT para la oferta, agregue el siguiente contenido al archivo CreateUiDefinition.json.

En "steps":

{
  "name": "jitConfiguration",
  "label": "JIT Configuration",
  "subLabel": {
    "preValidation": "Configure JIT settings for your application",
    "postValidation": "Done"
  },
  "bladeTitle": "JIT Configuration",
  "elements": [
    {
      "name": "jitConfigurationControl",
      "type": "Microsoft.Solutions.JitConfigurator",
      "label": "JIT Configuration"
    }
  ]
}

En "outputs":

"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"

Habilitar el acceso JIT

Al crear la oferta en el Centro de partners, asegúrese de habilitar el acceso JIT.

  1. Inicie sesión en el portal de Marketplace comercial del Centro de partners.

  2. Para obtener instrucciones sobre cómo crear una nueva aplicación administrada, siga los pasos descritos en Creación de una oferta de aplicación de Azure.

  3. En la página Configuración técnica, seleccione la casilla Habilitar acceso Just-In-Time (JIT) .

    Habilitar acceso Just-In-Time

Ha agregado un paso de configuración JIT a la interfaz de usuario y habilitado el acceso JIT en la oferta del marketplace comercial. Cuando los consumidores implementen la aplicación administrada, pueden activar el acceso JIT para su instancia.

Solicitar acceso

Cuando necesite acceder a los recursos administrados del consumidor, envíe una solicitud para un rol, una hora y una duración específicos. A continuación, el consumidor debe aprobar la solicitud.

Para enviar una solicitud de acceso JIT:

  1. Seleccione Acceso de JIT para la aplicación administrada a la que necesita acceder.

  2. Seleccione Roles elegibles y, a continuación, Activar en la columna ACCIÓN del rol deseado.

    Activar la solicitud de acceso

  3. En el formulario Activar rol, seleccione una hora de inicio y la duración que el rol deberá estar activo. Seleccione Activar para enviar la solicitud.

    Activar el acceso

  4. Consulte las notificaciones para ver que la nueva solicitud de JIT se ha enviado correctamente al consumidor.

    Notificación

    Ahora, debe esperar a que el consumidor apruebe su solicitud.

  5. Para ver el estado de todas las solicitudes JIT de una aplicación administrada, seleccione Acceso de JIT e Historial de solicitudes.

    Ver estado

Problemas conocidos

El identificador de entidad de seguridad de la cuenta que solicita acceso JIT debe incluirse explícitamente en la definición de la aplicación administrada. La cuenta no puede incluirse solo a través de un grupo especificado en el paquete. Esta limitación se corregirá en una versión futura.

Pasos siguientes

Para obtener información acerca de la aprobación de solicitudes de acceso JIT, consulte el tema sobre la aprobación del acceso Just-In-Time en Azure Managed Applications.