Werkruimten in Azure API Management

VAN TOEPASSING OP: Premium

In API Management kunnen gedecentraliseerde API-ontwikkelteams hun eigen API's beheren en productiseren, terwijl een centraal API-platformteam de API Management-infrastructuur onderhoudt. Elke werkruimte bevat API's, producten, abonnementen en gerelateerde entiteiten die alleen toegankelijk zijn voor de deelnemers aan de werkruimte. Toegang wordt beheerd via op rollen gebaseerd toegangsbeheer van Azure (RBAC).

Notitie

• Werkruimten zijn een preview-functie van API Management en zijn onderhevig aan bepaalde beperkingen.
• Werkruimten worden ondersteund in API Management REST API-versie 2022-09-01-preview of hoger.
• Zie prijzen voor API Management voor prijsoverwegingen.
• Bekijk toekomstige belangrijke wijzigingen voor werkruimten.

Overzicht van voorbeeldscenario's

Een organisatie die API's beheert met behulp van Azure API Management, kan meerdere ontwikkelteams hebben die verschillende sets API's ontwikkelen, definiëren, onderhouden en productiseren. Met werkruimten kunnen deze teams API Management gebruiken om hun API's afzonderlijk te beheren en te openen, en onafhankelijk van het beheren van de service-infrastructuur.

Hier volgt een voorbeeldwerkstroom voor het maken en gebruiken van een werkruimte.

1. Een centraal API-platformteam dat het API Management-exemplaar beheert, maakt een werkruimte en wijst machtigingen toe aan werkruimtemedewerkers met behulp van RBAC-rollen, bijvoorbeeld machtigingen voor het maken of lezen van resources in de werkruimte.

2. Een centraal API-platformteam maakt gebruik van DevOps-hulpprogramma's om een DevOps-pijplijn voor API's in die werkruimte te maken.

3. Werkruimteleden ontwikkelen, publiceren, productiseren en onderhouden API's in de werkruimte.

4. Het centrale API-platformteam beheert de infrastructuur van de service, zoals netwerkconnectiviteit, bewaking, tolerantie en afdwinging van alle API's-beleid.

Werkruimtefuncties

De volgende resources kunnen worden beheerd in de preview-versie van werkruimten.

API's en beleidsregels

• API's en API-bewerkingen maken en beheren, waaronder API-versiesets, API-revisies en API-beleid.

• Een beleid toepassen voor alle API's in een werkruimte.

• API's beschrijven met tags op werkruimteniveau.

• Definieer benoemde waarden, beleidsfragmenten en schema's voor aanvraag- en antwoordvalidatie voor gebruik in beleidsregels met werkruimtebereik.

Notitie

In een werkruimte zijn beleidsbereiken als volgt: Alle API's (service) Alle API's (werkruimte) >> Product-API-bewerking >>

Gebruikers en groepen

• Organiseer gebruikers (van het serviceniveau) in groepen in een werkruimte.

Producten en abonnementen

• API's publiceren met producten. API's in een werkruimte kunnen alleen deel uitmaken van een product op werkruimteniveau. Zichtbaarheid kan worden geconfigureerd op basis van gebruikerslidmaatschap in een werkruimteniveau of een groep op serviceniveau.

• Toegang tot API's beheren met abonnementen. Abonnementen die zijn aangevraagd voor een API of product in een werkruimte, worden in die werkruimte gemaakt.

• Publiceer API's en producten met de ontwikkelaarsportal.

• Beheer e-mailmeldingen met betrekking tot resources in de werkruimte.

RBAC-rollen

Azure RBAC wordt gebruikt om de machtigingen van medewerkers voor werkruimten te configureren voor het lezen en bewerken van entiteiten in de werkruimte. Zie Op rollen gebaseerd toegangsbeheer gebruiken in API Management voor een lijst met rollen.

Werkruimteleden moeten zowel een rol met servicebereik als een rol binnen het werkruimtebereik krijgen, of gelijkwaardige machtigingen krijgen met behulp van aangepaste rollen. Met de rol met servicebereik kunt u verwijzen naar bepaalde resources op serviceniveau van resources op werkruimteniveau. Organiseer bijvoorbeeld een gebruiker in een groep op werkruimteniveau om de API en de zichtbaarheid van producten te beheren.

Notitie

Voor eenvoudiger beheer stelt u Microsoft Entra-groepen in om werkruimtemachtigingen toe te wijzen aan meerdere gebruikers.

Werkruimten en andere API Management-functies

• Infrastructuurfuncties: infrastructuurfuncties van HET API Management-platform worden alleen beheerd op serviceniveau, niet op werkruimteniveau. Deze functies zijn onder andere:

  • Privénetwerkconnectiviteit

  • API-gateways, waaronder schalen, locaties en zelf-hostende gateways

• Resourceverwijzingen : resources in een werkruimte kunnen verwijzen naar andere resources in de werkruimte en gebruikers van het serviceniveau. Ze kunnen niet verwijzen naar resources uit een andere werkruimte.

  Om veiligheidsredenen is het niet mogelijk om te verwijzen naar resources op serviceniveau van beleid op werkruimteniveau (bijvoorbeeld benoemde waarden) of op resourcenamen, zoals backend-id in het beleid voor de set-back-endservice .

• Ontwikkelaarsportal : werkruimten zijn een beheerconcept en worden niet als zodanig weergegeven voor gebruikers van de ontwikkelaarsportal, zoals via de gebruikersinterface van de ontwikkelaarsportal en de onderliggende API. API's en producten kunnen echter vanuit een werkruimte worden gepubliceerd naar de ontwikkelaarsportal. Daarom moet elke resource die wordt gebruikt door de ontwikkelaarsportal (bijvoorbeeld een API, product, tag of abonnement) een unieke Azure-resourcenaam in de service hebben. Er kunnen geen resources van hetzelfde type zijn en met dezelfde Azure-resourcenaam in dezelfde werkruimte, in andere werkruimten of op serviceniveau.

• Een werkruimte verwijderen: als u een werkruimte verwijdert, worden alle onderliggende resources (API's, producten enzovoort) verwijderd.

Preview-beperkingen

De volgende resources worden momenteel niet ondersteund in werkruimten:

• Autorisatieservers (referentieproviders in referentiebeheer)

• Autorisaties (verbindingen met referentieproviders in referentiebeheer)

• Back-ends

• Clientcertificaten

• Huidige DevOps-hulpprogramma's voor API Management

• Diagnostiek

• Loggers

• Synthetische GraphQL-API's

• Door de gebruiker toegewezen beheerde identiteit

Daarom worden de volgende voorbeeldscenario's momenteel niet ondersteund in werkruimten:

• API's bewaken met werkruimtespecifieke configuratie

• API-back-ends beheren en API's importeren uit Azure-services

• Clientcertificaten valideren

• De functie Referentiebeheer (voorheen autorisaties genoemd) gebruiken

• Informatie over api-autorisatieservers opgeven (bijvoorbeeld voor de ontwikkelaarsportal)

• Werkruimte-API's publiceren naar zelf-hostende gateways

Belangrijk

Alle resources in een API Management-service moeten unieke namen hebben, zelfs als ze zich in verschillende werkruimten bevinden.

Gerelateerde inhoud

• Een werkruimte maken
• Wijzigingen die fouten veroorzaken in werkruimten - juni 2024