Áreas de trabajo en Azure API Management
SE APLICA A: Premium
En API Management, las áreas de trabajo permiten a los equipos de desarrollo de API descentralizados administrar y producir sus propias API, mientras que un equipo central de plataformas de API mantendrá la infraestructura de API Management. Cada área de trabajo contiene API, productos, suscripciones y entidades relacionadas que solo serán accesibles para los colaboradores del área de trabajo. El acceso se controla mediante el control de acceso basado en roles (RBAC) de Azure.
Nota:
- Las áreas de trabajo son una característica en versión preliminar de API Management y están sujetas a ciertas limitaciones.
- Las áreas de trabajo se admiten en la API de REST de API Management versión 2022-09-01-preview o posterior.
- Para más consideraciones sobre el precio, consulte Precios de API Management.
- Consulte próximos cambios importantes para las áreas de trabajo.
Información general del escenario de ejemplo
Una organización que administra las API mediante Azure API Management podría tener varios equipos de desarrollo que desarrollan, definen, mantienen y producen diferentes conjuntos de API. Las áreas de trabajo permiten a estos equipos usar API Management para administrar y acceder a sus API por separado e independientemente de la administración de la infraestructura de servicio.
A continuación, se muestra un flujo de trabajo de ejemplo para crear y usar un área de trabajo.
Un equipo central de la plataforma de API que administra la instancia de API Management crea un área de trabajo y asigna permisos a los colaboradores del área de trabajo utilizando roles RBAC, por ejemplo, permisos para crear o leer recursos en el área de trabajo.
Un equipo central de la plataforma de API usa herramientas de DevOps para crear una canalización de DevOps para las API de esa área de trabajo.
Los miembros del área de trabajo desarrollan, publican, producen y mantienen las API en el área de trabajo.
El equipo central de la plataforma de API administra la infraestructura del servicio, como la conectividad de red, la supervisión, la resistencia y la aplicación de todas las directivas de API.
Características del área de trabajo
Los siguientes recursos se pueden administrar en la versión preliminar de las áreas de trabajo.
API y directivas
Cree y administre las API y las operaciones de API, incluyendo los conjuntos de versiones de API, las revisiones de API y las directivas de API.
Aplique una directiva para todas las API de un área de trabajo.
Describir las API con etiquetas del nivel de área de trabajo.
Defina valores con nombre, fragmentos de directiva y esquemas para la validación de solicitudes y respuestas para su uso en directivas con ámbito de área de trabajo.
Nota:
En un área de trabajo, los ámbitos de directiva son los siguientes: Todas las API (servicio) > Todas las API (área de trabajo) > Producto > API > Operación API
Usuarios y grupos
- Organice a los usuarios (desde el nivel de servicio) en grupos de un área de trabajo.
Productos y suscripciones
Publicar API con productos. Las API de un área de trabajo solo pueden formar parte de un producto de nivel de área de trabajo. La visibilidad se puede configurar en función de la pertenencia a usuarios en un nivel de área de trabajo o en un grupo de nivel de servicio.
Administrar el acceso a las API con suscripciones. Las suscripciones solicitadas a una API o a un producto dentro de un área de trabajo se crearán en esa área de trabajo.
Publique API y productos gracias al portal para desarrolladores.
Administre aquellas notificaciones de correos electrónicos administrativos relacionadas con los recursos del área de trabajo.
Funciones RBAC
RBAC de Azure se usa para configurar los permisos de los colaboradores del área de trabajo para leer y editar entidades en el área de trabajo. Para obtener una lista de roles, consulte Cómo usar el control de acceso basado en roles en API Management.
A los miembros del área de trabajo se les deberá asignar un rol de ámbito de servicio y un rol de ámbito de área de trabajo o conceder permisos equivalentes mediante roles personalizados. El rol con ámbito de servicio permite hacer referencia a determinados recursos de nivel de servicio de los recursos de nivel de área de trabajo. Por ejemplo, organice un usuario en un grupo de nivel de área de trabajo para controlar la API y la visibilidad del producto.
Nota:
Para facilitar la administración, configure grupos de Microsoft Entra para asignar permisos de área de trabajo a varios usuarios.
Áreas de trabajo y otras características de API Management
Características de infraestructura: las características de infraestructura de la plataforma API Management solo se administrarán en el nivel de servicio, no en el nivel de área de trabajo. Estas características son:
Conectividad de red privada
Puertas de enlace de API, incluyendo el escalado, las ubicaciones y las puertas de enlace autohospedadas
Referencias de recursos: los recursos de un área de trabajo pueden hacer referencia a otros recursos del área de trabajo y a los usuarios desde el nivel de servicio. No pueden hacer referencia a recursos desde otra área de trabajo.
Por motivos de seguridad, no es posible hacer referencia a recursos de nivel de servicio desde directivas de nivel de área de trabajo (por ejemplo, valores con nombre) o por nombres de recursos, como
backend-iden la directiva set-backend-service.Portal para desarrolladores: las áreas de trabajo son un concepto administrativo y no se exponen como tal a los consumidores del portal para desarrolladores, incluyendo a través de la interfaz de usuario del portal para desarrolladores y la API subyacente. Sin embargo, las API y los productos se pueden publicar desde un área de trabajo en el portal para desarrolladores. Por este motivo, cualquier recurso que use el portal para desarrolladores (por ejemplo, una API, un producto, una etiqueta o una suscripción) deberá tener un nombre de recurso de Azure único en el servicio. No puede haber ningún recurso del mismo tipo y con el mismo nombre de recurso de Azure en la misma área de trabajo, en otras áreas de trabajo o en el nivel de servicio.
Eliminación de un área de trabajo: al eliminar un área de trabajo, se eliminan todos sus recursos secundarios (API, productos, etc.).
Limitaciones de vista previa
Los siguientes recursos no se admiten actualmente en áreas de trabajo:
Servidores de autorización (proveedores de credenciales en el administrador de credenciales)
Autorizaciones (conexiones a proveedores de credenciales en el administrador de credenciales)
Backends
Certificados de cliente
Herramientas actuales de DevOps para API Management
Diagnóstico
Registradores
Las API de Synthetic GraphQL
Identidad administrada asignada por el usuario
Por lo tanto, los siguientes escenarios de ejemplo no se admiten actualmente en áreas de trabajo:
Supervisión de API con configuración específica del área de trabajo
Administración de back-end de API e importación de API desde servicios de Azure
Validación de certificados de cliente
Uso de la característica de administrador de credenciales (anteriormente denominadas "autorizaciones")
Especificar la información del servidor de autorización de API (por ejemplo, para el portal para desarrolladores)
Publicando API de área de trabajo en puertas de enlace autohospedados
Importante
Todos los recursos de un servicio API Management deben tener nombres únicos, incluso si se encuentran en áreas de trabajo diferentes.