Arbetsytor i Azure API Management

  • Artikel

GÄLLER FÖR: Premium

I API Management tillåter arbetsytor decentraliserade API-utvecklingsteam att hantera och produktisera sina egna API:er, medan ett centralt API-plattformsteam underhåller API Management-infrastrukturen. Varje arbetsyta innehåller API:er, produkter, prenumerationer och relaterade entiteter som endast är tillgängliga för arbetsytans medarbetare. Åtkomsten styrs via rollbaserad åtkomstkontroll i Azure (RBAC).

Kommentar

Exempelscenarioöversikt

En organisation som hanterar API:er med Hjälp av Azure API Management kan ha flera utvecklingsteam som utvecklar, definierar, underhåller och produktiserar olika uppsättningar API:er. Med arbetsytor kan dessa team använda API Management för att hantera och komma åt sina API:er separat och oberoende av att hantera tjänstinfrastrukturen.

Följande är ett exempelarbetsflöde för att skapa och använda en arbetsyta.

  1. Ett centralt API-plattformsteam som hanterar API Management-instansen skapar en arbetsyta och tilldelar behörigheter till arbetsytemedarbetare med hjälp av RBAC-roller – till exempel behörighet att skapa eller läsa resurser på arbetsytan.

  2. Ett centralt API-plattformsteam använder DevOps-verktyg för att skapa en DevOps-pipeline för API:er på den arbetsytan.

  3. Medlemmar i arbetsytan utvecklar, publicerar, produktiserar och underhåller API:er på arbetsytan.

  4. Det centrala API-plattformsteamet hanterar tjänstens infrastruktur, till exempel nätverksanslutning, övervakning, återhämtning och tillämpning av principer för alla API:er.

Arbetsytefunktioner

Följande resurser kan hanteras i förhandsversionen av arbetsytor.

API:er och principer

  • Skapa och hantera API:er och API-åtgärder, inklusive API-versionsuppsättningar, API-revisioner och API-principer.

  • Tillämpa en princip för alla API:er på en arbetsyta.

  • Beskriv API:er med taggar från arbetsytans nivå.

  • Definiera namngivna värden, principfragment och scheman för validering av begäran och svar för användning i arbetsyteomfattande principer.

Kommentar

På en arbetsyta är principomfattningarna följande: Alla API:er (tjänst) > Alla API:er (arbetsyta) > Api-åtgärd för produkt-API >>

Användare och grupper

  • Organisera användare (från tjänstnivå) i grupper på en arbetsyta.

Produkter och prenumerationer

  • Publicera API:er med produkter. API:er på en arbetsyta kan bara ingå i en produkt på arbetsytenivå. Synlighet kan konfigureras baserat på användarmedlemskap i en arbetsytenivå eller en grupp på tjänstnivå.

  • Hantera åtkomst till API:er med prenumerationer. Prenumerationer som begärs till ett API eller en produkt i en arbetsyta skapas på den arbetsytan.

  • Publicera API:er och produkter med utvecklarportalen.

  • Hantera administrativa e-postaviseringar relaterade till resurser på arbetsytan.

RBAC-roller

Azure RBAC används för att konfigurera arbetsytemedarbetares behörighet att läsa och redigera entiteter på arbetsytan. En lista över roller finns i Använda rollbaserad åtkomstkontroll i API Management.

Arbetsytemedlemmar måste tilldelas både en tjänstomfattningsroll och en arbetsyteomfattningsroll eller beviljas motsvarande behörigheter med hjälp av anpassade roller. Med den tjänstomfattande rollen kan du referera till vissa resurser på tjänstnivå från resurser på arbetsytans nivå. Du kan till exempel organisera en användare i en grupp på arbetsytenivå för att styra API:et och produktsynligheten.

Kommentar

För enklare hantering konfigurerar du Microsoft Entra-grupper för att tilldela arbetsytebehörigheter till flera användare.

Arbetsytor och andra API Management-funktioner

  • Infrastrukturfunktioner – API Management-plattformens infrastrukturfunktioner hanteras endast på tjänstnivå, inte på arbetsytans nivå. Dessa funktioner omfattar bland annat:

    • Anslutning till privat nätverk

    • API-gatewayer, inklusive skalning, platser och gatewayer med egen värd

  • Resursreferenser – Resurser på en arbetsyta kan referera till andra resurser på arbetsytan och användare från tjänstnivån. De kan inte referera till resurser från en annan arbetsyta.

    Av säkerhetsskäl går det inte att referera till resurser på tjänstnivå från principer på arbetsytenivå (till exempel namngivna värden) eller efter resursnamn, till exempel backend-id i principen set-backend-service .

  • Utvecklarportal – Arbetsytor är ett administrativt begrepp och visas inte som sådana för användare av utvecklarportalen, bland annat via utvecklarportalens användargränssnitt och det underliggande API:et. API:er och produkter kan dock publiceras från en arbetsyta till utvecklarportalen. Därför måste alla resurser som används av utvecklarportalen (till exempel ett API, en produkt, en tagg eller en prenumeration) ha ett unikt Azure-resursnamn i tjänsten. Det kan inte finnas några resurser av samma typ och med samma Azure-resursnamn på samma arbetsyta, på andra arbetsytor eller på tjänstnivå.

  • Ta bort en arbetsyta – Om du tar bort en arbetsyta tas alla underordnade resurser bort (API:er, produkter och så vidare).

Begränsningar i förhandsversionen

Följande resurser stöds för närvarande inte i arbetsytor:

  • Auktoriseringsservrar (autentiseringsprovidrar i autentiseringshanteraren)

  • Auktoriseringar (anslutningar till autentiseringsprovidrar i autentiseringshanteraren)

  • Serverdelar

  • Klientcertifikat

  • Aktuella DevOps-verktyg för API Management

  • Diagnostik

  • Loggare

  • Api:er för syntetisk GraphQL

  • Användartilldelad hanterad identitet

Därför stöds inte följande exempelscenarier för närvarande på arbetsytor:

  • Övervaka API:er med arbetsytespecifik konfiguration

  • Hantera API-serverdelar och importera API:er från Azure-tjänster

  • Verifiera klientcertifikat

  • Använda funktionen autentiseringsansvarig (kallades tidigare auktoriseringar)

  • Ange API-auktoriseringsserverinformation (till exempel för utvecklarportalen)

  • Publicera arbetsyte-API:er till gatewayer med egen värd

Viktigt!

Alla resurser i en API Management-tjänst måste ha unika namn, även om de finns på olika arbetsytor.

Relaterat innehåll