Arbeitsbereiche in Azure API Management

  • Artikel

GILT FÜR: Premium

Arbeitsbereiche in API Management ermöglichen es dezentralisierten API-Entwicklungsteams, die eigenen APIs verwalten und in die Produktion zu überführen, während ein zentrales API-Plattformteam die API Management-Infrastruktur verwaltet. Jeder Arbeitsbereich enthält APIs, Produkte, Abonnements und zugehörige Entitäten, auf die nur die zum Arbeitsbereich gehörenden Personen zugreifen können. Der Zugriff wird per rollenbasierter Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure gesteuert.

Hinweis

  • Arbeitsbereiche sind ein Previewfunktion von API Management und unterliegen bestimmten Einschränkungen.
  • Arbeitsbereiche werden in API Management REST-API-Version 2022-09-01-preview oder höher unterstützt.
  • Informationen zur Preisgestaltung finden Sie unter API Management – Preise.
  • Sehen Sie sich anstehende Änderungen für Arbeitsbereiche an.

Beispielszenario (Übersicht)

In einer Organisation, die APIs mithilfe von Azure API Management verwaltet, arbeiten möglicherweise mehrere Entwicklungsteams, die verschiedene Arten von APIs entwickeln, definieren, verwalten und in die Produktion überführen. Mithilfe von Arbeitsbereichen können diese Teams API Management nutzen, um ihre APIs separat und unabhängig von der Verwaltung der Dienstinfrastruktur zu verwalten und darauf zuzugreifen.

Im Folgenden sehen Sie einen Beispielworkflow zum Erstellen und Verwenden eines Arbeitsbereichs.

  1. Ein zentrales API-Plattformteam, das die API Management-Instanz verwaltet, erstellt einen Arbeitsbereich und weist Arbeitsbereichsmitarbeitern mithilfe von RBAC-Rollen Berechtigungen zu, beispielsweise Berechtigungen zum Erstellen oder Lesen von Ressourcen im Arbeitsbereich.

  2. Ein zentrales API-Plattformteam verwendet DevOps-Tools, um eine DevOps-Pipeline für APIs in diesem Arbeitsbereich zu erstellen.

  3. Arbeitsbereichsmitglieder entwickeln, veröffentlichen, verwalten APIs im Arbeitsbereich und überführen sie in die Produktion.

  4. Das zentrale API-Plattformteam verwaltet die Infrastruktur des Diensts, z. B. Netzwerkkonnektivität, Überwachung, Resilienz und Durchsetzung von für alle APIs geltenden Richtlinien.

Arbeitsbereichsfeatures

Die folgenden Ressourcen können in der Vorschau der Arbeitsbereiche verwaltet werden.

APIs und Richtlinien

  • Erstellen und Verwalten von APIs und API-Vorgängen, einschließlich API-Versionssätzen, API-Revisionen und API-Richtlinien

  • Anwenden einer Richtlinie für alle APIs in einem Arbeitsbereich

  • Beschreiben von APIs mit Tags auf Arbeitsbereichsebene.

  • Definieren von benannten Werten, Richtlinienfragmenten und Schemas für die Überprüfung von Anforderungen und Antworten zur Verwendung in Richtlinien auf Arbeitsbereichsebene

Hinweis

In einem Arbeitsbereich gelten folgende Richtlinienbereiche: Alle APIs (Dienst) > Alle APIs (Arbeitsbereich) > Produkt > API > API-Vorgang.

Benutzer und Gruppen

  • Organisieren von Benutzern (auf Dienstebene) in Gruppen in einem Arbeitsbereich

Produkte und Abonnements

  • Veröffentlichen Sie APIs mit Produkten. APIs in einem Arbeitsbereich können nur Teil eines Produkts auf Arbeitsbereichsebene sein. Die Sichtbarkeit kann auf der Grundlage der Mitgliedschaft eines Benutzers in einer Gruppe auf Arbeitsbereichs- oder Dienstebene konfiguriert werden.

  • Verwalten Sie den Zugriff auf APIs mit Abonnements. Abonnements, die für eine API oder ein Produkt in einem Arbeitsbereich angefordert werden, werden in diesem Arbeitsbereich erstellt.

  • Veröffentlichen Sie APIs und Produkte über das Entwicklerportal.

  • Verwalten Sie administrative E-Mail-Benachrichtigungen im Zusammenhang mit Ressourcen im Arbeitsbereich.

