Habilitar e solicitar acesso just-in-time para Aplicativos Gerenciados do Azure

  • Artigo

Os consumidores do seu aplicativo gerenciado podem estar relutantes em conceder acesso permanente ao grupo de recursos gerenciados. Como editor de um aplicativo gerenciado, você pode preferir que os consumidores saibam exatamente quando você precisa acessar os recursos gerenciados. Para dar aos consumidores maior controle sobre a concessão de acesso a recursos gerenciados, os Aplicativos Gerenciados do Azure fornecem um recurso chamado acesso just-in-time (JIT).

O acesso JIT permite que você solicite acesso elevado aos recursos de um aplicativo gerenciado para solução de problemas ou manutenção. Você sempre tem acesso somente leitura aos recursos, mas por um período de tempo específico pode ter maior acesso.

O fluxo de trabalho para a concessão de acesso é:

  1. Você adiciona um aplicativo gerenciado ao mercado e especifica que o acesso JIT está disponível.

  2. Durante a implantação, o consumidor habilita o acesso JIT para essa instância do aplicativo gerenciado.

  3. Após a implantação, o consumidor pode alterar as configurações de acesso JIT.

  4. Você envia uma solicitação de acesso quando precisa solucionar problemas ou atualizar os recursos gerenciados.

  5. O consumidor aprova o seu pedido.

Este artigo se concentra nas ações que os editores tomam para permitir o acesso ao JIT e enviar solicitações. Para saber mais sobre como aprovar solicitações de acesso JIT, consulte Aprovar acesso just-in-time em Aplicativos Gerenciados do Azure.

Adicionar etapa de acesso JIT à interface do usuário

No arquivo CreateUiDefinition.json, inclua uma etapa que permita que os consumidores habilitem o acesso JIT. Para oferecer suporte ao recurso JIT para sua oferta, adicione o seguinte conteúdo ao seu arquivo CreateUiDefinition.json.

Em "passos":

{
  "name": "jitConfiguration",
  "label": "JIT Configuration",
  "subLabel": {
    "preValidation": "Configure JIT settings for your application",
    "postValidation": "Done"
  },
  "bladeTitle": "JIT Configuration",
  "elements": [
    {
      "name": "jitConfigurationControl",
      "type": "Microsoft.Solutions.JitConfigurator",
      "label": "JIT Configuration"
    }
  ]
}

Em "outputs":

"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"

Habilitar acesso JIT

Ao criar sua oferta no Partner Center, certifique-se de habilitar o acesso JIT.

  1. Inicie sessão no portal do Commercial Marketplace no Partner Center.

  2. Para obter orientação sobre como criar um novo aplicativo gerenciado, siga as etapas em Criar uma oferta de aplicativo do Azure.

  3. Na página Configuração técnica, marque a caixa de seleção Habilitar acesso just-in-time (JIT).

    Ativar acesso just-in-time

Você adicionou uma etapa de configuração JIT à sua interface do usuário e habilitou o acesso JIT na oferta do mercado comercial. Quando os consumidores implantam seu aplicativo gerenciado, eles podem ativar o acesso JIT para sua instância.

Pedir acesso

Quando você precisa acessar os recursos gerenciados do consumidor, envia uma solicitação para uma função, hora e duração específicas. O consumidor deve, então, aprovar o pedido.

Para enviar um pedido de acesso JIT:

  1. Selecione Acesso JIT para o aplicativo gerenciado que você precisa acessar.

  2. Selecione Funções elegíveis e selecione Ativar na coluna AÇÃO para a função desejada.

    Ativar pedido de acesso

  3. No formulário Ativar função, selecione uma hora de início e uma duração para que sua função esteja ativa. Selecione Ativar para enviar a solicitação.

    Ativar acesso

  4. Exiba as notificações para ver se a nova solicitação JIT foi enviada com êxito ao consumidor.

    Notificação

    Agora, você deve aguardar que o consumidor aprove seu pedido.

  5. Para exibir o status de todas as solicitações JIT para um aplicativo gerenciado, selecione Acesso JIT e Histórico de solicitações.

    Ver estado

Problemas conhecidos

O ID principal da conta que solicita acesso ao JIT deve ser explicitamente incluído na definição do aplicativo gerenciado. A conta não pode ser incluída apenas através de um grupo especificado no pacote. Essa limitação será corrigida em uma versão futura.

Próximos passos

Para saber mais sobre como aprovar solicitações de acesso JIT, consulte Aprovar acesso just-in-time em Aplicativos Gerenciados do Azure.