Espaços de trabalho no Gerenciamento de API do Azure
APLICA-SE A: Premium
No Gerenciamento de API, os espaços de trabalho permitem que equipes descentralizadas de desenvolvimento de API gerenciem e produzam suas próprias APIs, enquanto uma equipe central de plataforma de API mantém a infraestrutura de Gerenciamento de API. Cada espaço de trabalho contém APIs, produtos, assinaturas e entidades relacionadas que são acessíveis apenas aos colaboradores do espaço de trabalho. O acesso é controlado através do controlo de acesso baseado em funções (RBAC) do Azure.
Nota
- Os espaços de trabalho são um recurso de visualização do Gerenciamento de API e estão sujeitos a certas limitações.
- Os espaços de trabalho são suportados na API REST de Gerenciamento de API versão 2022-09-01-preview ou posterior.
- Para obter considerações sobre preços, consulte Preços de gerenciamento de API.
- Veja as próximas alterações recentes para espaços de trabalho.
Descrição geral de cenário de exemplo
Uma organização que gerencia APIs usando o Gerenciamento de API do Azure pode ter várias equipes de desenvolvimento que desenvolvem, definem, mantêm e produzem diferentes conjuntos de APIs. Os espaços de trabalho permitem que essas equipes usem o Gerenciamento de API para gerenciar e acessar suas APIs separadamente e independentemente do gerenciamento da infraestrutura de serviço.
A seguir está um fluxo de trabalho de exemplo para criar e usar um espaço de trabalho.
Uma equipe central da plataforma de API que gerencia a instância de Gerenciamento de API cria um espaço de trabalho e atribui permissões aos colaboradores do espaço de trabalho usando funções RBAC - por exemplo, permissões para criar ou ler recursos no espaço de trabalho.
Uma equipe central de plataforma de API usa ferramentas de DevOps para criar um pipeline de DevOps para APIs nesse espaço de trabalho.
Os membros do espaço de trabalho desenvolvem, publicam, produzem e mantêm APIs no espaço de trabalho.
A equipe central da plataforma de API gerencia a infraestrutura do serviço, como conectividade de rede, monitoramento, resiliência e imposição de políticas de todas as APIs.
Recursos do espaço de trabalho
Os recursos a seguir podem ser gerenciados na visualização dos espaços de trabalho.
APIs e políticas
Crie e gerencie APIs e operações de API, incluindo conjuntos de versões de API, revisões de API e políticas de API.
Aplique uma política para todas as APIs em um espaço de trabalho.
Descrever APIs com tags do nível do espaço de trabalho.
Defina valores nomeados, fragmentos de política e esquemas para validação de solicitação e resposta para uso em políticas com escopo de espaço de trabalho.
Nota
Em um espaço de trabalho, os escopos de política são os seguintes: Todas as APIs (serviço) > Todas as APIs (espaço de trabalho) > Operação da API da API > do produto >
Utilizadores e grupos
- Organize os usuários (do nível de serviço) em grupos em um espaço de trabalho.
Produtos e subscrições
Publique APIs com produtos. As APIs em um espaço de trabalho só podem fazer parte de um produto no nível do espaço de trabalho. A visibilidade pode ser configurada com base na associação do usuário em um nível de espaço de trabalho ou em um grupo de nível de serviço.
Gerencie o acesso a APIs com assinaturas. As assinaturas solicitadas para uma API ou produto dentro de um espaço de trabalho são criadas nesse espaço de trabalho.
Publique APIs e produtos com o portal do desenvolvedor.
Gerencie notificações administrativas por e-mail relacionadas a recursos no espaço de trabalho.
Funções RBAC
O RBAC do Azure é usado para configurar as permissões dos colaboradores do espaço de trabalho para ler e editar entidades no espaço de trabalho. Para obter uma lista de funções, consulte Como usar o controle de acesso baseado em função no Gerenciamento de API.
Os membros do espaço de trabalho devem receber uma função com escopo de serviço e uma função com escopo de espaço de trabalho ou permissões equivalentes usando funções personalizadas. A função com escopo de serviço permite fazer referência a determinados recursos de nível de serviço a partir de recursos no nível do espaço de trabalho. Por exemplo, organize um usuário em um grupo no nível do espaço de trabalho para controlar a visibilidade da API e do produto.
Nota
Para facilitar o gerenciamento, configure os grupos do Microsoft Entra para atribuir permissões de espaço de trabalho a vários usuários.
Espaços de trabalho e outros recursos de gerenciamento de API
Recursos de infraestrutura - Os recursos de infraestrutura da plataforma de gerenciamento de API são gerenciados apenas no nível de serviço, não no nível do espaço de trabalho. Estas funcionalidades incluem:
Conectividade de rede privada
Gateways de API, incluindo escalabilidade, locais e gateways auto-hospedados
Referências de recursos - Os recursos em um espaço de trabalho podem fazer referência a outros recursos no espaço de trabalho e usuários do nível de serviço. Eles não podem fazer referência a recursos de outro espaço de trabalho.
Por motivos de segurança, não é possível fazer referência a recursos de nível de serviço a partir de políticas de nível de espaço de trabalho (por exemplo, valores nomeados) ou por nomes de recursos, como
backend-idna política set-backend-service .Portal do desenvolvedor - Os espaços de trabalho são um conceito administrativo e não são apresentados como tal aos consumidores do portal do desenvolvedor, inclusive por meio da interface do usuário do portal do desenvolvedor e da API subjacente. No entanto, APIs e produtos podem ser publicados de um espaço de trabalho no portal do desenvolvedor. Por isso, qualquer recurso usado pelo portal do desenvolvedor (por exemplo, uma API, produto, tag ou assinatura) precisa ter um nome de recurso exclusivo do Azure no serviço. Não pode haver recursos do mesmo tipo e com o mesmo nome de recurso do Azure no mesmo espaço de trabalho, em outros espaços de trabalho ou no nível de serviço.
Excluindo um espaço de trabalho - Excluir um espaço de trabalho exclui todos os seus recursos filhos (APIs, produtos e assim por diante).
Limitações de pré-visualização
Atualmente, não há suporte para os seguintes recursos em espaços de trabalho:
Servidores de autorização (provedores de credenciais no gerenciador de credenciais)
Autorizações (conexões com provedores de credenciais no gerenciador de credenciais)
Back-ends
Certificados de cliente
Ferramentas atuais de DevOps para gerenciamento de API
Diagnóstico
Loggers
APIs sintéticas do GraphQL
Identidade gerida atribuída pelo utilizador
Portanto, os seguintes cenários de exemplo não são suportados atualmente em espaços de trabalho:
APIs de monitoramento com configuração específica do espaço de trabalho
Gerenciando back-ends de API e importando APIs de serviços do Azure
Validação de certificados de cliente
Usando o recurso gerenciador de credenciais (anteriormente chamado de autorizações)
Especificando informações do servidor de autorização de API (por exemplo, para o portal do desenvolvedor)
Publicando APIs de espaço de trabalho em gateways auto-hospedados
Importante
Todos os recursos em um serviço de Gerenciamento de API precisam ter nomes exclusivos, mesmo que estejam localizados em espaços de trabalho diferentes.