Espaces de travail dans Gestion des API Azure

  • Article

S’APPLIQUE À : premium

Dans Gestion des API, les espaces de travail permettent aux équipes de développement d’API décentralisées de gérer et de mettre en production leurs propres API, tandis qu’une équipe de plateforme d’API centrale gère l’infrastructure Gestion des API. Chaque espace de travail contient des API, des produits, des abonnements et des entités associées accessibles uniquement aux collaborateurs de l’espace de travail. L’accès est contrôlé par le contrôle d’accès en fonction du rôle (RBAC) Azure.

Remarque

  • Les espaces de travail sont une fonctionnalité en préversion de Gestion des API et sont soumis à certaines limitations.
  • Les espaces de travail sont pris en charge dans l’API REST Gestion des API version 2022-09-01-preview ou ultérieure.
  • Pour plus de considérations sur la tarification, consultez la page Tarification d’API Management.
  • Consultez les changements cassants à venir pour les espaces de travail.

Vue d'ensemble des exemples de scénario

Une organisation qui gère des API à l’aide de Gestion des API Azure peut avoir plusieurs équipes de développement qui développent, définissent, gèrent et mettent en production différents ensembles d’API. Les espaces de travail permettent à ces équipes d’utiliser Gestion des API pour gérer et accéder à leurs API séparément et indépendamment de la gestion de l’infrastructure de service.

Voici un exemple de workflow pour la création et l’utilisation d’un espace de travail.

  1. Une équipe de plateforme d’API centrale qui gère l’instance de Gestion des API crée un espace de travail et affecte des autorisations aux collaborateurs de l’espace de travail à l’aide de rôles RBAC, par exemple des autorisations pour créer ou lire des ressources dans l’espace de travail.

  2. Une équipe de plateforme d’API centrale utilise les outils DevOps pour créer un pipeline DevOps pour les API dans cet espace de travail.

  3. Les membres de l’espace de travail développent, publient, mettent en production et gèrent des API dans l’espace de travail.

  4. L’équipe centrale de la plateforme d’API gère l’infrastructure du service, comme la connectivité réseau, la surveillance, la résilience et l’application des stratégies de toutes les API.

Fonctionnalités de l’espace de travail

Les ressources suivantes peuvent être gérées dans la préversion des espaces de travail.

API et stratégies

  • Créez et gérez les API et les opérations d’API, notamment les jeux de versions d’API, les révisions d’API et les stratégies d’API.

  • Appliquez une stratégie pour toutes les API d’un espace de travail.

  • Décrivez les API avec des étiquettes au niveau de l’espace de travail.

  • Définissez des valeurs nommées, des fragments de stratégie et des schémas pour la validation des demandes et des réponses à utiliser dans les stratégies étendues à l’espace de travail.

Notes

Dans un espace de travail, les étendues de stratégie sont les suivantes : Toutes les API (service) > Toutes les API (espace de travail) > Produit > API > Opération d’API

Utilisateurs et groupes

  • Organisez les utilisateurs (à partir du niveau de service) en groupes dans un espace de travail.

Produits et abonnements

  • Publiez des API avec des produits. Les API d’un espace de travail peuvent uniquement faire partie d’un produit au niveau de l’espace de travail. La visibilité peut être configurée en fonction de l’appartenance de l’utilisateur à un groupe au niveau de l’espace de travail ou au niveau du service.

  • Gérez l’accès aux API avec des abonnements. Les abonnements demandés à une API ou à un produit au sein d’un espace de travail sont créés dans cet espace de travail.

  • Publiez des API et des produits avec le portail des développeurs.

  • Gérez les notifications d’administration par e-mail relatives aux ressources dans l’espace de travail.

Rôles RBAC

Azure RBAC est utilisé pour configurer les autorisations des collaborateurs de l’espace de travail pour lire et modifier des entités dans l’espace de travail. Pour obtenir la liste des rôles, consultez Guide pratique pour utiliser le contrôle d’accès en fonction du rôle dans Gestion des API.

Les membres de l’espace de travail doivent se voir attribuer à la fois un rôle au étendu au service et un rôle étendu à l’espace de travail, ou des autorisations équivalentes à l’aide de rôles personnalisés. Le rôle étendu au service permet de référencer certaines ressources au niveau du service à partir de ressources au niveau de l’espace de travail. Par exemple, organisez un utilisateur en groupe au niveau de l’espace de travail pour contrôler la visibilité de l’API et du produit.

Remarque

Pour faciliter la gestion, configurez des groupes Microsoft Entra pour attribuer des autorisations d’espace de travail à plusieurs utilisateurs.

Espaces de travail et autres fonctionnalités de Gestion des API

  • Fonctionnalités d’infrastructure : les fonctionnalités d’infrastructure de plateforme de Gestion des API sont gérées au niveau du service uniquement, pas au niveau de l’espace de travail. En voici quelques exemples :

    • Connectivité de réseau privé

    • Passerelles d’API, y compris la mise à l’échelle, les emplacements et les passerelles auto-hébergées

  • Références de ressources : les ressources d’un espace de travail peuvent référencer d’autres ressources de l’espace de travail et des utilisateurs au niveau du service. Elles ne peuvent pas référencer les ressources d’un autre espace de travail.

    Pour des raisons de sécurité, il n’est pas possible de référencer des ressources au niveau du service à partir de stratégies au niveau de l’espace de travail (par exemple, des valeurs nommées) ou par des noms de ressource, comme backend-id dans la stratégie set-backend-service.

  • Portail des développeurs : les espaces de travail sont un concept administratif et ne sont pas exposés en tant que tels pour les consommateurs du portail des développeurs, notamment via l’interface utilisateur du portail des développeurs et l’API sous-jacente. Toutefois, les API et les produits peuvent être publiés à partir d’un espace de travail sur le portail des développeurs. Pour cette raison, toute ressource utilisée par le portail des développeurs (par exemple, une API, un produit, une étiquette ou un abonnement) doit avoir un nom de ressource Azure unique dans le service. Il ne peut pas y avoir de ressources du même type et avec le même nom de ressource Azure dans le même espace de travail, dans d’autres espaces de travail ou au niveau du service.

  • Suppression d’un espace de travail : la suppression d’un espace de travail supprime toutes ses ressources enfants (API, produits, etc.).

Limitations de la version préliminaire

Les ressources suivantes ne sont actuellement pas prises en charge dans les espaces de travail :

  • Serveurs d'autorisation (informations d’identification courants dans le manager d’informations d’identification)

  • Autorisations (connexions aux informations d’identification courants dans le manager d’informations d’identification)

  • Back-ends

  • Certificats clients

  • Outils DevOps actuels pour Gestion des API

  • Diagnostics

  • Journaliseurs

  • API GraphQL synthétique

  • Identité managée affectée par l’utilisateur

Par conséquent, les exemples de scénarios suivants ne sont actuellement pas pris en charge dans les espaces de travail :

  • API de supervision avec une configuration spécifique à l’espace de travail

  • Gestion des back-ends d’API et importation d’API à partir de services Azure

  • Validation des certificats clients

  • Utilisation de la fonctionnalité du manager d’informations d’identification (anciennement appelées autorisations)

  • Spécification des informations du serveur d’autorisation d’API (par exemple, pour le portail des développeurs)

  • Publication des API d’espace de travail sur des passerelles auto-hébergées

Important

Même si elles se trouvent dans des espaces de travail différents, toutes les ressources d’un service Gestion des API doivent avoir des noms uniques.

Contenu connexe