Ruang kerja di Azure API Management
BERLAKU UNTUK: Premium
Di API Management, ruang kerja memungkinkan tim pengembangan API terdesentralisasi untuk mengelola dan mengolah API mereka sendiri, sementara tim platform API pusat mempertahankan infrastruktur API Management. Setiap ruang kerja berisi API, produk, langganan, dan entitas terkait yang hanya dapat diakses oleh kolaborator ruang kerja. Akses dikontrol melalui kontrol akses berbasis peran Azure (RBAC).
Catatan
Gambaran umum skenario contoh
Organisasi yang mengelola API menggunakan Azure API Management mungkin memiliki beberapa tim pengembangan yang mengembangkan, menentukan, memelihara, dan mengolah kumpulan API yang berbeda. Ruang kerja memungkinkan tim ini menggunakan API Management untuk mengelola dan mengakses API mereka secara terpisah, dan secara independen mengelola infrastruktur layanan.
Berikut ini adalah contoh alur kerja untuk membuat dan menggunakan ruang kerja.
Tim platform API pusat yang mengelola instans API Management membuat ruang kerja dan menetapkan izin kepada kolaborator ruang kerja menggunakan peran RBAC - misalnya, izin untuk membuat atau membaca sumber daya di ruang kerja.
Tim platform API pusat menggunakan alat DevOps untuk membuat alur DevOps untuk API di ruang kerja tersebut.
Anggota ruang kerja mengembangkan, menerbitkan, menghasilkan, dan memelihara API di ruang kerja.
Tim platform API pusat mengelola infrastruktur layanan, seperti konektivitas jaringan, pemantauan, ketahanan, dan penerapan kebijakan semua API.
Fitur ruang kerja
Sumber daya berikut dapat dikelola di pratinjau ruang kerja.
API dan kebijakan
Membuat dan mengelola API dan operasi API, termasuk set versi API, revisi API, dan kebijakan API.
Terapkan kebijakan untuk semua API di ruang kerja.
Menjelaskan API dengan tag dari tingkat ruang kerja.
Tentukan nilai bernama, fragmen kebijakan, dan skema untuk validasi permintaan dan respons untuk digunakan dalam kebijakan yang dilingkup ruang kerja.
Catatan
Di ruang kerja, cakupan kebijakan adalah sebagai berikut: Semua API (layanan) > Semua API (ruang kerja) > operasi API > Produk >
Pengguna dan grup
- Atur pengguna (dari tingkat layanan) ke dalam grup di ruang kerja.
Produk dan langganan
Terbitkan API dengan produk. API di ruang kerja hanya dapat menjadi bagian dari produk tingkat ruang kerja. Visibilitas dapat dikonfigurasi berdasarkan keanggotaan pengguna di tingkat ruang kerja atau grup tingkat layanan.
Mengelola akses ke API dengan langganan. Langganan yang diminta ke API atau produk dalam ruang kerja dibuat di ruang kerja tersebut.
Terbitkan API dan produk dengan portal pengembang.
Mengelola pemberitahuan email administratif yang terkait dengan sumber daya di ruang kerja.
Peran RBAC
Azure RBAC digunakan untuk mengonfigurasi izin kolaborator ruang kerja untuk membaca dan mengedit entitas di ruang kerja. Untuk daftar peran, lihat Cara menggunakan kontrol akses berbasis peran di API Management.
Anggota ruang kerja harus diberi peran cakupan layanan dan peran cakupan ruang kerja, atau diberikan izin yang setara menggunakan peran kustom. Peran cakupan layanan memungkinkan referensi sumber daya tingkat layanan tertentu dari sumber daya tingkat ruang kerja. Misalnya, atur pengguna ke dalam grup tingkat ruang kerja untuk mengontrol API dan visibilitas produk.
Catatan
Untuk manajemen yang lebih mudah, siapkan grup Microsoft Entra untuk menetapkan izin ruang kerja ke beberapa pengguna.
Ruang kerja dan fitur API Management lainnya
Fitur infrastruktur - Fitur infrastruktur platform API Management dikelola pada tingkat layanan saja, bukan di tingkat ruang kerja. Fitur ini mencakup:
Konektivitas jaringan privat
Gateway API, termasuk penskalakan, lokasi, dan gateway yang dihost sendiri
Referensi sumber daya - Sumber daya di ruang kerja dapat mereferensikan sumber daya lain di ruang kerja dan pengguna dari tingkat layanan. Mereka tidak dapat mereferensikan sumber daya dari ruang kerja lain.
Untuk alasan keamanan, tidak dimungkinkan untuk mereferensikan sumber daya tingkat layanan dari kebijakan tingkat ruang kerja (misalnya, nilai bernama) atau berdasarkan nama sumber daya, seperti
backend-id
dalam kebijakan layanan set-backend.Portal pengembang - Ruang kerja adalah konsep administratif dan tidak muncul seperti itu ke konsumen portal pengembang, termasuk melalui UI portal pengembang dan API yang mendasar. Namun, API dan produk dapat diterbitkan dari ruang kerja ke portal pengembang. Karena itu, sumber daya apa pun yang digunakan oleh portal pengembang (misalnya, API, produk, tag, atau langganan) harus memiliki nama sumber daya Azure yang unik dalam layanan. Tidak boleh ada sumber daya dengan jenis yang sama dan dengan nama sumber daya Azure yang sama di ruang kerja yang sama, di ruang kerja lain, atau di tingkat layanan.
Menghapus ruang kerja - Menghapus ruang kerja akan menghapus semua sumber daya anaknya (API, produk, dan sebagainya).
Batasan pratinjau
Sumber daya berikut saat ini tidak didukung di ruang kerja:
Server otorisasi (penyedia kredensial di manajer kredensial)
Otorisasi (koneksi ke penyedia info masuk di manajer kredensial)
Backend
Sertifikat klien
Alat DevOps saat ini untuk API Management
Diagnostik
Penebang
API GraphQL Sintetis
Identitas terkelola yang ditetapkan pengguna
Oleh karena itu, skenario sampel berikut saat ini tidak didukung di ruang kerja:
Memantau API dengan konfigurasi khusus ruang kerja
Mengelola backend API dan mengimpor API dari layanan Azure
Memvalidasi sertifikat klien
Menggunakan fitur manajer kredensial (sebelumnya disebut otorisasi)
Menentukan informasi server otorisasi API (misalnya, untuk portal pengembang)
Menerbitkan API ruang kerja ke gateway yang dihost sendiri
Penting
Semua sumber daya dalam layanan API Management harus memiliki nama unik, bahkan jika mereka terletak di ruang kerja yang berbeda.