RBAC-Rollen

Mit Azure RBAC werden Berechtigungen von Personen mit der Rolle „Projektmitarbeiter im Arbeitsbereich“ zum Lesen und Bearbeiten von Entitäten im Arbeitsbereich konfiguriert. Eine Liste der Rollen finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung in API Management.

Arbeitsbereichsmitgliedern muss sowohl eine dienstbereichsbezogene Rolle als auch eine arbeitsbereichsbezogene Rolle zugewiesen werden, oder ihnen müssen gleichwertige Berechtigungen mithilfe benutzerdefinierter Rollen erteilt werden. Die servicebezogene Rolle ermöglicht es, bestimmte Ressourcen auf Dienstebene von Ressourcen auf Arbeitsplatzebene aus zu referenzieren. Organisieren Sie z. B. einen Benutzer in einer Gruppe auf Arbeitsbereichsebene, um die API und die Produktsichtbarkeit zu steuern.

Hinweis

Richten Sie zur einfacheren Verwaltung Microsoft Entra ID-Gruppen ein, um Arbeitsbereichsberechtigungen für mehrere Benutzer zuzuweisen.

Arbeitsbereiche und andere Features von API Management

  • Infrastrukturfeatures: API Management-Plattforminfrastrukturfeatures werden nur auf Dienstebene verwaltet, nicht auf Arbeitsbereichsebene. Dazu gehören:

    • Private Netzwerkkonnektivität

    • API-Gateways, einschließlich Skalierung, Speicherorten und selbstgehosteten Gateways

  • Ressourcenverweise – Ressourcen in einem Arbeitsbereich können auf andere Ressourcen im Arbeitsbereich und auf Benutzer auf Dienstebene verweisen. Sie können nicht auf Ressourcen aus einem anderen Arbeitsbereich verweisen.

    Aus Sicherheitsgründen ist es nicht möglich, von Richtlinien auf Arbeitsbereichsebene (z. B. benannten Werten) auf Ressourcen auf Dienstebene zu verweisen. Auch Verweise anhand von Ressourcennamen, z. B. backend-id in der Richtlinie set-backend-service, sind nicht zulässig.

  • Entwicklungsportal: Arbeitsbereiche sind ein administratives Konzept und werden Kunden im Entwicklungsportal nicht als solche angezeigt. Dies gilt auch für die Benutzeroberfläche und die zugrunde liegende API des Entwicklungsportals. APIs und Produkte können jedoch aus einem Arbeitsbereich im Entwicklungsportal veröffentlicht werden. Aus diesem Grund muss jede Ressource, die vom Entwicklungsportal verwendet wird (z. B. eine API, ein Produkt, ein Tag oder ein Abonnement), über einen eindeutigen Azure-Ressourcennamen im Dienst verfügen. Es dürfen keine Ressourcen desselben Typs und mit demselben Azure-Ressourcennamen im selben Arbeitsbereich, in anderen Arbeitsbereichen oder auf Dienstebene vorhanden sein.

  • Löschen eines Arbeitsbereichs: Beim Löschen eines Arbeitsbereichs werden alle untergeordneten Ressourcen (APIs, Produkte usw.) gelöscht.

Einschränkungen der Vorschau

Die folgenden Ressourcen werden derzeit in Arbeitsbereichen nicht unterstützt:

  • Autorisierungsserver (Anmeldeinformationsanbieter im Anmeldeinformationsmanager)

  • Autorisierungen (Verbindungen mit Anmeldeinformationsanbietern im Anmeldeinformationsmanager)

  • Back-Ends

  • Clientzertifikate

  • Aktuelle DevOps-Tools für API Management

  • Diagnose

  • Protokollierungen

  • Synthetische GraphQL-APIs

  • Benutzerseitig zugewiesene verwaltete Identität

Daher werden die folgenden Beispielszenarien derzeit in Arbeitsbereichen nicht unterstützt:

  • Überwachen von APIs mit arbeitsbereichsspezifischer Konfiguration

  • Verwalten von API-Back-Ends und Importieren von APIs aus Azure-Diensten

  • Validieren von Clientzertifikaten

  • Verwenden des Anmeldeinformationsmanagers (früher als Autorisierungsfunktion bezeichnet)

  • Angeben von API-Autorisierungsserverinformationen (z. B. für das Entwicklungsportal)

  • Veröffentlichen von Arbeitsbereich-APIs in selbst gehosteten Gateways

Wichtig

Alle Ressourcen in einem API Management Dienst müssen eindeutige Namen aufweisen, auch wenn sie sich in verschiedenen Arbeitsbereichen befinden.

Zugehöriger Inhalt